Требования информационной безопасности к медицинским учреждениям делятся на три группы:
1) Законодательство о персональных данных.
Постановление Правительства № 1119 определяет правила категорирования информационных систем, в которых обрабатываются данные о здоровье субъекта персональных данных — не слабее 3 уровня защищённости. А приказ ФСТЭК России № 21 перечисляет технические и организационные меры защиты для таких информационных систем.
2) Медицинские и государственные информационные системы.
Приказ Министерства здравоохранения РФ № 911н и Постановление Правительства Р Ф № 1236 определяют специальные требования к медицинским информационным системам медицинской организации (МИС МО) — запрет на допуск иностранной продукции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), то для защиты будут применяться меры Приказа ФСТЭК России № 17.
Эти же меры должны использоваться для интегрированных с МИС МО информационных систем (Постановление Правительства Р Ф № 447 от 12.04.2018).
3) Критическая информационная инфраструктура (КИИ).
После введения в действия в 2017 г. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», если медицинская организация является субъектом критической информационной инфраструктуры, или одной из её информационных систем присвоена категория значимости объекта КИИ (ЗОКИИ), то необходимо выполнять дополнительные требования информационной безопасности. Они установлены приказом ФСТЭК России № 239.
Система защиты информации медучреждения обязана выполнять функциональные требования по информационной безопасности, предъявляемые ФСТЭК России.