Недекларированные возможности – функциональные возможности программного обеспечения или компьютера, которые не описаны или не соответствует описанию в документации. Их использование может нарушить конфиденциальность или целостность информации. Например, есть программное обеспечение, которое предназначено для определенной цели: проверка правильности диагноза, печать больничного листка. Однако такое программное обеспечение может иметь скрытые функции, которые формируют базу пациентов и куда-то «сливают».

Медицинская организация сама определяет тип угроз своей информационной системы (п. 7 постановления Правительства РФ от 1 ноября 2012 г. No 1119). Для этого надо оценить вред, который может быть причинен пациентам или сотрудникам, если произойдет утечка персональных данных. Оценку должен делать сотрудник, ответственный за защиту информации. Например, это может быть заместитель главного врача. Однако сначала он должен пройти специальные курсы ФСБ и ФСТЭК. Если у вас нет такой возможности, то пригласите стороннего специалиста.

По типу обрабатываемых данных информационные системы делят на пять видов (п. 5 постановления Правительства РФ от 1 ноября 2012 г. No 1119)

1. Информационная система обрабатывает специальные категории персональных данных. Речь идет о таких сведениях: расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь граждан.

2. Информационная система обрабатывает биометрические персональные данные. Речь идет о физиологических и биологических особенностях человека, на основании которых можно установить его личность. В таких системах не обрабатывают сведения, которые относят к специальным категориям персональных данных.

3. Информационная система обрабатывает общедоступные персональные данные. Это сведения, которые организация получает из общедоступных источников, например из адресной книги, справочника. Как правило, они содержат Ф. И. О. гражданина, год и место рождения, адрес, номер телефона, сведения о профессии (ст. 8 Закона от 27 июля 2006 г. No 152- ФЗ).

4. Информационная система обрабатывает иные категории персональных данных. Речь идет о сведениях, которые не относятся к специальной категории персональных данных, к биометрическим данным и к общедоступным сведениям.

5. Информационная система обрабатывает только персональные данные сотрудников.
Определить тип обрабатываемых данных может заведующий IT-отделом, а также ответственный за защиту данных.

Выделяют четыре уровня защиты персональных данных, которые организация обрабатывает в информационной системе (п. 8 постановления Правительства РФ от 1 ноября 2012 г. No 1119).

Недекларированные возможности – функциональные возможности программного обеспечения или компьютера, которые не описаны или не соответствует описанию в документации. Их использование может нарушить конфиденциальность или целостность информации. Например, есть программное обеспечение, которое предназначено для определенной цели: проверка правильности диагноза, печать больничного листка. Однако такое программное обеспечение может иметь скрытые функции, которые формируют базу пациентов и куда-то «сливают».

Медицинская организация сама определяет тип угроз своей информационной системы (п. 7 постановления Правительства РФ от 1 ноября 2012 г. No 1119). Для этого надо оценить вред, который может быть причинен пациентам или сотрудникам, если произойдет утечка персональных данных. Оценку должен делать сотрудник, ответственный за защиту информации. Например, это может быть заместитель главного врача. Однако сначала он должен пройти специальные курсы ФСБ и ФСТЭК. Если у вас нет такой возможности, то пригласите стороннего специалиста.

Меры безопасности зависят от уровня защиты, который медицинская организация должна обеспечить информационной системе. Минимальный уровень защищенности – четвертый, максимальный – первый.

Четвертый уровень. Чтобы обеспечить четвертый уровень защищенности:

—  установите замки в помещения, где размещена информационная система;
—  утвердите список сотрудников, которые вправе входить в помещение, где размещена информационная система, – это те,
кто непосредственно участвует в бизнес-процессе;
—  обеспечьте сохранность носителей персональных данных;
—  утвердите перечень сотрудников, которые в силу служебных обязанностей должны иметь доступ к персональным
данным, обрабатываемым в информационной системе. Например, если медицинская организация использует электронные медицинские карты, то это все врачи, постовые сестры, заведующие отделениями, заместитель главного врача и главный врач;
—  используйте средства для защиты информации, которые удовлетворяют требованиям законодательства РФ и прошли соответствующую оценку.

Такие меры предусматривает статья 13 постановления Правительства РФ от 1 ноября 2012 г. No 1119.

Третий уровень. Чтобы обеспечить третий уровень защищенности информационной системы:

—  выполните все меры, предусмотренные для четвертого уровня;
—  назначьте должностное лицо, которое будет отвечать за безопасность данных в информационной системе; обычно это
один из заместителей, чаще – заместитель по организационно-методической работе или начальник IT-отдела. Это следует из статьи 14 постановления Правительства РФ от 1 ноября 2012 г. No 1119.

Второй уровень. Чтобы обеспечить второй уровень защищенности информационной системы:
—  выполните все меры, предусмотренные для третьего уровня;
—  обеспечьте доступ к электронному журналу сообщений только должностным лицам (работникам), которым сведения,
содержащиеся в журнале, необходимы для выполнения служебных или трудовых обязанностей. Такой журнал в информационной системе ведется автоматически.
Такие требования установила статья 15 постановления Правительства РФ от 1 ноября 2012 г. No 1119.

Первый уровень. Чтобы обеспечить первый уровень защищенности:
—  выполните все меры, которые предусмотрены для второго уровня;
—  обеспечьте, чтобы в электронном журнале безопасности полномочия сотрудника по доступу к персональным данным
регистрировались автоматически; это должен сделать либо начальник IT-отдела, а если он сам не может, то по его заданию разработчики программного обеспечения;
—  создайте подразделение, которое будет отвечать за безопасность персональных данных в информационной системе.

Такие требования установлены статьей 16 Постановления Правительства РФ от 1 ноября 2012 г. No 1119.

Перечень дополнительных мер для защиты информационной системы предусмотрен:
—  приказом  ФСТЭК России от 18 февраля 2013 г. No 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
—  приказом ФСБ России от 10 июля 2014 г. No 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации...».

ФСБ контролирует криптографию. Если вы используете электронную цифровую подпись – попадаете в зону ответственности ФСБ. Если криптографии нет – ответственность ФСТЭК. Но ни ФСБ, ни ФСТЭК не могут знакомиться с персональными данными пациентов.