Да сколько же у нас регуляторов по защите информации?
Теперь и Минздрав установил свои правила по защите информации. Интересно, а кто будет надзор осуществлять за их выполнением?
Постановление Правительства РФ от 12.04.2018 N 447
name='more'>
"Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями"
ПП447 может очень сильно повлиять субъектов КИИ, работающих в сфере здравоохранения, так как в нем дается определение "информационные системы в сфере здравоохранения".
Понятие "информационные системы в сфере здравоохранения" означает федеральные государственные информационные системы в сфере здравоохранения, информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования, государственные информационные системы в сфере здравоохранения субъектов Российской Федерации, медицинские информационные системы медицинских организаций и информационные системы фармацевтических организаций.
При этом очень удивительно, что в ПП447 совершенно нет упоминания о 187-ФЗ, хотя вступило оно в силу в апреле 2018 года. Межведомственная раздробленность дает о себе знать.
Еще очень интересные требования по ИБ:
Для взаимодействия с единой системой и информационными системами в сфере здравоохранения иные информационные системы, обрабатывающие персональные данные и (или) сведения, составляющие врачебную тайну, помимо требований, предусмотренных пунктом 5 настоящих Правил, должны:
а) предотвращать несанкционированный доступ к информации и (или) передачу ее лицам, не имеющим права на доступ к информации;
б) обеспечивать своевременное обнаружение фактов несанкционированного доступа к информации;
в) обеспечивать предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
г) обеспечивать недопущение воздействия на технические и программные средства обработки информации, в результате которых нарушается их функционирование;
д) обеспечивать незамедлительное восстановление информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
е) обеспечивать постоянный контроль за обеспечением уровня защищенности информации;
ж) обеспечивать защиту информации при ее передаче по информационно-телекоммуникационным сетям;
з) обеспечивать применение сертифицированных по требованиям безопасности информации средств защиты информации;
и) обеспечивать защиту информации в ходе эксплуатации иной информационной системы;
к) обеспечивать обязательность учета и регистрации действий и идентификации участников, связанных с обработкой персональных данных в иных информационных системах;
л) обеспечивать соблюдение следующих организационных мер:
формирование требований к защите информации, содержащейся в иной информационной системе;
разработка и внедрение системы (подсистемы) защиты информации иной информационной системы;
минимизация состава обрабатываемых персональных данных, необходимых для решения возлагаемых на иные информационные системы задач;
декларирование и соответствие порядка обработки персональных данных целям их обработки;
определение информационного запроса как преимущественного способа получения в иных информационных системах сведений об объекте (субъекте) персональных данных;
хранение персональных данных в электронном виде в информационных системах по месту возникновения таких данных;
м) соответствовать требованиям по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования, утвержденным Министерством связи и массовых коммуникаций Российской Федерации, и требованиям к защите информации, содержащейся в информационных системах общего пользования, утвержденным Федеральной службой безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю.
Основанием для выпуска ПП447 послужил Федеральный закон от 21 ноября 2011 года № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
Статья 91. Информационное обеспечение в сфере здравоохранения
(в ред. Федерального закона от 29.07.2017 N 242-ФЗ)
5. Иные информационные системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг (далее - иные информационные системы), могут взаимодействовать с информационными системами в сфере здравоохранения и медицинскими организациями в порядке, на условиях и в соответствии с требованиями, установленными Правительством Российской Федерации.
Но интересно, что сам 323-ФЗ не давал такого определения для ИС в сфере здравоохранения, там просто сокращение для дальнейшего использования в тексте закона. К тому же в 323-ФЗ указаны задачи для таких ИС "В информационных системах в сфере здравоохранения осуществляются сбор, хранение, обработка и предоставление информации об органах, организациях государственной, муниципальной и частной систем здравоохранения и об осуществлении медицинской и иной деятельности в сфере охраны здоровья."
При этом, надо понимать, что еще предстоит выпуск аналогичного документа по ГИС. Это прописано в п.4 ст.91 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации":
"Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций устанавливаются уполномоченным федеральным органом исполнительной власти."
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
