2.2.1. Результаты анализа нормативных правовых актов Российской Федерации и национальных стандартов Российской Федерации в сфере защиты информации

Базовыми законодательными актами в сфере защиты информации в информационных системах в сфере здравоохранения являются:

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

Законодательство Российской Федерации <23> выделяет две категории информации, для которых нормативными правовыми актами Российской Федерации устанавливаются обязанности по защите информации:

--------------------------------

<23> См. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

- информация, доступ к которой ограничивается федеральными законами;

- информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению.

Кроме того, законодательство Российской Федерации предоставляет обладателю информации право в случаях, когда иное не предусмотрено федеральными законами, самостоятельно разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.

По результатам анализа нормативных правовых актов Российской Федерации в сфере защиты информации можно выделить следующие области регулирования:

- защита информации, не составляющей государственную тайну, в государственных информационных системах;

- защита информации в информационных системах общего пользования;

- обеспечение безопасности персональных данных;

- защита информации в государственных информационных системах в сфере здравоохранения субъектов Российской Федерации, медицинских информационных системах медицинских организаций и информационных системах фармацевтических организаций;

- обеспечение безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Защита информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах, регулируется следующими правовыми актами:

- Постановление Правительства Российской Федерации от 06.07.2015 N 676 определяет обязанности федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации по обеспечению защиты информации в государственных информационных системах на разных стадиях их жизненного цикла;

- Приказ ФСТЭК России от 11.02.2013 N 17 утверждает Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах;

- методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г., содержит методические указания по выбору мер защиты информации, а также раскрывает содержание мер защиты информации, установленных в указанных выше требованиях.

В соответствии с указанными правовыми актами защита информации, содержащейся в государственной информационной системе, обеспечивается путем выполнения требований к организации защиты информации и требований к мерам защиты информации, дифференцированных по трем классам защищенности государственных информационных систем. Приказ ФСТЭК России от 11.02.2013 N 17 определяет:

- требования к организации защиты информации;

- порядок формирования требований к защите информации;

- порядок разработки и внедрения системы защиты информации;

- порядок аттестации и ввода в действие;

- требования по обеспечению защиты информации в ходе эксплуатации, при выводе из эксплуатации или после принятия решения об окончании обработки информации;

- состав мер защиты информации и их базовые наборы для соответствующих классов защищенности.

При этом в обязанности заказчика государственной информационной системы входят адаптация и дополнение базового набора мер защиты информации в зависимости от особенностей реализации информационной системы.

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, могут применяться:

- для защиты информации, содержащейся в негосударственных информационных системах, по решению заказчиков или операторов таких систем <24>;

--------------------------------

<24> В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными Приказом ФСТЭК России от 11.02.2013 N 17.

- для защиты информации в информационных системах в сфере здравоохранения в соответствии и нормативными правовыми актами Минздрава России <25>.

--------------------------------

<25> В соответствии с Федеральным законом от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

Отдельные требования по защите информации устанавливаются для информационных систем общего пользования. Такие требования устанавливаются следующими нормативными правовыми актами:

- Постановление Правительства Российской Федерации от 24.11.2009 N 953 устанавливает перечни сведений, которые должны публиковаться Правительством Российской Федерации и федеральными органами исполнительной власти в информационных системах общего пользования;

- совместный Приказ ФСТЭК России N 489 и ФСБ России N 416 от 31.08.2010 устанавливает требования о защите информации в информационных системах общего пользования.

В соответствии с законодательством Российской Федерации требования указанных правовых актов распространяются на иные информационные системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, взаимодействующие с информационными системами в сфере здравоохранения и медицинскими организациями <26>.

--------------------------------

<26> См. Постановление Правительства Российской Федерации от 12.04.2018 N 447 "Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями".

Основой для регулирования вопросов защиты персональных данных является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных". Реализация мер защиты персональных данных регулируется следующими нормативными правовыми актами:

- Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" устанавливает правила классификации информационных систем персональных данных и требуемые уровни их защищенности, а также устанавливает требования к отдельным организационным мерам защиты;

- Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 определяет состав и содержание организационных и технических мер защиты персональных данных при их обработке в информационных системах персональных данных, дифференцированных по уровням защищенности персональных данных;

- Методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г., устанавливает рекомендации по реализации указанных выше мер защиты персональных данных.

При этом в государственных информационных системах требования по защите персональных данных должны выполняться наряду с требованиями по защите информации, не составляющей государственную тайну, в государственных информационных системах. В государственных информационных системах (информационных систем персональных данных) обрабатывающие специальные категории ПДн должны предъявлять повышенные требования и максимальный класс защищенности для государственных информационных систем и уровню защищенности информационных систем персональных данных

В соответствии с Федеральным законом N 323-ФЗ от 21.11.2011 "Об основах охраны здоровья граждан в Российской Федерации" сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Закон устанавливает конфиденциальность сведений, составляющих врачебную тайну, но не конкретизирует требования о защите таких сведений. Сведения, составляющие врачебную тайну, относятся к определенному физическому лицу и, следовательно, включают в себя персональные данные этого лица. Таким образом, требования по защите информации, составляющей врачебную тайну, устанавливаются:

- в части, касающейся защиты персональных данных, - нормативными правовыми актами Российской Федерации, устанавливающими требования по защите персональных данных;

- в части, касающейся обеспечения конфиденциальности сведений, не являющихся персональными данными, в государственных информационных системах, - нормативными правовыми актами Российской Федерации, устанавливающими требования по защите информации в государственных информационных системах;

- в части, касающейся обеспечения конфиденциальности сведений, не являющихся персональными данными, в прочих информационных системах, - законодательством Российской Федерации об информации, информационных технологиях и о защите информации <27>;

--------------------------------

<27> Приказ Минздрава России от 24.12.2018 N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций".

- в информационных системах в сфере здравоохранения - Минздравом России.

Вопросы криптографической защиты информации при ее обработке в государственных информационных системах и в информационных системах персональных данных регулируются следующими нормативными правовыми актами:

- Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- Приказ ФСБ России от 09.02.2005 года N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

- инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная Приказом ФАПСИ от 13.06.2001 N 152.

В соответствии с указанными нормативными правовыми актами для нейтрализации актуальных угроз устанавливается обязательность применения средств криптографической защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. При выборе средств криптографической защиты информации предпочтение следует отдавать отечественному программному обеспечению, использующие российские криптографические алгоритмы и средства шифрования, а также отечественному оборудованию, соответствующему требованиям безопасности

Отдельной областью в сфере защиты информации является обеспечение безопасности критической информационной инфраструктуры Российской Федерации. Правовой основой регулирования в данной области является Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", который:

- устанавливает, что информационные системы, функционирующие в сфере здравоохранения, являются объектами критической информационной инфраструктуры;

- определяет необходимость категорирования объектов критической информационной инфраструктуры;

- устанавливает права и обязанности субъектов критической информационной инфраструктуры в части обеспечения безопасности объектов критической информационной инфраструктуры;

- устанавливает права и обязанности субъектов критической инфраструктуры в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Правила категорирования объектов критической информационной инфраструктуры и обеспечение безопасности значимых объектов критической информационной инфраструктуры регулируются следующими нормативными правовыми актами:

- Постановление Правительства Российской Федерации от 08.02.2018 N 127 устанавливает правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также показатели, по которым проводится категорирования, и значения этих показателей, дифференцирующие значимые объекты критической информационной инфраструктуры на три категории значимости;

- Приказ ФСТЭК России от 25.12.2017 N 239 устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации;

- Приказ ФСТЭК России от 21.12.2017 N 235 устанавливает требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.

Обнаружение, предупреждение и ликвидация последствий компьютерных атак и компьютерных инцидентов регулируются следующими нормативными правовыми актами Российской Федерации:

- Приказ ФСБ России от 19.06.2019 N 282 устанавливает порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, а также принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении объектов критической информационной инфраструктуры;

- Приказ ФСБ России от 24.07.2018 N 367 устанавливает перечень сведений, представляемых субъектами критической информационной инфраструктуры в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и порядок представления такой информации;

- Приказ ФСБ России от 06.05.2019 N 196 устанавливает требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

- Приказ ФСБ России от 24.07.2018 N 368 устанавливает порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры;

- Приказ ФСБ России от 19.06.2019 N 281 устанавливает порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Отдельные вопросы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации регулируются правовыми актами ограниченного распространения ФСБ России.

Правовой основой применения национальных стандартов является Федеральный закон от 29.06.2015 N 162-ФЗ "О стандартизации в Российской Федерации". Закон устанавливает, что национальные стандарты применяются на добровольной основе, кроме следующих случаев:

- изготовитель продукции публично заявил о ее соответствии национальному стандарту;

- ссылка на национальный стандарт содержится в нормативном правовом акте.

В настоящее время ряд национальных стандартов Российской Федерации является обязательным в силу наличия ссылок на них в нормативных правовых актах ФСТЭК России.

Анализ правовых актов и национальных стандартов Российской Федерации выявил ряд проблемных вопросов государственного регулирования в сфере защиты информации в информационных системах в сфере здравоохранения, одним из которых является отсутствие у Минздрава России полномочий по контролю выполнения требований по защите информации в информационных системах в сфере здравоохранения.

Совершенствование и своевременная актуализация правовых актов Российской Федерации позволят минимизировать проблемы регулирования защиты информации в сфере здравоохранения.