Цифровизация и информатизация системы здравоохранения, реализуемая в рамках стратегии развития информационного общества и национального проекта «Здравоохранение», связана с внедрением и использованием информационных систем в медицинских и фармацевтических организациях для оказания качественной медицинской и лекарственной помощи. Информационные системы, предназначенные для автоматизации бизнес-процессов деятельности, предусматривают совокупность информационных, программных и технических, а также организационных средств [1, 2]. При этом в информационных системах объединены данные о финансовой, экономической, административной и организационной информации; медицинские сведения о пациентах; результаты исследований, мониторингов и др. Применение информационных систем позволяет сокращать ошибки при заполнении отчетной документации, осуществлять быстрый доступ к медицинской информации больших объемов и др. [3].

Следует отметить о возможности интеграции информационных систем медицинских и фармацевтических организаций с Единой государственной информационной системой в сфере здравоохранения (ЕГИСЗ), одной из задач которой стоит информационное обеспечение государственного регулирования в сфере здравоохранения. ЕГИСЗ включает информацию о данных федеральной электронной регистратуры, электронных медицинских карт пациентов (ЭМК), электронных медицинских документов и др. Также в состав информации ЕГИСЗ входят и федеральные реестры. Федеральный регистр медицинских работников (ФРМР) —  это централизованная база данных, которая содержит информацию о всех медицинских и фармацевтических работниках России. Федеральный регистр медицинских организаций (ФРМО), который содержит сведения о структуре, профилях деятельности, адресах и оснащении каждого медицинского учреждения. Подсистемы ЕГИСЗ представлены специализированным регистром пациентов по отдельным заболеваниям и/или состояниям, реестром лекарственных препаратов для медицинского применения, а также информационно-аналитической подсистемой мониторинга и контроля в сфере закупок лекарственных препаратов [4].

Следовательно, объединенная цифровая среда здравоохранения содержит актуальную информацию о техническом, лекарственном, кадровом обеспечении сферы здравоохранения и личных данных пациентов о состоянии их здоровья. Однако, как показывает практика, цифровая трансформация сопровождается ростом рисков, среди которых ведущее место занимают угрозы информационной безопасности. Поэтому необходимо обеспечение безопасности информационных систем для сохранности личных данных пациентов, специалистов путем разработки направлений защиты данных и оборудования от компьютерных атак [5–8].

Таким образом, актуальность темы определяется несколькими факторами. Во-первых, медицинские данные относятся к специальной категории персональных данных, их утечка влечет за собой нарушение права пациента на врачебную тайну. Во-вторых, медицинские и фармацевтические организации признаны субъектами критической информационной инфраструктуры (КИИ), что налагает на них повышенные требования к защите информации. В-третьих, рост числа компьютерных атак на сектор здравоохранения свидетельствует о высокой уязвимости отрасли (за первое полугодие 2025 г. их количество увеличилось на 24 % по сравнению с аналогичным периодом 2024 г.). В-четвертых, уровень цифровой грамотности медицинских и фармацевтических работников и подготовки в сфере информационной безопасности нередко оказывается недостаточным.

Вышеизложенное определило цель настоящей работы —  формирование комплексного подхода к обеспечению информационной безопасности в медицинских и фармацевтических организациях.

Достижение поставленной цели включало решение последовательных задач.

1. Анализ этапов развития защиты информационной безопасности в сфере здравоохранения.
2. Выделение и структурирование угроз информационной безопасности в здравоохранении.
3. Проведение анализа современных методов и технологий защиты информации.
4. Разработку рекомендаций и предложений по обеспечению информационной безопасности в медицинских и фармацевтических организациях.

МАТЕРИАЛЫ И МЕТОДЫ

Основой исследования явились научные публикации, как отечественных, так и зарубежных ученых в рамках применения информационных технологий при оказании медицинской и лекарственной помощи. Изучались нормативно-правовые акты в области цифровой трансформации здравоохранения. В процессе исследования использовались методы: логический, структурный, контент-анализ.

РЕЗУЛЬТАТЫ И ОБСУЖДЕНИЯ

На основе анализа нормативных документов показано, что информация как медицинская, так и фармацевтическая в российской правовой системе относится к категории «сведения, составляющие врачебную тайну» (ст. 13, ст. 20 Федерального закона № 323-ФЗ) [9] и одновременно к «специальным категориям персональных данных» (ст. 10 Федерального закона № 152-ФЗ) [10]. Такой двойной правовой статус предопределяет особый режим ее обработки. Сбор, хранение и передача таких данных требуют согласия субъекта или наличия законных оснований.

Формирование правового поля информационной безопасности российского здравоохранения происходит постепенно. Основное внимание, прежде всего, уделено соблюдению врачебной тайны и защите персональных данных в соответствии с Федеральным законом № 152-ФЗ [10]. В 2017 г. принят Федеральный закон № 187-ФЗ, который изменил подходы к защите информации. Так, медицинские информационные системы (МИС) и фармацевтические системы (ФС) отнесены к объектам критической информационной инфраструктуры (КИИ), что повлекло за собой обязанность по их категорированию [11]. В рамках выполнения требований закона о КИИ, оказывающие медицинскую и лекарственную помощь обязаны провести категорирование не только информационных систем, но и автоматизированных систем управления технологическими процессами (АСУ ТП), к которым относится и медицинское оборудование. Также необходимо создание ведомственных центров мониторинга и применение сертифицированных средств защиты.

В 2021 г. вступили в силу поправки к Указу Президента РФ № 250 [12], предписывающие руководителям организаций КИИ создать структурные подразделения по информационной безопасности. Это требование распространяется на организации федерального, регионального и муниципального уровней.

В 2022 г. Правительство РФ определило задачи Единой государственной системы здравоохранения (ЕГИСЗ), ее структуру, порядки и сроки предоставления информации, участников информационного взаимодействия, порядок защиты информации, содержащейся в единой системе, а также требования к программно-техническим средствам. Следующим важным этапом стало повышение требований к использованию иностранного программного обеспечения. С 2025 г. субъектам КИИ запрещено применять средства защиты информации иностранного производства [13].

Таким образом, на государственном уровне решаются вопросы защиты информационной безопасности в здравоохранении.

Проведенный анализ выявленных рисков цифровизации здравоохранения в рамках цифровой информационной безопасности показал, что наиболее вероятными представляются угроза утраты персональных данных пациента и компьютерные атаки на цифровые базы медицинских и фармацевтических организаций [14–17].

Установлено, что угрозы безопасности цифровых систем классифицируются по различным критериям. Следовательно, для дальнейшего изучения данного вопроса целесообразно использовать классификацию угроз информационной безопасности, адаптированную для медицинских и фармацевтических организаций. В связи с тем что угрозы исходят не только извне, но и изнутри организации нами представлена классификация по расположению источника угроз относительно организации (рисунок).

Внешние угрозы проявляются в целенаправленных компьютерных атаках. Используются вредоносные программы для заражения систем и блокировки доступа к данным; DDoS-атаки на телемедицинские сервисы затрудняют работу информационных систем МО и ФО; фишинг и социальная инженерия, в виде рассылки писем от имени руководителей организации с просьбой сообщить пароль, направлены на получение конфиденциальной информации от пользователей. Устаревшие ИТ-системы нами также отнесены к внешним угрозам, потому что содержат уязвимости и могут использоваться злоумышленниками для несанкционированного доступа.

Внутренние угрозы информационной безопасности по источнику возникновения распределены на неумышленные и умышленные действия сотрудников организации. Угрозы, входящие в первую группу, связаны с потерей USB-флеш-накопителя (флешки), содержащего базы данных; с отправкой конфиденциальной информации в мессенджеры, с личной электронной почты (e-mail); с использованием простых паролей для аутентификации. Умышленные/намеренные действия могут сопровождаться продажей данных о пациентах конкурентам, копированием информации перед увольнением, нарушения регламентов работы с информационными системами и т. д.

Таким образом, понимание конкретных угроз информационной безопасности способствует формированию комплексной защиты от рисков.

Теоретические основы информационной безопасности в медицинских и фармацевтических организациях предполагают использование различных методов и технологий, включая технические средства защиты, юридические механизмы, а также организационно-управленческие методы.

Технические средства защиты охватывают: системы обнаружения и блокировки вторжений, программно-аппаратные решения (DLP-системы) против утечек данных, антивирусное программное обеспечение (ПО) и файерволы (межсетевой экран и др.). Для обеспечения безопасности данных применяются криптографические методы (алгоритмы шифрования данных и электронная цифровая подпись). Контроль доступа к данным обеспечивается системой аутентификации, предусматривающей использование паролей, сертификатов и биометрических данных.

На современном этапе развития общества правительство РФ поставило задачу создания программ по разработке отечественного ПО. Переход на отечественное ПО, предписанный законодательством, имеет не только политическое, но и практическое значение. Продукты российских разработчиков не уступают зарубежным аналогам по функциональности, а в ряде аспектов (интеграция с государственными системами мониторинга, адаптация к специфике российского законодательства) превосходят их [13].

Соблюдение требований в области обработки, хранения и передачи персональных данных в сфере здравоохранения регулируется комплексом нормативных правовых актов, а юридические механизмы правоприменения предусматривают ответственность за нарушение правил информационной безопасности в виде возмещения нанесенного пациенту ущерба и оплаты штрафа согласно ст. 13.11 КоАП РФ.

Технические средства и юридические механизмы защиты информации будут эффективны только в том случае, если они встроены в систему организационно-управленческих инструментов, которые используются для достижения целей и выполнения задач организации.

По результатам исследования нами предложен подход к обеспечению информационной безопасности в здравоохранении для оказания качественной медицинской и лекарственной помощи, состоящий из основных направлений и критериев оценки информационной безопасности.

Одним из направлений является категорирование объектов КИИ в соответствии с законодательством. В зависимости от требований к средствам защиты объекту присваивается категория значимости — п ервая, вторая или третья. Медицинские и фармацевтические организации включены в реестр значимых объектов КИИ [11].

Следующее направление предполагает создание системы реагирования на инциденты, связанные с несанкционированным доступом к информации: «разработка стандартной операционной процедуры (СОП) для четкого регламента действий при обнаружении взлома или утечки информации». Это позволяет понимать, кто принимает решение об отключении системы, кто взаимодействует с правоохранительными органами, кто уведомляет пациентов. Регулярные учения (например, имитация фишинговой атаки) помогают отработать эти действия на практике.

Важным направлением в обеспечении информационной безопасности является непрерывное обучение персонала. Изучение основ защиты информации следует начинать уже на этапе подготовки студентов вузов, с последующим повышением квалификации в рамках системы дополнительного профессионального образования.

Предложенные критерии оценки информационной безопасности для организаций медицинского и фармацевтического профиля включают:

1. регулярность обновления антивирусного ПО;
2. наличие структурного подразделения, отвечающего за информационную безопасность, наличие утвержденной СОП в этой области;
3. долю сотрудников, прошедших инструктаж по информационной безопасности;
4. отсутствие зафиксированных нарушений в области защиты информации.

ВЫВОДЫ

В ходе исследования установлено, что регулирование информационной безопасности в здравоохранении прошло последовательные этапы, которые отражают планомерное усиление государственных требований к защите информации. Угрозы информационной безопасности медицинских и фармацевтических организаций подразделяются на внешние и внутренние. Анализ методов защиты информации выявил три взаимодополняющие группы: технические, юридические и организационно-управленческие, при этом применение каждой группы в отдельности не обеспечивает достаточного уровня защиты. Для повышения информационной безопасности в медицинских и фармацевтических организациях предложен комплексный подход, содержащий основные направления и критерии оценки.