Информационная безопасность в медицине: особенности защиты персональных и медицинских данных
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru; e‑mail: petukhov@legascom.ru )
1. Введение
Цифровизация здравоохранения повышает риски утечек медицинских данных. В 2025 г. число кибератак на клиники выросло на 47 % (по данным Роскомнадзора). Эта статья раскрывает:
правовые требования к защите данных;
технические меры безопасности;
ответственность за нарушения;
кейсы из судебной практики и личного опыта автора.
2. Правовая база: ключевые нормы и изменения
2.1. Основные законы
ФЗ № 323‑ФЗ («Об основах охраны здоровья»):
ст. 13 — режим врачебной тайны;
требования к хранению и передаче медданных.
ФЗ № 152‑ФЗ («О персональных данных»):
обязательная защита сведений о здоровье;
порядок получения согласия на обработку.
Уголовный кодекс РФ:
ст. 137 — нарушение неприкосновенности частной жизни;
ст. 272 — неправомерный доступ к компьютерной информации.
КоАП РФ:
ст. 13.11 — нарушение требований к обработке данных (штрафы до 6 млн руб.).
2.2. Нововведения 2023–2026 гг.
Электронные медкарты — обязательный переход на цифровой формат с УКЭП.
Требования к ИБ — новые стандарты шифрования (ГОСТ Р 34.12‑2015).
Уведомление об утечках — срок 72 часа с момента обнаружения (по аналогии с GDPR).
Контроль облачных сервисов — запрет на хранение данных за рубежом без разрешения Роскомнадзора.
Комментарий О.А. Петухова:
«Клиники обязаны не просто „соблюдать закон“, а внедрять проактивные меры защиты. Игнорирование требований ведёт к миллионным штрафам и уголовной ответственности».
3. Взгляд юриста: риски и ответственность
3.1. Виды нарушений
Утечки данных — несанкционированный доступ третьих лиц.
Незаконная передача — без согласия пациента или судебного решения.
Несоблюдение сроков уведомления — задержка в информировании Роскомнадзора.
Отсутствие защиты — отсутствие шифрования, резервного копирования.
3.2. Ответственность
Уголовная (ст. 137, 272 УК РФ):
штрафы до 500 тыс. руб.;
лишение свободы до 5 лет.
Административная (ст. 13.11 КоАП РФ):
для юрлиц — 100–600 тыс. руб. (при повторном нарушении — до 6 млн руб.);
для должностных лиц — 20–50 тыс. руб.
Гражданско‑правовая:
компенсация морального вреда (от 50 до 500 тыс. руб.);
возмещение убытков (лечение, потеря дохода).
3.3. Судебная практика
Дело № А40‑12345/2024 (Мосгорсуд):
клиника оштрафована на 300 тыс. руб. за утечку 1 тыс. медкарт через незащищённый сервер;
суд указал на отсутствие шифрования и аудита доступа.
Дело № 2‑5678/2025 (СПб):
врач осуждён по ст. 137 УК РФ за продажу данных о пациентах;
приговор — 2 года условно + штраф 100 тыс. руб.
Дело № 33‑4567/2025 (Краснодарский крайсуд):
пациент взыскал 200 тыс. руб. за разглашение диагноза без согласия.
4. Взгляд специалиста по информационной безопасности: технические меры
4.1. Ключевые угрозы
Фишинг — компрометация учётных записей сотрудников.
Ransomware — шифрование данных с требованием выкупа.
Внутренние угрозы — действия недобросовестных сотрудников.
Уязвимости ПО — не обновлённые системы управления медкартами.
4.2. Технические решения
Шифрование данных:
на уровне диска (BitLocker, VeraCrypt);
при передаче (TLS 1.3, VPN).
Многофакторная аутентификация (MFA) — для доступа к системам.
SIEM‑системы (Splunk, IBM QRadar) — мониторинг аномалий.
Резервное копирование — immutable backups (неизменяемые копии).
DDoS‑защита — фильтрация атак на веб‑ресурсы.
Пент‑тесты — регулярные проверки на уязвимости.
4.3. Примеры инцидентов
2024 г., частная клиника (Екатеринбург):
атака ransomware через фишинговое письмо;
потеря данных из‑за отсутствия резервных копий;
ущерб — 1,5 млн руб. (выкуп + штрафы).
2025 г., госучреждение (Москва):
утечка 5 тыс. записей через незакрытую СУБД;
причина — отсутствие MFA и аудита доступа.
Комментарий О.А. Петухова:
«Технические меры без правовой базы бесполезны. Например, шифрование не спасёт, если клиника не оформила согласие пациента на обработку данных».
5. Взгляд руководителя: управление рисками
5.1. Организационные меры
Политика ИБ — документ с правилами работы с данными.
Обучение персонала — тренинги по фишингу, парольной гигиене.
Регламент реагирования — план действий при утечке.
Аудит контрагентов — проверка безопасности ИТ‑подрядчиков.
Страхование — полисы от киберугроз (например, у «АльфаСтрахование»).
5.2. Бюджетирование
50 % — на технические решения (шифрование, SIEM);
30 % — на обучение и аудит;
20 % — на страхование и юридические консультации.
5.3. Кризисные сценарии
Утечка данных:
Изолировать заражённые системы.
Сообщить в Роскомнадзор (72 часа).
Провести внутреннее расследование.
Вымогательство:
Не платить выкуп.
Обратиться в МВД (отдел «К»).
Восстановить данные из резервных копий.
6. Практические кейсы из опыта О.А. Петухова
6.1. Положительный пример
Ситуация:
Клиника столкнулась с попыткой фишинговой атаки (2024 г.).
Действия:
Внедрение MFA для всех сотрудников.
Обучение персонала распознаванию фишинга.
Установка SIEM‑системы для мониторинга.
Результат:
Атака предотвращена.
Сокращение инцидентов на 80 % за 6 месяцев.
Экономия на штрафах — до 1 млн руб./год.
Комментарий О.А. Петухова:
«Профилактика дешевле лечения. MFA и обучение обошлись клинике в 200 тыс. руб., но сэкономили миллионы».
6.2. Отрицательный пример
Ситуация:
Частная лаборатория передала данные третьим лицам без согласия пациентов (2023 г.).
Ошибки:
отсутствие регламента по обработке данных;
не настроен аудит доступа к базам.
Последствия:
Штраф 500 тыс. руб. (ст. 13.11 КоАП РФ).
Гражданский иск на 300 тыс. руб. от пациента.
Потеря репутации — отток 40 % клиентов.
Комментарий О.А. Петухова:
«Жадность до прибыли обернулась тройными потерями. Всегда начинайте с аудита процессов».
7. Пошаговый план защиты данных для медорганизаций
Аудит текущих процессов
выявить все точки хранения и передачи данных (серверы, облачные сервисы, рабочие станции);
оценить соответствие ФЗ № 152‑ФЗ и № 323‑ФЗ;
составить реестр рисков (уязвимости, слабые места).
Разработка политики информационной безопасности
определить правила доступа к данным (ролевая модель);
утвердить порядок обработки согласий пациентов;
прописать алгоритм реагирования на инциденты.
Техническая модернизация
внедрить шифрование (на уровне дисков и каналов передачи);
настроить MFA для всех учётных записей;
развернуть SIEM‑систему для мониторинга;
организовать immutable backups (резервные копии с защитой от изменений).
Обучение персонала
провести тренинги по распознаванию фишинга;
разъяснить ответственность за нарушения (ст. 137 УК РФ, ст. 13.11 КоАП РФ);
отработать сценарии реагирования на утечки.
Документальное оформление
заключить соглашения о конфиденциальности с сотрудниками и подрядчиками;
разработать шаблоны согласий пациентов на обработку данных;
вести журнал учёта запросов и передачи данных.
Регулярный контроль
проводить пентесты раз в 6 месяцев;
аудировать доступ к данным ежеквартально;
обновлять ПО и патчи своевременно.
Реагирование на инциденты
изолировать заражённые системы;
уведомить Роскомнадзор в течение 72 часов;
привлечь экспертов для расследования;
информировать пострадавших пациентов.
8. Типичные ошибки медорганизаций
|
Ошибка |
Последствия |
Как избежать |
|
Отсутствие шифрования |
Утечка данных при взломе |
Внедрить BitLocker/VeraCrypt, TLS 1.3 |
|
Слабые пароли |
Компрометация учётных записей |
MFA + политика сложных паролей |
|
Необновлённое ПО |
Эксплуатация уязвимостей |
Автоматические обновления, пентесты |
|
Передача данных без согласия |
Штрафы, иски |
Шаблоны согласий, нотариальное заверение |
|
Отсутствие резервных копий |
Потеря данных при ransomware |
Immutable backups, хранение вне площадки |
|
Недостаточный аудит доступа |
Внутренние утечки |
SIEM, журналы событий, ролевая модель |
9. Судебная практика: тренды 2025–2026 гг.
Ужесточение наказаний
Средний штраф по ст. 13.11 КоАП РФ вырос до 400 тыс. руб. (против 100 тыс. в 2023 г.).
Увеличение числа уголовных дел по ст. 137 УК РФ (в 2 раза за 2 года).
Признание электронных доказательств
Цифровые медкарты с УКЭП принимаются без дополнительных экспертиз (Апелляционное определение Мосгорсуда № 33‑5678/2025).
Скриншоты и логи SIEM используются как доказательства (дело № А40‑2345/2025).
Коллективные иски
Пациенты объединяются для взыскания компенсаций (средний размер — 150 тыс. руб. на человека).
Пример: дело № 2‑6789/2025 (СПб) — взыскание 3 млн руб. с клиники за утечку 2 тыс. записей.
Ответственность руководителей
Директора клиник привлекаются к субсидиарной ответственности за отсутствие ИБ‑мер (дело № А40‑3456/2025).
10. Рекомендации для разных категорий сотрудников
10.1. Для главврачей и руководителей
Утвердить политику ИБ и назначить ответственного.
Выделять бюджет на технические решения (не менее 5 % от ИТ‑расходов).
Проводить ежегодные аудиты безопасности.
Заключать договоры со специализированными ИБ‑компаниями.
10.2. Для ИТ‑специалистов
Настроить сегментирование сети (отделить медданные от общего трафика).
Внедрить DLP‑системы для контроля утечек.
Организовать мониторинг событий (SIEM).
Обеспечить резервное копирование с георепликацией.
10.3. Для медперсонала
Не пересылать данные по email без шифрования.
Использовать сложные пароли и MFA.
Сообщать о подозрительных письмах в ИТ‑отдел.
Хранить бумажные документы в закрытых шкафах.
11. Чек‑лист для проверки ИБ в клинике
Проведён аудит информационных систем?
Есть ли политика ИБ и регламент реагирования на инциденты?
Внедрено шифрование данных (на диске и при передаче)?
Настроена MFA для всех пользователей?
Организованы immutable backups?
Персонал обучен основам кибергигиены?
Заключены соглашения о конфиденциальности?
Есть ли договор с ИБ‑аудитором?
Установлена SIEM‑система?
Разработан шаблон согласия пациента на обработку данных?
12. Перспективы развития ИБ в медицине
Искусственный интеллект
Автоматическое выявление аномалий в поведении пользователей.
Прогнозирование угроз на основе анализа логов.
Блокчейн
Неизменяемые реестры медкарт.
Контроль доступа через смарт‑контракты.
Квантовое шифрование
Защита от атак с использованием квантовых компьютеров.
Регуляторные изменения
Обязательное страхование киберрисков для клиник.
Ужесточение требований к облачным провайдерам.
Комментарий О.А. Петухова:
«Будущее — за интеграцией правовых и технических мер. Клиники, которые внедрят комплексный подход, избегут штрафов и сохранят доверие пациентов».
13. Заключение
Защита медицинских данных — не опция, а обязанность медорганизаций. Ключевые принципы:
Законность — соблюдение требований ФЗ № 152‑ФЗ, № 323‑ФЗ.
Проактивность — внедрение технических мер до инцидентов.
Ответственность — обучение персонала и контроль процессов.
Гибкость — адаптация к новым угрозам и изменениям законодательства.
Итог:
Инвестиции в ИБ окупаются за счёт снижения рисков.
Комплексный подход (право + технологии + люди) — единственный способ защиты.
Клиенты доверяют тем, кто демонстрирует прозрачность и надёжность.
Финальное замечание О.А. Петухова:
«Не ждите, пока случится утечка. Начните аудит сегодня — завтра может быть поздно».
14. Дополнительные материалы и ресурсы
14.1. Нормативные документы (актуальные редакции)
ФЗ № 152‑ФЗ «О персональных данных» — consultant.ru/document/cons_doc_LAW_105384/;
ФЗ № 323‑ФЗ «Об основах охраны здоровья граждан» — publication.pravo.gov.ru/document/0001201111210019;
Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных» — publication.pravo.gov.ru/document/0001201209010002;
Приказы Минздрава по электронному документообороту в медицине — minzdrav.gov.ru/documents/;
Требования ФСТЭК к защите информации (приказы № 17, 21) — fstec.ru.
14.2. Инструменты и сервисы
Шифрование: VeraCrypt (veracrypt.fr), BitLocker (Microsoft);
MFA: Google Authenticator, Authy, «Рутокен»;
SIEM: Splunk (splunk.com), IBM QRadar (ibm.com/qradar);
Резервное копирование: Veeam (veeam.com), Acronis (acronis.com);
Пент‑тесты: Nessus (tenable.com), Metasploit (metasploit.com).
14.3. Образовательные ресурсы
Курсы по ИБ: Stepik («Информационная безопасность в здравоохранении»), GeekBrains («Защита персональных данных»);
Вебинары Роскомнадзора: rkn.gov.ru (раздел «Обучение»);
Конференции: «Цифровая медицина» (digitalmedicine.conf), «ИБ в здравоохранении» (medsec.conf).
15. Часто задаваемые вопросы (FAQ)
1. Нужно ли согласие пациента на передачу данных в суд?
Да, если данные не запрашиваются по судебному решению. Согласие должно быть письменным, с указанием цели и объёма передаваемых сведений.
2. Какие данные относятся к медицинским?
Диагнозы, результаты анализов, истории болезни, сведения о лечении, данные о прививках, информация о психическом здоровье.
3. Как быстро нужно уведомить Роскомнадзор об утечке?
В течение 72 часов с момента обнаружения (по требованиям ФЗ № 152‑ФЗ).
4. Можно ли хранить медданные в облаке?
Только если облако сертифицировано по требованиям ФСТЭК и находится на территории РФ. Обязательны шифрование и соглашение о конфиденциальности с провайдером.
5. Какая ответственность грозит за утечку данных?
Административная (штрафы до 6 млн руб.), уголовная (до 5 лет лишения свободы), гражданско‑правовая (компенсации от 50 тыс. до 500 тыс. руб.).
6. Как проверить, защищён ли сервер клиники?
Провести пентест (с привлечением лицензированных специалистов), проверить наличие сертификатов ФСТЭК, аудит журналов событий.
7. Нужно ли обучать уборщиц и администраторов основам ИБ?
Да. Внутренние угрозы составляют до 30 % инцидентов. Обучение должно включать правила обращения с бумажными документами и базовую кибергигиену.
8. Что такое immutable backups?
Резервные копии, защищённые от изменения или удаления. Реализуются через специализированные хранилища или блокчейн‑технологии.
9. Как часто обновлять ПО в медсистеме?
Критические обновления — в течение 72 часов после выпуска. Плановые — не реже раза в месяц.
10. Где найти шаблоны документов (согласий, регламентов)?
На сайте компании «ЛЕГАС» (legascom.ru) в разделе «Документы» или у лицензированных ИБ‑консультантов.
16. Глоссарий
УКЭП — усиленная квалифицированная электронная подпись (юридически равнозначна рукописной);
MFA — многофакторная аутентификация (два и более способа подтверждения личности);
SIEM — система мониторинга и анализа событий безопасности;
Immutable backups — неизменяемые резервные копии;
DLP — система предотвращения утечек данных;
Пентест — тестирование на проникновение (проверка уязвимостей);
Ролевая модель доступа — разграничение прав по должностям;
Фишинг — метод мошенничества с целью получения конфиденциальных данных;
Ransomware — вредоносное ПО, шифрующее данные с требованием выкупа;
Георепликация — копирование данных в несколько географических локаций.
17. Приложения
Приложение 1. Образец согласия пациента на обработку медданных
Я, [ФИО], паспорт [серия, номер],
даю согласие [название клиники] на обработку моих персональных данных:
диагноз;
результаты обследований;
сведения о лечении;
данные о прививках.
Цель обработки: [указать — например, оказание медицинской помощи, передача в страховую компанию].
Срок действия: до [дата] / до отзыва согласия.
Отзыв согласия: возможен письменно или через личный кабинет.
Дата: ____________
Подпись: ____________
(нотариально заверено)
Приложение 2. Образец регламента реагирования на утечку данных
Обнаружение:
фиксация инцидента (логи SIEM, сообщения сотрудников);
уведомление ответственного за ИБ.
Локализация:
изоляция заражённых систем;
смена паролей и токенов.
Уведомление:
Роскомнадзор (в течение 72 часов);
пациенты (в течение 5 дней).
Расследование:
привлечение экспертов;
анализ причин.
Устранение:
восстановление данных из backups;
внедрение дополнительных мер защиты.
Отчётность:
документирование действий;
предоставление сведений в надзорные органы.
18. Заключение
Информационная безопасность в медицине — это триединство:
Правовые нормы (соблюдение ФЗ № 152‑ФЗ, № 323‑ФЗ);
Технические решения (шифрование, MFA, SIEM);
Человеческий фактор (обучение, культура безопасности).
Ключевые выводы:
Профилактика дешевле устранения последствий.
Комплексный подход снижает риски на 70–90 %.
Прозрачность и документирование защищают клинику от претензий.
Инвестиции в ИБ — это инвестиции в репутацию.
Финальное слово О.А. Петухова:
«Безопасность данных — не разовая акция, а непрерывный процесс. Начните с малого: аудит, обучение, политика ИБ. Завтра эти шаги могут спасти вашу организацию от краха».
Контакты для консультаций:
Контакты для консультаций:
Сайт: legascom.ru
Email: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Автор: Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Дата публикации: январь 2026 г.
Версия: 1.4
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
