КЛИЕНТ
Коммерческая стоматологическая клиника, оказывающая широкий спектр стоматологических услуг: терапевтическое лечение, хирургия, ортодонтия, ортопедия, имплантология, эстетическая стоматология. Клиника работает на рынке частной медицины, ориентирована на клиентов среднего и премиального сегмента, предоставляет услуги по полному циклу — от первичной консультации и диагностики до сложных реконструктивных работ. Для такой модели бизнеса критически важны качество сервиса, скорость обслуживания и защита медицинской информации пациентов.ИТ-инфраструктура клиники имеет гибридный характер и распределена территориально: часть сервисов размещается на локальных серверах в помещениях клиники, часть — в облачных средах провайдеров. В обработке участвуют медицинская информационная система (МИС), модули планирования и записи, системы расчёта с пациентами, интеграции со страховыми компаниями, системы обмена цифровыми рентгеновскими и панорамными снимками (DICOM-инфраструктура), а также корпоративные сервисы: почта, документооборот, бухгалтерия, кадровый учёт. Все эти системы обрабатывают персональные данные, включая специальные категории — сведения о состоянии здоровья.
ЗАДАЧА
Перед нами была поставлена задача провести аттестацию соответствия требованиям по защите информации в рамках Федерального закона № 152-ФЗ «О персональных данных» для гибридной ИТ-инфраструктуры, распределённой территориально. Поводом стало плановое завершение срока действия предыдущей аттестации ИСПДн — стандартная ситуация, когда клиника, однажды прошедшая аттестацию, обязана через определённый период (или при значимом изменении системы) подтверждать соответствие заново. Проект включал проведение аттестационных испытаний и актуализацию документации по защите персональных данных с учётом требований Приказа ФСТЭК России № 21 от 18 февраля 2013 года и Приказа ФСТЭК России № 77 от 29 апреля 2021 года.ОТРАСЛЬ
Коммерческое здравоохранение, сегмент частной стоматологии. Отрасль характеризуется высокой конкуренцией за клиента, где репутация является одним из ключевых активов. Одновременно медицинская деятельность жёстко регулируется: 323-ФЗ «Об основах охраны здоровья граждан», требования Росздравнадзора, Роспотребнадзора, лицензионные требования к медицинской деятельности. В части защиты данных клиники подпадают под 152-ФЗ, Постановление Правительства № 1119, приказы ФСТЭК № 21 и № 77, требования к защите врачебной тайны. Специальные категории ПДн (данные о здоровье) требуют повышенных мер защиты.ПРОБЛЕМАТИКА
Основной отправной точкой стало плановое завершение срока предыдущей аттестации ИСПДн. На первый взгляд, это рутинная процедура — но в реальности за годы, прошедшие с предыдущей аттестации, в клинике и в нормативной базе произошли существенные изменения, которые требовали не просто повторения прежней процедуры, а фактического переосмысления системы защиты.- Первая группа изменений касалась самой инфраструктуры. Клиника за период между аттестациями сменила ряд информационных систем, добавила новые филиальные точки, перевела часть сервисов в облако, изменила маршруты обмена данными с внешними контрагентами (страховые компании, лаборатории). В результате контур ИСПДн, описанный в старой документации, больше не соответствовал реальности — критическое несоответствие для аттестационной процедуры.
- Вторая группа — изменения в нормативной базе. Приказ ФСТЭК № 21 за прошедшее время дополнялся, Приказ № 77 фактически заменил ряд предыдущих актов об аттестации, появилась новая методика моделирования угроз 2021 года. Методики, по которым ранее была построена защита, перестали быть актуальными.
- Третья группа — рост требований к защите. За последние годы существенно ужесточились санкции за нарушения в сфере ПДн, регуляторы стали чаще проводить проверки, публичные инциденты утечек медицинских данных получали широкий резонанс. Для частной клиники, работающей в конкурентной среде, утечка данных пациентов — это почти гарантированный сценарий оттока клиентов.
- Четвёртый фактор — гибридная и территориально распределённая архитектура. Обработка ПДн в облаке требует отдельного правового и технического оформления: согласования с поставщиком облачных услуг, учёта границ ответственности, проверки соответствия облачной платформы требованиям регулятора. Распределённость по нескольким адресам добавляет задачи по защите каналов связи между филиалами.
РЕШЕНИЕ
Мы выстроили проект как комплексную процедуру аттестации с параллельной модернизацией системы защиты и полной актуализацией документации.- На первом этапе проводилось детальное обследование ИСПДн с учётом её гибридного и распределённого характера. Были описаны все точки обработки — локальные серверы клиники, рабочие места, облачные сервисы, каналы связи между филиалами, интеграции с внешними системами (страховые, лаборатории, платёжные системы). Фиксировались категории обрабатываемых ПДн с выделением специальных категорий, уточнялись цели и правовые основания обработки, описывались технологические процессы.
- На втором этапе определялся уровень защищённости ИСПДн в соответствии с ПП № 1119. С учётом обработки специальных категорий ПДн клиникой и масштаба обработки был определён соответствующий уровень, задающий перечень обязательных мер защиты.
- На третьем этапе проводилось моделирование угроз по актуальной методике ФСТЭК 2021 года. Учитывались специфические угрозы медицинских ИСПДн: атаки через подрядчиков (лаборатории, страховые), утечки через съёмные носители с медицинскими данными, компрометация каналов связи между филиалами, атаки на облачные сервисы, социотехнические атаки на медицинский персонал.
- На четвёртом этапе проводился аудит существующих мер защиты и их сопоставление с требованиями приказа № 21 для установленного уровня защищённости. Были идентифицированы пробелы — меры, которые необходимо внедрить или усилить. По результатам сформирован план технических и организационных мероприятий.
- На пятом этапе проводилась актуализация всей документации по защите ПДн. Были переработаны и/или созданы заново: политика обработки ПДн, политика безопасности ИСПДн, положение об обработке ПДн в клинике, регламенты доступа, инструкции пользователей, администраторов и ответственных лиц, модель угроз, акт определения уровня защищённости, регламенты реагирования на инциденты, журналы учёта. Особое внимание уделено регламентации взаимодействия с субъектами ПДн — порядку приёма обращений пациентов, срокам ответов, формам согласий и уведомлений. Это зона, по которой Роскомнадзор проверяет клиники чаще всего.
- На шестом этапе проводились собственно аттестационные испытания по требованиям Приказа ФСТЭК № 77. Испытания включали: проверку соответствия реализованных мер защиты требованиям приказа № 21; функциональное тестирование средств защиты; анализ документации; инструментальный контроль защищённости ИСПДн. По результатам оформлен аттестат соответствия, подтверждающий, что ИСПДн клиники отвечает требованиям по защите ПДн на установленном уровне защищённости.
РЕЗУЛЬТАТЫ
Клиника получила соответствие текущим законодательным требованиям 152-ФЗ с корректной регламентацией вопросов взаимодействия с субъектами ПДн. Это критически важно на фоне роста числа обращений пациентов, требующих доступа к своим данным, исправлений, прекращения обработки, — особенно в условиях, когда Роскомнадзор активно проверяет исполнение прав субъектов ПДн.С точки зрения управления рисками достигнуты следующие эффекты. Регуляторный риск минимизирован: у клиники есть актуальный аттестат соответствия, актуальная модель угроз, актуальный комплект организационно-распорядительной документации. Это базис, на котором клиника может уверенно проходить плановые и внеплановые проверки. Технический риск утечки ПДн снижен за счёт актуализации мер защиты в соответствии с приказом ФСТЭК № 21 и переработки модели угроз под реальные сценарии атак. Операционный риск снижен за счёт формализации регламентов реагирования на инциденты и взаимодействия с субъектами ПДн.
Для ЛПР закрыты ключевые боли: собственник получил уверенность, что лицензия и репутация клиники защищены; главный врач знает, что в случае проверки документы и технические меры выдержат аудит; ответственный за обработку ПДн имеет структурированный инструментарий для ежедневной работы. Репутационные риски, связанные с возможными утечками медицинских данных, существенно снижены — а в конкурентном сегменте частной стоматологии это прямой фактор сохранения клиентской базы.
Отдельным результатом стало то, что гибридный характер инфраструктуры, который на старте проекта был источником рисков, теперь стал контролируемым: описаны границы ответственности между клиникой и облачными провайдерами, защищены каналы связи между филиалами, формализованы процессы управления доступом.
Перспективы развития проекта — периодический контроль соответствия ИСПДн: сопровождение клиники по вопросам актуализации документации при изменениях инфраструктуры, поддержка при обращениях субъектов ПДн, подготовка к следующим аттестационным процедурам, внедрение дополнительных мер по мере развития нормативной базы.