Департамент государственной информационной системы сообщает, что вступившие в начале года в силу требования, которые обязывают семейных врачей, оказывающих услугу общей врачебной помощи, выполнять требования Закона о кибербезопасности.
Для семейных врачей начали действовать новые требования
Это означает, что помимо прежнего обязательства по защите личных данных доктора должны оценивать связанные с их деятельностью киберриски и иметь обзор того, кто и какими системами пользуется.
Закон о кибербезопасности был принят в 2018 году, и с января этого года вступило в силу требование, которое обязывает теперь и семейных врачей выполнять более конкретные требования в части кибербезопасности.
По словам заведующего отделом надзора ДГИ Ильмара Тоома, речь не идет о совершенно новом требовании, которое семейные врачи ранее не должны были выполнять в обязательном порядке. «Требования общего постановления о защите личных данных семейные врачи должны были выполнять уже с 25 мая 2018 года. Согласно этим принципам, семейные врачи должны защищать обрабатываемые в рамках их услуги личные данные и использовать соответствующие меры, чтобы обеспечить конфиденциальность, целостность и функционирование обрабатываемых систем. Таким образом, уже несколько лет предлагающие общую врачебную помощь предприятия должны убеждаться в том, что обработка данных пациентов является правильной и правомочной», - сказал Тоом.
Тоом добавил, что вступление в силу новых требований дает центрам семейных врачей более конкретный обзор дел, которые должны быть в порядке или выполнены. «Цель введения предусмотренных Законом о кибербезопасности требований заключается в том, чтобы обеспечить эффективную и надежную защиту личных и медицинских данных людей, исходя из функционирования, целостности, а также конфиденциальности. Согласно вступившим в силу требованиям, семейный врач должен понимать, какие связанные с кибербезопасностью риски могут повлиять на услугу врачебной помощи», - отметил Тоом.
Он добавил, что после этого следует составить соответствующий анализ риска. «Для этого конкретный центр семейного врача должен иметь полный обзор своих критических действий, связанных с ними важных систем и программ, а также того, кто и как ими пользуется. Данные о здоровье всегда деликатные, поэтому должно быть ясно, какие люди и при помощи каких программ их обрабатывают», - сказал Тоом.
При проведении анализа следует исходить из рисков учреждения, от чего зависит устойчивость услуги семейного врача, подключаясь туда с ИТ, защищая личные данные и учитывая вытекающие из пользования оборудованием рисками в части безопасности труда. После этого можно разработать ответные меры по управлению рисками и обеспечить тем самым устойчивое функционирование общей врачебной помощи. «Если какой-то компьютер или система подвергнется атаке, то должен иметься план дальнейших действий, чтобы жизни людей и их данные не подвергались опасности», - сказал Тоом. Защитные меры можно применить лишь в том случае, если учреждение знает, какие риски мешают функционированию услуги.
ДГИ рекомендует семейным врачам принять в качестве отправной точки при картографировании рисков оценку влияния обработки личных данных в соответствии с общего постановления о защите личных данных (ОПЗЛД), поскольку при надлежащем подходе подготовительная работа с точки зрения выполнения требований кибезбезопасности уже будет сделана. И если речь идет о центре семейных врачей, который объединяет несколько семейных врачей, пользующихся общими организационными и информационно-техническими ресурсами, есть смысл провести совместный анализ рисков в том, что касается общих ресурсов, и выделить семейных врачей, которые участвуют в этом анализе.
Кроме того, семейные врачи должны будут в течение 24 часов информировать ДГИ об обладающих существенным эффектом киберинцидентах. Сообщать о киберинцидентах можно на портале https://raport.cert.ee/ или по адресу cert@cert.ee. Подробная информация доступна по адресу https://www.ria.ee/et/kuberturvalisus/kuberintsidendist-teavitamine.html.
Киберинцидентом считается любое происшествие в системе, которое угрожает или вредит безопасности и работе системы.