Информационная броня

Начать следует с того, что важную правовую основу в данной области помимо Конституции РФ, Гражданского и Уголовного кодексов составляют:

– федеральные законы «О безопасности», «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», «О коммерческой тайне», «О персональных данных», «О техническом регулировании», «Об основах здоровья граждан в Российской Федерации»; 

– приказы ФОМС «Об утверждении общих принципов построения и функционирования ИС и порядка информационного взаимодействия в сфере ОМС», и Минздрава России «Об утверждении Порядка ведения персонифицированного учета при осуществлении медицинской деятельности лиц, участвующих в оказании медицинских услуг»;

– Доктрина информационной безопасности, указы президента и другие нормативные правовые акты Российской Федерации;

– Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья» от 29.07.2017 г. № 242-ФЗ, или, иначе, «Закон о телемедицине». 

С чего следует начать выстраивание системы информационной безопасности при внедрении цифровых площадок в работе клиники? На первом этапе проводится информационное обследование, чтобы понять, от чего в первую очередь необходимо защищаться. Объективность оценки угроз достигается детальным анализом функционирования компании и привлечением независимых экспертов. Строится «модель нарушителя», которая описывает его квалификацию, средства для реализации атак, обычное время их проведения и прочее. Вырабатываются рекомендации для устранения выявленных угроз, правильного выбора и применения средств защиты. 

Второй этап – приобретение, установка и настройка рекомендованных средств и механизмов, в совокупности обеспечивающих защиту системы обработки данных от посторонних лиц, и настройка доступов разного уровня для пользователей с разной степенью допуска к конфиденциальной информации. 

Обычно в приоритете у медицинской организации следующие направления информационной безопасности: соблюдение врачебной и коммерческой тайны (в т.ч. маркетинговых планов, перспективных разработок), а также охрана персональных данных пациентов. 

В соответствии с п. 4 ст. 92 ФЗ «Об основах охраны здоровья граждан» сведения о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством РФ. Помимо этого законодатель относит сведения, касающиеся состояния здоровья пациентов, к специальной категории персональных данных. 

Медицинская организация обязана обеспечить режим конфиденциальности и не распространять и не раскрывать третьим лицам персональные данные пациентов. Данное требование распространяется на информацию о персональных данных, содержащуюся на бумажных и электронных носителях, в информационно-телекоммуникационных сетях и иных информационных системах медорганизации. 

Соблюдение конфиденциальности при использовании персональных данных подразумевает не только применение технических средств защиты (специальные сертифицированные программы и технологии защиты информации), но и проведение комплекса организационно-правовых мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным. 

В мероприятия по охране конфиденциальности информации, составляющей врачебную и коммерческую тайну, а также персональных данных входят:

- составление и заключение соглашений с персоналом о неразглашении тайны;

- включение в трудовой договор требований о неразглашении охраняемой законом тайны (профессиональной, врачебной, коммерческой);

- разработка локальных нормативных актов по вопросам защиты информации. Это может быть как единое положение, так и несколько актов о порядке доступа к сведениям, об организации работы с конфиденциальной информацией, о персональных данных, об организации конфиденциального делопроизводства;

- организация деятельности структурных подразделений, осуществляющих работу с конфиденциальной информацией;

- организация работы персонала с информацией, в т.ч. обучение и проверка знаний по обращению с конфиденциальной информацией;

- организация учета лиц, получивших доступ к конфиденциальной информации. 

Стоит отметить, что даже должным образом составленные мероприятия по охране конфиденциальной информации не всегда являются панацеей. Сотрудники по беспечности ли или по злому умыслу часто нарушают охранительный режим, о чем свидетельствует широкая судебная практика. 

Так, при проведении служебной проверки в одном из столичных лечебных учреждений было установлено, что работница имела доступ к информации, охраняемой режимом коммерческой тайны, и допускала нарушения этого режима: многократно с использованием персонального компьютера переписывала на личную флэш-карту файлы, содержащие конфиденциальную информацию, передавала по электронной почте третьим лицам информацию. Суд пришел к выводу, что у работодателя имелись основания для увольнения истицы в связи с разглашением охраняемой законом коммерческой тайны (Апелляционное определение Московского городского суда от 08.10.2013 г. по делу № 11-33789). 

Поводом для увольнения другой истицы послужили результаты проверки, которой было установлено нарушение работницей должностных обязанностей. Положением о режиме конфиденциальности информации ей была установлена обязанность, оставляя рабочее место даже на короткое время, блокировать доступ к работающему компьютеру путем нажатия клавиш Ctrl-Alt-Delete и выбора в меню пункта «Блокировать компьютер». В результате того, что данные действия не были выполнены работницей, под ее учетной записью неустановленным сотрудником были произведены действия, причинившие ущерб клиенту организации. Суд отказал истице в удовлетворении иска о восстановлении на работе (Определение Московского городского суда от 23.09.2013 Г. № 4г/8-7616). 

Кемеровский областной суд при рассмотрении иска работника об обжаловании дисциплинарного взыскания отметил, что тот в нарушение требований локальных актов работодателя, имея доступ к информации, составляющей коммерческую тайну, произвел ее несанкционированное копирование на личный съемный USB-накопитель (Определение Кемеровского областного суда от 29.06.2012 по делу № 33-6243-2012).