Об утверждении Правил взаимодействия иных информационных систем, касающихся деятельности медицинских организаций и предоставляемых ими услуг

Ранее мы упоминали проект Постановления Правительства (см. здесь), которое должно пояснить требования по защите информации в информационных системах, касающихся деятельности медицинских организаций и их услуг.

12 апреля 2018 года Постановление Правительства РФ № 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями» вступило в силу. В Постановлении под термином «иные системы» подразумеваются информационные системы, которые взаимодействуют с Единой информационной системой в сфере здравоохранения (ЕГИСЗ) или реализуют различные (в том числе предоставляющие информацию) сервисы в сфере здравоохранения для граждан, медицинских организаций и медработников.

Данный документ устанавливает как организационные, так и технические требования к функционированию «иных систем». Особое внимание уделяется защите персональных данных граждан и медицинских работников. При обработке в иных информационных системах персональных данных специальной категории (составляющих в том числе врачебную тайну) данным документом предъявляются дополнительные требования к мерам по безопасности, в числе прочего, требуется применение сертифицированных средств защиты информации. Также все «иные системы» должны соответствовать требованиям по безопасности информационных систем общего пользования, установленных Министерством цифрового развития, связи и массовых коммуникации РФ.

Если вы владелец системы, предоставляющей сервисы:

• записи на прием к врачу,
• предоставления справочной информации,
• телемедицины,
• оформления первичной учетной документации,
• осуществления расчетов за оказанные медицинские услуги,
• и прочих,

то вы попадаете под действие данного Постановления, что влечет подключение к ЕГИСЗ и к ресурсам Электронного Правительства в установленном порядке. При этом одним из важных пунктов является необходимость получения аттестата соответствия системы защиты информации «иной системы» требованиям по безопасности информации (скорее всего, речь про требования к автоматизированным системам, так как ссылки на конкретные нормативные акты не приводятся). А при обработке в «иной системе» персональных данных первого и второго уровня защищенности — на соответствие требованиям Приказов ФСТЭК России № 17 и 21.

Кроме того, как мы помним, Приказ Минздрава РФ № 965н позволяет медицинским организациям оказывать медпомощь с применением телемедицинских технологий только с использованием ЕГИСЗ. Фактически, это означает, что все «иные системы», в которых есть телемедицина, должны проходить процедуру аттестации в обязательном порядке для их легитимного использования в медицинских организациях.