129110 Москва, ул. Гиляровского, д. 68, стр.1, к.15

+7 495 142 15 75

Пн-Пт с 10:00 до 19:00

129110 Москва, ул. Гиляровского, д. 68, стр.1, к.15
ГлавнаяБаза знанийИнформационная безопасность медицинской организации

Информационная безопасность медицинской организации

Орленко Василий Васильевич

информационная безопасность в медицинских учреждениях

Сегодня информационная безопасность в медицине стала одной из ключевых задач для любой клиники, работающей с персональными данными пациентов. Рост кибератак, ужесточение контроля со стороны Роскомнадзора и обязательные требования законодательства напрямую влияют на то, как медицинская организация должна выстраивать свою работу с информационными системами, медицинскими данными и внутренними процессами. Для владельцев и главных врачей это уже не техническая проблема, а стратегический вопрос: утечка данных или нарушение правил обработки данных может привести к серьёзным штрафам, приостановке деятельности, судебным искам и репутационным рискам.

В статье рассмотрим основные угрозы информационной безопасности в медицине, законодательные требования, технические и организационные меры защиты, ответственность медицинской организации и практические советы юриста по снижению рисков.

Почему информационная безопасность критична для клиники?

Информационная безопасность в медицине и здравоохранении (ИБ) — это комплекс организационных, технических и правовых мер, направленных на защиту: 

  • персональных данных пациентов, 
  • информации о состоянии здоровья, 
  • результатов обследований, 
  • данных осмотра,
  • биометрии, 
  • информации о назначенном лечении,
  • персональных данных сотрудников,
  • других сведений, относящихся к медицинской деятельности. 

В отличие от общих требований, медицинские данные относятся к специальной категории, согласно ч. 1 ст. 10 Федерального закона № 152-ФЗ «О персональных данных», а значит их обработка требует повышенной правовой защиты и строгих процедур доступа.

Для руководителя клиники обеспечение безопасности данных является обязанностью, напрямую влияющую не только на финансовые риски и репутацию. От этого зависит возможность работы с государственными системами, включая ЕГИСЗ, и через телемедицинские сервисы. Утечка медицинской информации может привести к:

  • штрафам по ст. 13.11 КоАП РФ, 
  • претензиям пациентов, 
  • компенсации ущерба, причинённого незаконной обработкой или утечкой их данных (ст. 151 и 1064 ГК РФ)
  • уголовной ответственности в отдельных случаях (разглашение врачебной тайны — ст. 137 УК РФ),
  • блокировке информационных систем.

Совет юриста: разработайте и утвердите Порядок доступа к медицинской информации и Политику обработки персональных данных, содержащую перечень категорий данных и основания их обработки в соответствии с ФЗ-323. Это снизит риски при проверке и станет базой для дальнейшей работы.

Основные угрозы информационной безопасности в медицине

Основные угрозы ИБ напрямую связаны с тем, что клиники обрабатывают большой объём чувствительных данных. Эти данные представляют ценность для киберпреступников, а также подвержены рискам внутри самой организации. Человеческий фактор остаётся одной из ведущих причин инцидентов. Ниже рассмотрены ключевые угрозы, которые должен учитывать руководитель медицинской организации.

  1. Внешние угрозы: вирусы, фишинг, хакерские атаки

Внешние угрозы — это целенаправленные попытки получить несанкционированный доступ к информационной системе клиники: вредоносные программы, фишинговые письма, подбор паролей, попытки проникновения через сетевое оборудование или уязвимости в медицинских системах (МИС). Клиники особенно уязвимы к фишинговым атакам: сотрудники могут открыть вредоносное вложение, что позволяет злоумышленникам получить доступ к медицинской информации или заблокировать систему.

Использование устаревшего программного обеспечения, некорректно настроенных МИС и отсутствие шифрования каналов связи также создают риски нарушения требований ст. 19 ФЗ-152, обязывающей оператора обеспечивать безопасность персональных данных, включая защиту от несанкционированного доступа.

Совет юриста: внедрите регулярное обновление ПО, используйте антивирусы и межсетевые экраны (МЭ), обучите сотрудников распознаванию фишинговых писем. С помощью юриста разработайте регламент по взаимодействию сотрудников с электронной корреспонденцией.  Не забывайте о регулярном аудите защищенности IT-инфраструктуры.

  1. Внутренние угрозы: человеческий фактор и ошибки персонала

Большинство утечек в медицинских организациях происходит из-за внутренних факторов: неправильное хранение паролей, передача данных сторонним лицам, использование личных устройств для работы, забытые бумажные документы, копирование данных на USB-носители. Персонал часто не проходит регулярные инструктажи, что приводит к нарушениям требований локальных актов по защите данных.

Ошибка сотрудника может привести к инциденту, который будет квалифицирован как нарушение ст. 13.11 КоАП РФ — незаконная обработка персональных данных.

Совет юриста: обновите и актуализируйте все локальные акты по защите персональных данных, включая Регламент доступа к МИС. Проводите регулярное обучение персонала. Обязательно введите журналы инструктажей, подтверждающие обучение сотрудников. 

  1. Риски при работе с подрядчиками и облачными сервисами

Клиники в своей работе используют не только МИС, но и облачные системы хранения, CRM, колл-центры, личные кабинеты на сайте организации и интеграции с другими внешними сервисами. Если подрядчик не соблюдает требования закона, риски несёт сама клиника как оператор данных. Это касается и размещения данных на серверах за пределами РФ, что запрещено.

Классические проблемы: отсутствие договора на обработку персональных данных с подрядчиком, несертифицированное ПО, передача данных через незашифрованные каналы.

Совет юриста: заключайте с каждым подрядчиком, имеющим доступ к данным, договор, содержащий поручение на обработку персональных данных (согласно ст. 6 ФЗ-152). Ознакомьтесь с их системами защиты и требуйте подтверждение размещения данных на серверах на территории РФ.

Правовые требования к информационной безопасности

Информационная безопасность в медицине регулируется сразу несколькими уровнями законодательства: общими нормами о персональных данных, специальными нормами медицинского права, подзаконными актами Минздрава и требованиями к работе медицинских информационных систем (МИС) и ЕГИСЗ. Для руководителей медорганизаций важно понимать, что нарушения в этой сфере рассматриваются как правонарушения, затрагивающие права пациентов и сотрудников.

  1. Защита персональных данных по ФЗ-152

Федеральный закон № 152-ФЗ «О персональных данных» — основной нормативный акт, регулирующий обязанности медицинской организации как оператора персональных данных. Для клиник особенно важно помнить, что медицинские сведения относятся к специальным категориям данных (ч. 1 ст. 10 ФЗ-152), поэтому клиника обязана применять усиленные меры безопасности, в том числе:

  • подготовить и утвердить необходимые локальные акты, регулирующие процессы обработки персональных данных (ст. 18.1);
  • назначить ответственного за организацию обработки (ч. 1 ст. 22.1);
  • получить письменные согласия на обработку данных (ст. 9);
  • обеспечить обновление и хранение баз с персональными данными на территории России (ст. 18);
  • применять технические меры защиты (ст. 19).

Несоблюдение любого из пунктов расценивается как нарушение, влекущее ответственность по ст. 13.11 КоАП РФ.

Совет юриста: перед началом обработки данных проведите классификацию информационной системы персональных данных (ИСПДн) и разработайте модель угроз. Это основа для выбора корректных мер защиты согласно приказу ФСТЭК России № 21.

  1. Требования закона «Об основах охраны здоровья граждан» (ФЗ-323)

Федеральный закон № 323-ФЗ регулирует медицинскую деятельность и вводит прямую обязанность медорганизации обеспечивать сохранность врачебной тайны (ст. 13). Врачебная тайна включает диагнозы, сведения о состоянии здоровья, результаты обследований, факты обращения за медицинской помощью и любые сопутствующие данные.

Клиника обязана:

  • ограничивать доступ к информации строго по должностным обязанностям;
  • фиксировать случаи предоставления данных третьим лицам;
  • устанавливать порядок хранения медицинской документации;
  • обеспечивать безопасность при передаче данных в электронной форме.

Нарушение врачебной тайны может повлечь не только административную (ст. 13.14 КоАП РФ), но и уголовную ответственность (ст. 137 УК РФ).

Совет юриста: проверьте внутренние регламенты клиники. Должны быть утверждены и строго соблюдаться: Положение о врачебной тайне, Регламент предоставления медицинской информации и Порядок доступа к электронным медкартам. Эти документы защищают клинику от претензий пациентов и штрафов при проверках.

  1. Информационная безопасность в МИС МО, телемедицине и ЕГИСЗ 

Медицинские организации обязаны работать в единой цифровой системе здравоохранения, что требует соблюдения правил, установленных Минздравом. Основные документы:

  • приказ Минздрава РФ № 911н от 24.12.2018 г. — требования к медицинской информационной системе медицинской организации (МИС МО) и программно-техническим средствам, необходимым для обеспечения информационной безопасности, 
  • приказ Минздрава РФ № 947н от 07.09.2020 г. — требования к ведению медицинской документации в электронном виде (ЭМД),
  • письмо Минздрава РФ № 18-5/1495 от 10.08.2021 г. — методические рекомендации по переходу на ЭМД.

Эти акты содержат обязательные требования к:

  • защите каналов передачи данных;
  • использованию российской инфраструктуры хранения;
  • ведению журналов действий пользователей;
  • к управлению доступами по ролям;
  • применению сертифицированных средств защиты информации;
  • изданию необходимых локальных актов, например, о видах электронных медицинских документов (ЭМД), порядке доступа к ним, перечень МИС МО, в которых осуществляется хранение ЭМД и т.д.

Совет юриста: перед подключением МИС или телемедицинского сервиса запросите у поставщика сертификаты ФСТЭК/ФСБ, подтверждение размещения серверов в РФ и полное описание применяемых мер защиты.

Как организовать систему информационной безопасности в медицинской клинике

Первый шаг включает разработку и внедрение локальных актов, регулирующих обработку и защиту данных:

  • политика информационной безопасности — основной документ, закрепляющий принципы защиты информации и порядок действий при инцидентах,
  • регламент доступа к медицинским системам — определяет, кто и в каких объёмах может работать с данными пациентов,
  • журнал учёта инцидентов — фиксирует любые нарушения или попытки несанкционированного доступа,
  • положение об обработке персональных данных — обязательный документ по ст. 18.1 ФЗ-152.

Совет юриста: все локальные акты должны быть подписаны руководителем и доступны персоналу. Регулярно проводите внутренний аудит соответствия документов требованиям ФЗ-152 и приказов Минздрава, чтобы при проверке Роскомнадзор или Минздрав не обнаружил нарушений.

Второй шаг — техническая защита IT-инфраструктуры, которая включает:

  • антивирусное ПО;
  • шифрование каналов передачи данных;
  • резервное копирование и архивирование информации;
  • контроль использования USB-носителей и внешних устройств;
  • регулярное обновление операционных систем и МИС МО.

Без этих мер ни один юридический документ не защитит клинику от технического инцидента.

Совет юриста: заключайте договор с ИТ-подрядчиком с чётко прописанными обязанностями по обеспечению защиты данных, включая ответственность за утечки. Убедитесь, что подрядчик использует сертифицированные средства защиты информации в соответствии с требованиями ФСТЭК/ФСБ.

Третий шаг — подготовка персонала. Человеческий фактор остаётся одной из главных угроз. Решение — регулярное обучение персонала:

  • инструктажи по работе с персональными данными;
  • тестирование знаний и симуляции фишинговых атак;
  • контроль соблюдения локальных актов;
  • назначение ответственных за обработку данных в каждом подразделении.

Совет юриста: ведите журналы инструктажей и фиксируйте подписи сотрудников, подтверждающие ознакомление с локальными актами и правилами обработки данных. Это обязательная часть доказательной базы при проверках Роскомнадзора.

Четвертый шаг — организация доступа в МИС МО с ограничением по необходимости работы с данными. Необходимы:

  • уникальные логины и пароли для сотрудников;
  • двухфакторная аутентификация;
  • регистрация всех действий пользователя в системе;
  • контроль прав доступа при увольнении или переводе сотрудника.

Совет юриста: закрепите в локальных актах порядок управления доступами и ответственность за нарушения. 

Информационная безопасность в медицине — это не только техническая задача, но и юридическая обязанность медицинской организации. Нарушение требований ФЗ-152, ФЗ-323 и приказов Минздрава влечёт административную, гражданско-правовую и даже уголовную ответственность, а также наносит репутационный ущерб клинике.

Для руководителя клиники ключевым выводом является то, что система ИБ должна быть комплексной:

Соблюдение этих правил не только снижает риски, но и повышает доверие пациентов, партнёров и контролирующих органов.

Автор статьи – Орленко Василий Васильевич, кандидат юридических наук, доцент

Статья написана 26.11.2025

Похожие записи:

автор статьи юрист Орленко Василий ВасильевичПроверки Роспотребнадзора в сфере общественного питания: что проверяют в 2025 году Дума собралась бороться с избыточной обработкой персональной данных как оформить политику обработки персональных данныхПолитика обработки персональных данных: зачем она нужна и как оформить Что такое биометрия и какие ограничения нужно соблюдать при работе с ней? Штрафы за нарушения в сфере персональных данных превысили миллион рублей
Записаться на консультацию
Нужна помощь юриста?

Заполните заявку ниже и мы свяжемся с вами в ближайшее время
Заявка успешно отправлена

Вопрос-ответ

Как предотвратить раскрытие врачебной тайны в медицинской клинике?
Как законно передавать медицинские данные между клиниками без нарушения врачебной тайны?
Почему необходимо проводить аудит сайта медицинской организации?
Записаться на консультацию
Нужна помощь юриста?

Заполните заявку ниже и мы свяжемся с вами в ближайшее время
Заявка успешно отправлена
Подписаться на рассылку