Стоматологическая клиника (NDA)

Задача провести аттестацию соответствия требованиям по защите информации в рамках Федерального закона № 152-ФЗ «О персональных данных» для гибридной ИТ-инфраструктуры, распределённой территориально.

КЛИЕНТ

Коммерческая стоматологическая клиника, оказывающая широкий спектр стоматологических услуг: терапевтическое лечение, хирургия, ортодонтия, ортопедия, имплантология, эстетическая стоматология. Клиника работает на рынке частной медицины, ориентирована на клиентов среднего и премиального сегмента, предоставляет услуги по полному циклу — от первичной консультации и диагностики до сложных реконструктивных работ. Для такой модели бизнеса критически важны качество сервиса, скорость обслуживания и защита медицинской информации пациентов.

ИТ-инфраструктура клиники имеет гибридный характер и распределена территориально: часть сервисов размещается на локальных серверах в помещениях клиники, часть — в облачных средах провайдеров. В обработке участвуют медицинская информационная система (МИС), модули планирования и записи, системы расчёта с пациентами, интеграции со страховыми компаниями, системы обмена цифровыми рентгеновскими и панорамными снимками (DICOM-инфраструктура), а также корпоративные сервисы: почта, документооборот, бухгалтерия, кадровый учёт. Все эти системы обрабатывают персональные данные, включая специальные категории — сведения о состоянии здоровья.

ЗАДАЧА

Перед нами была поставлена задача провести аттестацию соответствия требованиям по защите информации в рамках Федерального закона № 152-ФЗ «О персональных данных» для гибридной ИТ-инфраструктуры, распределённой территориально. Поводом стало плановое завершение срока действия предыдущей аттестации ИСПДн — стандартная ситуация, когда клиника, однажды прошедшая аттестацию, обязана через определённый период (или при значимом изменении системы) подтверждать соответствие заново. Проект включал проведение аттестационных испытаний и актуализацию документации по защите персональных данных с учётом требований Приказа ФСТЭК России № 21 от 18 февраля 2013 года и Приказа ФСТЭК России № 77 от 29 апреля 2021 года.

ОТРАСЛЬ

Коммерческое здравоохранение, сегмент частной стоматологии. Отрасль характеризуется высокой конкуренцией за клиента, где репутация является одним из ключевых активов. Одновременно медицинская деятельность жёстко регулируется: 323-ФЗ «Об основах охраны здоровья граждан», требования Росздравнадзора, Роспотребнадзора, лицензионные требования к медицинской деятельности. В части защиты данных клиники подпадают под 152-ФЗ, Постановление Правительства № 1119, приказы ФСТЭК № 21 и № 77, требования к защите врачебной тайны. Специальные категории ПДн (данные о здоровье) требуют повышенных мер защиты.

ПРОБЛЕМАТИКА

Основной отправной точкой стало плановое завершение срока предыдущей аттестации ИСПДн. На первый взгляд, это рутинная процедура — но в реальности за годы, прошедшие с предыдущей аттестации, в клинике и в нормативной базе произошли существенные изменения, которые требовали не просто повторения прежней процедуры, а фактического переосмысления системы защиты.
  1. Первая группа изменений касалась самой инфраструктуры. Клиника за период между аттестациями сменила ряд информационных систем, добавила новые филиальные точки, перевела часть сервисов в облако, изменила маршруты обмена данными с внешними контрагентами (страховые компании, лаборатории). В результате контур ИСПДн, описанный в старой документации, больше не соответствовал реальности — критическое несоответствие для аттестационной процедуры.
  2. Вторая группа — изменения в нормативной базе. Приказ ФСТЭК № 21 за прошедшее время дополнялся, Приказ № 77 фактически заменил ряд предыдущих актов об аттестации, появилась новая методика моделирования угроз 2021 года. Методики, по которым ранее была построена защита, перестали быть актуальными.
  3. Третья группа — рост требований к защите. За последние годы существенно ужесточились санкции за нарушения в сфере ПДн, регуляторы стали чаще проводить проверки, публичные инциденты утечек медицинских данных получали широкий резонанс. Для частной клиники, работающей в конкурентной среде, утечка данных пациентов — это почти гарантированный сценарий оттока клиентов.
  4. Четвёртый фактор — гибридная и территориально распределённая архитектура. Обработка ПДн в облаке требует отдельного правового и технического оформления: согласования с поставщиком облачных услуг, учёта границ ответственности, проверки соответствия облачной платформы требованиям регулятора. Распределённость по нескольким адресам добавляет задачи по защите каналов связи между филиалами.
Боль ЛПР — собственника клиники, главного врача, ответственного за обработку ПДн — состояла в том, что нужно не просто «получить бумажку» об аттестации, а выстроить систему, которая реально выдержит проверку регулятора и не подведёт в случае инцидента. Формальный подход здесь чреват серьёзными последствиями: штрафы, приостановка деятельности, отзыв лицензии, репутационный кризис.

РЕШЕНИЕ

Мы выстроили проект как комплексную процедуру аттестации с параллельной модернизацией системы защиты и полной актуализацией документации.

  1. На первом этапе проводилось детальное обследование ИСПДн с учётом её гибридного и распределённого характера. Были описаны все точки обработки — локальные серверы клиники, рабочие места, облачные сервисы, каналы связи между филиалами, интеграции с внешними системами (страховые, лаборатории, платёжные системы). Фиксировались категории обрабатываемых ПДн с выделением специальных категорий, уточнялись цели и правовые основания обработки, описывались технологические процессы.
  2. На втором этапе определялся уровень защищённости ИСПДн в соответствии с ПП № 1119. С учётом обработки специальных категорий ПДн клиникой и масштаба обработки был определён соответствующий уровень, задающий перечень обязательных мер защиты.
  3. На третьем этапе проводилось моделирование угроз по актуальной методике ФСТЭК 2021 года. Учитывались специфические угрозы медицинских ИСПДн: атаки через подрядчиков (лаборатории, страховые), утечки через съёмные носители с медицинскими данными, компрометация каналов связи между филиалами, атаки на облачные сервисы, социотехнические атаки на медицинский персонал.
  4. На четвёртом этапе проводился аудит существующих мер защиты и их сопоставление с требованиями приказа № 21 для установленного уровня защищённости. Были идентифицированы пробелы — меры, которые необходимо внедрить или усилить. По результатам сформирован план технических и организационных мероприятий.
  5. На пятом этапе проводилась актуализация всей документации по защите ПДн. Были переработаны и/или созданы заново: политика обработки ПДн, политика безопасности ИСПДн, положение об обработке ПДн в клинике, регламенты доступа, инструкции пользователей, администраторов и ответственных лиц, модель угроз, акт определения уровня защищённости, регламенты реагирования на инциденты, журналы учёта. Особое внимание уделено регламентации взаимодействия с субъектами ПДн — порядку приёма обращений пациентов, срокам ответов, формам согласий и уведомлений. Это зона, по которой Роскомнадзор проверяет клиники чаще всего.
  6. На шестом этапе проводились собственно аттестационные испытания по требованиям Приказа ФСТЭК № 77. Испытания включали: проверку соответствия реализованных мер защиты требованиям приказа № 21; функциональное тестирование средств защиты; анализ документации; инструментальный контроль защищённости ИСПДн. По результатам оформлен аттестат соответствия, подтверждающий, что ИСПДн клиники отвечает требованиям по защите ПДн на установленном уровне защищённости.

РЕЗУЛЬТАТЫ

Клиника получила соответствие текущим законодательным требованиям 152-ФЗ с корректной регламентацией вопросов взаимодействия с субъектами ПДн. Это критически важно на фоне роста числа обращений пациентов, требующих доступа к своим данным, исправлений, прекращения обработки, — особенно в условиях, когда Роскомнадзор активно проверяет исполнение прав субъектов ПДн.

С точки зрения управления рисками достигнуты следующие эффекты. Регуляторный риск минимизирован: у клиники есть актуальный аттестат соответствия, актуальная модель угроз, актуальный комплект организационно-распорядительной документации. Это базис, на котором клиника может уверенно проходить плановые и внеплановые проверки. Технический риск утечки ПДн снижен за счёт актуализации мер защиты в соответствии с приказом ФСТЭК № 21 и переработки модели угроз под реальные сценарии атак. Операционный риск снижен за счёт формализации регламентов реагирования на инциденты и взаимодействия с субъектами ПДн.

Для ЛПР закрыты ключевые боли: собственник получил уверенность, что лицензия и репутация клиники защищены; главный врач знает, что в случае проверки документы и технические меры выдержат аудит; ответственный за обработку ПДн имеет структурированный инструментарий для ежедневной работы. Репутационные риски, связанные с возможными утечками медицинских данных, существенно снижены — а в конкурентном сегменте частной стоматологии это прямой фактор сохранения клиентской базы.

Отдельным результатом стало то, что гибридный характер инфраструктуры, который на старте проекта был источником рисков, теперь стал контролируемым: описаны границы ответственности между клиникой и облачными провайдерами, защищены каналы связи между филиалами, формализованы процессы управления доступом.

Перспективы развития проекта — периодический контроль соответствия ИСПДн: сопровождение клиники по вопросам актуализации документации при изменениях инфраструктуры, поддержка при обращениях субъектов ПДн, подготовка к следующим аттестационным процедурам, внедрение дополнительных мер по мере развития нормативной базы.

Отзывы

5.0

ООО "АКТИВБИЗНЕСТЕХНОЛОГИИ"

ООО «АБТ», выражает благодарность Обществу с ограниченной ответственностью «КРЕДО-С» за отличную организацию и реализацию комплекса мер, направленных на повышение уровня защищенности наших систем безопасности.

Благодарственное письмо
5.0

Администрация Солнечногорска

Администрация городского округа Солнечногорск выражает искреннюю благодарность коллективу Общества с ограниченной ответственностью «Кредо-С» за качественное и оперативное выполнение работ по проведению аттестации…

Благодарственное письмо
5.0

АО "ПИГМЕНТ"

АО «ПИГМЕНТ» выражает искреннюю благодарность ООО «КРЕДО-С» за высокопрофессиональное выполнение комплекса мер по повышению уровня информационной безопасности нашей организации. Ваше умение оперативно выявлять и устранять…

Благодарственное письмо
5.0

АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА КРАСНОГОРСК

Администрация городского округа Красногорск Московской области выражает благодарность за качественно и своевременно выполненные работы по совершенствованию системы защиты информации в организации. Высокий профессионализм и…

Благодарственное письмо
5.0

МАУ "Единый сервисный центр" Ступинского муниципального района

Муниципальное автономное учреждение "Единый сервисный центр" Ступинского муниципального района выражает свою благодарность коллективу ООО "КРЕДО-С" за высокий профессионализм, оперативность принятия решений, серьезный подход к…

Благодарственное письмо

Решаем такие же задачи для вашей инфраструктуры

Обсудим проект, сроки и стоимость под вашу ситуацию.

Обсудить проект →

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва