Вебинар прошёл.
Альянс — только начинается!

Документы (60+ наименований — вот главные 10)

1. Политика обработки персональных данных — опишите своими словами, как собираете, храните и защищаете данные пациентов. Не копируйте шаблоны слово в слово — адаптируйте под вашу клинику.
2. Приказ о назначении ответственного за ПДн — назначьте конкретного человека (можно главврача, можно себя). Без приказа штраф автоматический.
3. Согласия пациентов на обработку ПДн — у каждого пациента должно быть подписанное согласие. Если старых нет — начните собирать прямо сейчас.
4. Модель угроз безопасности ПДн — документ, где описано: какие угрозы существуют (взлом, утечка, пожар), насколько они вероятны, какие меры защиты внедрены. Делается один раз при запуске системы.
5. Техническое задание на создание системы защиты (ТЗ на СЗПДн) — формальный документ: что защищаем, как защищаем, какие технические средства используем. Нужен для аттестации.
6. Инструкция по работе с ПДн для персонала — 2-3 страницы: что можно, что нельзя, куда жаловаться. Главное — чтобы сотрудники её читали и расписывались в журнале ознакомления.
7. Журнал учёта носителей ПДн — все флешки, внешние диски, бумажные карты фиксируются. Обычный Excel подойдёт, главное — вести регулярно.
8. Договоры с подрядчиками о неразглашении — если сторонние компании настраивают МИС, чинят компьютеры, делают сайт — в договоре обязательно должен быть пункт о конфиденциальности.
9. План реагирования на инциденты — что делать, если случилась утечка, взлом или украли ноутбук. Пропишите хотя бы 5-7 шагов и контакты ответственных.
10. Акты уничтожения старых документов — старые медкарты и бумаги с ПДн не выбрасываем в мусорку — уничтожаем шредером или через специализированную компанию, оформляем акт.

Полный список из 60+ документов (приказы, согласия, акты, журналы) в PDF у вас на почте

Техническая защита (7 уровней обороны)

11. Межсетевой экран (firewall) на периметре — блокирует атаки извне, закрывает лишние порты. Можно на роутере настроить базовую защиту, а лучше — аппаратный firewall (от 30 тыс₽).
12. Сегментация сети на зоны — разделите: Wi-Fi для пациентов, компьютеры персонала, сервер с МИС, резервное хранилище. Взломали один сегмент — не попадут в другой.
13. Антивирус на всех компьютерах — лицензионный российский (Dr.Web, Kaspersky, ESET). Главное — регулярное обновление антивирусных баз.
14. Контроль доступа (кто что может видеть) — врач видит только своих пациентов, администратор — расписание, IT-специалист не может скачать базу целиком. Настраивается в МИС и на файловом сервере.
15. Журналирование всех действий (audit trail) — кто зашёл в МИС, кто открыл карту пациента, кто скачал файл. Логи хранить минимум 6 месяцев. При проверке РКН обязательно спросят.
16. Шифрование дисков на ноутбуках — используйте встроенные средства шифрования всего диска. Украдут ноутбук — данные защищены паролем.
17. Безопасные каналы связи для удалённого доступа — если врачи работают из дома или подключаетесь к серверу удалённо, используйте защищённые каналы с шифрованием данных.
18. Обновления операционных систем — Windows/Linux должны обновляться регулярно. Включите автообновления. 90% взломов — через старые дыры в системе.
19. Блокировка USB-портов — запретите использование флешек на рабочих станциях. Только у администратора. Настраивается групповыми политиками.
20. Мониторинг событий безопасности — настройте сбор логов с серверов, firewall, антивируса. Анализируйте подозрительную активность. Можем помочь настроить систему мониторинга 24/7.

Резервное копирование (чтобы не потерять всё)

21. Правило 3-2-1: три копии, два носителя, одна offsite — база МИС должна быть в трёх местах: на сервере, на локальном NAS, в облачном хранилище или на внешнем диске offsite.
22. Автоматическое резервное копирование каждые 4-6 часов — настройте автобэкап в МИС или на уровне сервера. Максимальная потеря данных (RPO) — 4 часа работы.
23. Шифрование резервных копий — бэкапы должны быть зашифрованы. Украдут внешний диск — данные без пароля не прочитать.
24. Офлайн-копия (air-gap) — одна копия бэкапа должна быть отключена от сети (внешний диск в сейфе). Это защитит от шифровальщиков, которые ищут подключённые диски.
25. Регулярная проверка восстановления — раз в месяц проверяйте, что можете восстановить базу из бэкапа. Многие узнают, что бэкап не работает, только когда он нужен.
26. Документирование процедуры восстановления — пропишите пошагово: как запустить восстановление, куда обращаться, какие команды выполнять. Чтобы в панике не забыть.

Персонал и процессы (человеческий фактор)

27. Обучение персонала основам кибербезопасности — проведите тренинг (2 часа): как распознать фишинг, зачем нужны сложные пароли, почему нельзя фоткать медкарты на телефон. Можете сами провести или заказать наш курс Кибергигиена™
28. Политика паролей: минимум 8 символов, буквы+цифры — запретите пароли типа "12345" или "password". Используйте менеджеры паролей (Bitwarden, 1Password).
29. Политика "чистого стола" и "чистого экрана" — ушёл из кабинета → убрал медкарты в шкаф, заблокировал компьютер. Настройте автоблокировку через 5 минут бездействия.
30. Контроль при увольнении сотрудников — увольняется человек → сразу блокируем доступ в МИС, меняем пароли от общих ресурсов. Обиженные сотрудники — частая причина утечек.