Какие системы государство считает критически важными и почему

Время, когда об информационной безопасности нужно было переживать только ИТ-компаниям и высокотехнологичному бизнесу, давно позади. Сейчас у любой компании десятки информационных систем, которые используются каждый день: бухгалтерия, учет кадров, реклама, маркетинг, рассылки, базы данных клиентов и подрядчиков, отраслевая отчетность — и это только начало списка. Медицинские организации используют и того больше, ведь они используют узкопрофильные медицинские информационные системы.

Сфера здравоохранения подпадает под действие Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и указа Президента РФ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Что это значит? Государству важно знать, что медицинские данные россиян находятся в безопасности. А эта самая опасность может подстерегать в самых неожиданных местах. Например, в 2022 году различный медицинский софт и другое ПО, использовавшее компоненты с открытым исходным кодом node-ipc (обычная практика для современной разработки), при запуске на территории РФ уничтожало все данные, к которым ему удавалось получить доступ.

Внимание со стороны государства — всегда монета о двух сторонах. С одной — дополнительная помощь и содействие, с другой — повышенная ответственность. За нарушения в данной сфере предусмотрена как административная, так и уголовная ответственность (вплоть до лишения свободы на срок до 10 лет). Самое повышенное внимание к медучреждениям, которые относятся к значимым объектам КИИ, — это крупные государственные организации, а также специализированные центры, где применяются технологии с высокой степенью опасности (например, ядерная медицина).

От чего зависит подход к обеспечению информационной безопасности в медицинской организации?

В каждом конкретном случае подход к обеспечению информационной безопасности медучреждения может отличаться и зависит в том числе от следующих факторов:

• Используется ли облачная ИТ-инфраструктура? Если да, то большое внимание мы в Цифроматике уделяем вопросу проработки договоров с провайдером, т. к. ответственность изначально целиком лежит на медицинской организации.
• Как оформлены правовые отношения с медицинским персоналом, клиентами, потенциальными клиентами (в т. ч. посетителями клиники или сайта в интернете), контрагентами.
• Используется или планируется к использованию предоставление услуг через интернет (если да, то как именно и в каком объеме).
• Ряд других факторов.

Защита персональных данных

К персональным данным законом отнесен самый широкий круг данных. И это не только данные пациентов медучреждения, но и данные сотрудников и даже просто посетителей сайта. Закон «О персональных данных» и подзаконные акты к нему постоянно обновляются, чтобы успеть за меняющимися интернетом. На момент написания этой статьи последняя редакция самого закона была принята 14 июля 2022 года, изменения в КоАП об ответственности по нему приняты 11 января 2023 года.

Именно на 152-ФЗ мы рекомендуем обратить максимальное внимание, поскольку сведения о здоровье относятся к перечню чувствительных, а требования регуляторов к их обработке порой сформулированы так, что выполнить их в буквальной постановке невозможно.

Особенности обработки и защиты персональных данных не только могут привести к начислению штрафов при выявлении нарушений, но и стать предметом шантажа со стороны юридически подкованного клиента. При этом с 2022 года сильно выросли штрафы для юрлиц:

• 150 тыс. руб. за бóльшую часть первичных нарушений, 500 тыс. руб. за повторное нарушение;
• 6 млн руб. за нарушения при сборе ПДн (в том числе в интернете), до 18 млн руб. за повторное нарушение.

Штрафы могут выписываться за каждое нарушение в отдельности или по совокупности нарушений. Кроме штрафов на организацию, могут выписываться штрафы на должностных и физических лиц.

Защита ПДн находится на границе юридической и информационной плоскостей, здесь важно подобрать наиболее оптимальные решения, которые позволят выполнить требования и минимизировать риски. У команды Цифроматики большой опыт в комплексной защите персональных данных: технические, организационные и правовые меры, которые зачастую бывают наименее затратны и наиболее эффективны.

Чем может помочь Цифроматика?

Цифроматика обладает необходимыми лицензиями ФСТЭК России и ФСБ России в области защиты информации для проверки информационной безопасности любых объектов КИИ. В нашей команде есть специалисты со значительным опытом работы в сфере защиты ИТ-инфраструктуры субъектов критической информационной инфраструктуры — от систем Минэкономразвития и Счетной палаты до РЖД и Роскосмоса. Свой опыт работы мы используем в работе с компаниями любого масштаба, включая малый бизнес.

Первое, что мы предлагаем всем нашим клиентам — экспресс-аудит безопасности ИТ-инфраструктуры. При тестировании ИБ медучреждения сотрудники Цифроматики выступают в роли белых хакеров, которые пытаются найти лазейки в системе защиты и продемонстрировать возможности получения доступа к информации, информационным системам и компонентам ИТ-инфраструктуры. По статистике почти все подобные тесты на проникновение заканчиваются успехом и при этом проходят незаметно для рядовых ИТ-специалистов.

По результатам сотрудники Цифроматики не только описывают найденные уязвимости, но и дают рекомендации по их устранению и повышению уровня реальной защищенности. После оценки системы информационной безопасности частной медицинской организации достаточно корректно документально зафиксировать факт выполнения законодательных требований, тем самым снять с себя риски без существенных и лишних затрат.