Безопасность персональных данных в медицинских организациях

Как увязать требования 152-ФЗ и Указа Президента РФ №250 от 1 мая 2022 года в отношении медицинской организации?

Прямой формальной «увязки» между 152-ФЗ и Указом №250 в виде какого-то единого документа не существует, но между ними есть чёткое смысловое и правоприменительное пересечение — особенно для медицинских организаций. Давай разложим по сути.

Что требует 152-ФЗ от медицинской организации:

Обеспечить безопасность персональных данных (ПДн), включая данные о здоровье (биометрия, результаты анализов, история болезней — это чувствительная категория ПДн). Закон требует определить уровень защищённости, построить ИСПДн, провести категорирование, создать модель угроз, применить меры защиты, закреплённые в Приказе ФСТЭК №21 и Постановлении 1119.

Что добавляет Указ №250:

Этот документ — не про персональные данные напрямую, а про укрепление суверенитета в сфере информационной безопасности. Но он задаёт вектор: организация должна не просто формально выполнять требования, а строить системную, комплексную защиту, устойчивую к внешнему влиянию, в том числе через программные закладки, недекларированные возможности, атаки через цепочки поставок.

Для медорганизации это означает:

— Использовать отечественные решения (ПО, СЗИ, инфраструктура — насколько возможно)

— Актуализировать модель угроз в соответствии с Методикой ФСТЭК от 2021 года (а не опираться только на базовую модель от 2008 года)

— Включить в оценку угроз источники, описанные в Указе №250 — особенно зарубежные разведслужбы, ИТ-компании, связанные с иностранными юрисдикциями, и тех, кто может иметь доступ к критической информации через ИТ-инфраструктуру

— Внимательно относиться к поставщикам ИТ-услуг, в том числе по облаку, СЭД, телемедицине

Ключевая связка:

152-ФЗ говорит, что защищать — персональные данные.

Указ №250 задаёт рамку от кого и как защищать — с прицелом на государственную устойчивость.

Для медорганизации это означает: необходимо пересмотреть существующую модель угроз и меры защиты ПДн с учётом усиления требований к устойчивости, импортонезависимости и недопущению НСД со стороны внешних субъектов. Особенно если организация использует ИТ-сервисы с иностранными компонентами.

Что делать на практике:

— Пересмотреть модель угроз по Методике ФСТЭК 2021 года

— Включить Указ №250 в список НПА, регулирующих защиту информации в рамках внутренней политики безопасности

— Провести аудит ИСПДн с точки зрения использования иностранного ПО и каналов утечки

— Адаптировать внутренние регламенты под «комплексный подход» — технические и организационные меры в связке