Создание
системы защиты персональных данных
в лечебно – профилактическом учреждении
В
данном докладе кратко описана методика
создания системы защиты персональных
данных в учреждении здравоохранения
согласно закона №
152-ФЗ от 27.07.2006 г. "О
персональных данных",
который вступает в действие с 01
января 2011 г, а также всего комплекса
различных нормативных актов РФ,
содержащих требования по защите
персональных данных. Поводом для
написания доклада послужило то, что
многими руководителями создание
системы защиты персональных данных
видится как проблема защиты
информационной системы учреждения,
забывая о том, что информационная
система суть и зеркальное отражения
всей системы ведения документооборота
организации.
Все
мероприятия по обеспечению безопасности
обработки персональных данных можно
разделить на три достаточно больших
раздела:
- Организационно
– методологический
- Технический
-
Программный
Названия
достаточно условны, но позволяют
разделить работы по способу реализации
и комплексу мероприятий. Контроль и
надзор за их выполнением осуществляют
– Россвязькомнадзор, ФСТЭК, ФСБ, помимо
комиссий из профильных министерств.
Организационно
– методологический
На
данном этапе в учреждении должно
быть сформировано подразделение
отвечающее и следящее за безопасностью
обработки персональных данных в
учреждении (это может быть даже один
человек, но наделенный определенными
полномочиями). Задача этого подразделения
- организовать и поддерживать систему
обеспечения безопасности конфиденциальной
информации, а для этого надо издать
около
40 организационно-распорядительных
документов.
Даже если нет информационной системы
необходимо руководствоваться
«Положением об особенностях обработки
персональных данных, осуществляемой
без использования средств автоматизации»,
постановление Правительства РФ от
15.09.2008 г. № 687.
Небольшая
выдержка из закона
ПЕРСОНАЛЬНЫЕ
ДАННЫЕ
(ПД) – сведения о фактах, событиях и
обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его
личность [Указ Президента РФ от 06.03.97 г.
№ 188]
ПЕРСОНАЛЬНЫЕ
ДАННЫЕ
– любая информация, относящаяся к
определенному или определяемому на
основании такой информации физическому
лицу (субъекту персональных данных), в
том числе его Ф.И.О., год, месяц, дата и
место рождения, адрес, семейное,
социальное, имущественное положение,
образование, профессия, доходы, другая
информация
ОБРАБОТКА
персональных данных – действия (операции)
с персональными данными, включая сбор,
систематизацию, накопление, хранение,
уточнение (обновление, изменение),
использование, распространение (в том
числе передачу), обезличивание,
блокирование, уничтожение
ОПЕРАТОР
– государственный или муниципальный
орган, юридическое или физическое лицо,
организующее и(или) осуществляющее
обработку ПД, а также определяющее
цели и содержание обработки ПД
(закон
"О персональных данных", ст. 3)
На
основании всех нормативных актов
ниже приведен небольшой перечень
документов и мероприятий, которые
необходимо провести:
-
зарегистрироваться
в качестве оператора ПД – направить
уведомление в Роскомнадзор – уполномоченный
орган по защите прав субъектов персональных
данных (ст. 22, 23 Закона), указать класс
ИС
данных, приказы
Рос[связь]комнадзора от 17.07.08 г. № 8, от
18.02.09 г. № 42
реквизиты
медучреждения (оператора) = наименование,
ИНН, адрес и др.
цель
обработки = см.
п. 3, 4 части 2 ст. 10 закона "О персональных
данных"
категории
персональных данных = для пациентов:
Ф.И.О.,
пол, дата рождения, адрес места жительства,
реквизиты
паспорта,
полиса ОМС и др., данные о состоянии
здоровья
категории
субъектов персональных данных = работники
+ пациенты
правовое
обоснование = п.3,
4 ч. 2 ст.10 закона "О персональных
данных", реквизиты лицензии на
медицинскую деятельность + ссылки на
нормативно-методические документы
органа управления здравоохранением,
фонда ОМС и др.
перечень
действий и способы обработки персональных
данных =
смешанная
обработка, ввод, сбор, систематизация,
накопление,
хранение,
изменение, удаление, использование,
передача по
внутренней
сети, ПЕРЕДАЧА другим операторам на МН,
по каналам связи !
разграничение
и контроль доступа к данным, сертифицированные
средства
защиты, отключение от Интернет и др.
класс
ИС ПД (К1
\ К3) -
если несколько ИСПДн, то наивысший класс
-
организовать получение, учет и хранение
письменного согласия пациента на
обработку его ПД (ст. 6,9,10 Закона) =
печать
(А)
Закон "О персональных
данных", ст. 9 – письменное согласие
пациента на обработку
персональных данных:
Ф.И.О., адрес проживания
пациента, номер документа, удостоверяющего
личность, сведения
о дате его выдачи и выдавшем органе
наименование
и адрес медицинского учреждения
(оператора)
цель
обработки персональных данных = см. ст.
10 Закона
перечень
персональных данных, на обработку
которых дается согласие =
Ф.И.О.,
пол, дата рождения, адрес проживания,
телефон, реквизиты
полиса
ОМС (ДМС), СНИЛС, данные о состоянии
здоровья,
заболеваниях,
случаях обращения за медицинской помощью
перечень
действий с персональными данными =
сбор,
систематизация, накопление, хранение,
обновление,
изменение,
использование, обезличивание, блокирование,
уничтожение,
ПЕРЕДАЧА в страховую медицинскую
организацию и
фонд
ОМС
способы
обработки персональных данных =
ввод в
базу данных, хранение, просмотр, печать,
включение в реестры
(списки),
передача по внутренней сети, ПЕРЕДАЧА
по каналам связи,
на
машинных носителях с соблюдением мер
защиты от НСД
состав
передаваемых данных
=
см. перечень выше
срок
действия согласия, порядок его ОТЗЫВА
-
организовать информирование пациентов
по их запросам о способах и сроках
обработки их ПД, лицах, имеющих к ним
доступ (ст.14), а также об обработке их
ПД, полученных от третьих лиц (ст.18) =
печать
(А)
(бесплатно) ответ
пациенту
– в течение 10
раб.
дней, ответ Органу – 7 раб. Дней
-
организовать и поддерживать систему
обеспечения безопасности конфиденциальной
информации
Обобщенно
весь комплекс работ связан с
формированием четкого описания ведения
медицинского документооборота в
организации. Вот несколько характерных
примеров:
-
кто оформляет историю болезни пациента
(с использованием каких документов,
где и когда – паспортную часть в
приемном отделении - регистратор,
протоколы осмотра каждый день - врач,
анализы -лаборант и и тд и тп)
-
где и как хранят историю болезни,
анализы, договора с физическими лицами
(в регистратуре, в ординаторской, как
организован доступ)
-
как передают историю болезни, анализы,
направления (лично врач, медсестра,
сам пациент, как фиксировать сам факт
передачи)
-
кто имеет доступ к историям болезни
( врач только к историям своих
пациентов, а когда он дежурит? Медсестра
- ? и тд и тп)
-
кто и к каким разделам истории
болезни имеет доступ ( регистратор к
паспортным данным, медсестра к листу
назначения, лаборант к анализам, врач
ко всему)
-
разделение пациентов на категории
(декретированные
категории,
персонал учреждения, прочие доступ
к информации о них и как хранить
вместе, раздельно)
В
итоге на основании всех изданных
организационно – распорядительных
документов будет сформирован порядок
оформления документации в учреждении
и матрица доступа к документам и
информации, а также порядок ее
хранения, передачи и уничтожения.
Документально это будет оформлено в
виде «положения о порядке ведении
документооборота в организации». Все
это ляжет в основу прав доступа к
информации, находящейся в информационной
системе и все мероприятия к разделению
и контролю защиты персональных данных
в информационной системе будут
опираться на эти нормативные документы.
Следует напомнить, что помимо создания
всего комплекса защиты персональных
данных необходимо еще внедрить и
научить сотрудников исполнять данные
мероприятия.
Технический
На
этом этапе проводится комплекс работ,
связанный с техническим оснащением
и переоборудованием помещений, где
хранится документация, каналов связи,
по которым передается информация,
рабочих мест, где формируется
персональная информация. Данный
комплекс работ может быть проведен
с привлечением сертифицированной
организации, специализирующейся на
данном направлении. Весь перечень и
характер мероприятий должен
согласовываться с разработанными
нормативными организационно –
распорядительными документами.
Примерный перечень таких мероприятий
приведен ниже:
-
пропускной режим доступа в учреждение
-
физическая охрана
-
кодовые замки для доступа в помещение
-
шкафы и сейфы для хранения документов
-
система видеонаблюдения помещений
-
переносные кейсы для транспортировки
документов
-
электронные ключи доступа для работы
на компьютере
-
системы антивирусной защиты
-
системы защиты по техническим каналам
-
межсетевые экраны
-
контроль доступа в интернет
-
лицензионное программное обеспечение
( лицензия на СУБД)
-
средства контроля электронной почты
-
системы криптографической защиты
В
итоге будет создана техническая
основа, для выполнения всего комплекса
мероприятий по обеспечению защиты
персональных данных в учреждении.
Программный
Данный
этап является логическим завершением
всех предыдущих мероприятий по защите
персональных данных. На этом этапе
происходит модификация и настройка
прикладного программного обеспечения
с использованием которого происходит
обработка персональных данных на
основании тех правил и рекомендаций,
которые описаны в организационно –
распорядительных документах учреждения,
а также используются дополнительные
сертифицированные программные
продукты, обеспечивающие и реализующие
дополнительные необходимые защитные
функции. Основные работы должны
включать в себя реализацию следующих
мероприятий:
-
создание электронных журналов
регистрации и учета доступа в
информационную систему
-
управление и разграничение доступа
к информации в системе
-
создание электронных журналов контроля
действий пользователей (создание.,
редактирование, удаление информации)
-
криптографическая защита и контроль
целостности трафика
-
внедрение электронной подписи
-
контроль целостности хранимой
информации
-
кодирование информации при необходимости
В
итоге будет создана полноценная
информационная система, отвечающая
всем требованиям по защите персональных
данных при их хранении и обработки.
Обобщая
все вышеописанное - защита информации
с использованием автоматизированных
средств обработки данных это комплекс
организационно-технических мероприятий,
направленных на предотвращение потери,
искажения и несанкционированного
доступа к данным и ресурсам информационной
системы (ИС)
Примерный
комплекс мероприятий для информационной
системы:
-
категорирование всех массивов данных (ИР)
персональная,
конфиденциальная, открытая информация
(инвентаризация, идентификация и учет
ИР, ответственные)
-
разграничение
полномочий доступа к ресурсам ИС
приказ
о допуске
-
авторизация,
контроль и учет действий с данными +
контроль копирования, печати, обмена
данными по каналам связи
регистрация
событий в спец. электронных. журналах
("черный ящик")
просмотр
+ мониторинг = учёт + безотказность
-
применение
устройств аутентификации пользователей
для доступа в ИС,
двухфакторная
идентификация, пароли, карточки, e-Token,
биометрические средства (отпечаток
пальца) и др.
-
межсетевые экраны
выход
в Интернет, интеграция ИС разного класса
-
защита от вирусов
-
использование средств ЭЦП
обеспечение
целостности информации
-
шифрование ПДн при передаче по каналам
связи и на внешних МН, сертифицированные
ФСБ средства криптозащиты, ответственные
(отдельный приказ), журнал учета
криптоключей и др.
-
учет внешних носителей данных (маркировка,
журнал учета и др.)
-
резервное копирование / восстановление
данных (регламент, учет копий)
обеспечение
целостности данных
-
раздельное хранение носителей данных
с резервными копиями -
функциональная
безопасность
обеспечение
непрерывности функционирования –
доступность информации (надежность,
отказоустойчивость, резервирование
техники
-
использование
источников бесперебойного питания
-
физическая
защита = контроль доступа в помещения
и к компьютерам, охрана периметра
(контролируемой зоны)
-
комплексное
планирование, обеспечение ресурсами
-
обучение
персонала (инструктажи, допуск к работе,
ознакомление с
документы
под роспись и т.д.)
-
систематические
проверки и контроль
Порядок
создание системы защиты персональных
данных с использованием информационной
системы обработки данных:
обследование
и анализ объекта - определение класса
ИСПД по таблице (К1)
разработка
"Модели угроз безопасности... "
(определение каналов утечки информации
и модели нарушителя, оценка актуальности
угроз)
разработка
требований по защите ИСПДн на основе
типовых требований и модели угроз
разработка
ТЗ (техпроекта) на создание системы
(определение мер, способов и состава
средств защиты и др.)
закупка
и установка сертифицированных средств
защиты информации
(срок
действия сертификата на СЗИ – 3 года);
установка средств защиты
лицензиатами
ФСТЭК и ФСБ
постановление
Правительства РФ от 17.11.07 г. № 781, п. 5 +
СТР-К, п. 2.16 ->
применение
сертифицированных СЗИ.
5-
издание
приказов о допуске персонала и регламентах
обработки конфиденциальной информации,
назначении ответственных за ОБИ, обучение
персонала и др., всего
40
документов.
6-
испытания
системы
приказ
о вводе в эксплуатацию
7-
декларирование
соответствия (аттестация)
объекта информатизации (ИС) на соответствие
требованиям защиты информации.
Лицензия
ФСТЭК на техническую защиту информации
(лицензия – на 5 лет) = нужны сотрудники
со спецподготовкой по ОБИ.
1
- Обследование и анализ информационной
системы включает в себя следующее:
Анализ
информационных ресурсов
Определение
состава, содержания и местонахождения
защищаемых ПДн
Категорирование
ПДн
Оценка
выполнения оператором обязанностей по
обеспечению безопасности ПДн
Анализ
уязвимых элементов и возможных угроз
безопасности ПДн
Оценка
возможности физического доступа к ИС
ПДн
Выявление
возможных технических каналов утечки
информации
Анализ
возможностей программно-математического
воздействия на ИС ПДн
Анализ
возможностей электромагнитного
воздействия на ПДн в ИС ПДн
Оценка
возможного ущерба от реализации угроз
безопасности ПДн
Оценка
непосредственного ущерба – причинения
вреда субъекту ПДн
Оценка
опосредованного ущерба – причинения
вреда обществу или государству
Анализ
имеющихся мер и средств защиты ПДн
от
физического доступа,
от
утечки по техническим каналам, от
несанкционированного доступа, от
программно-математических воздействий,
от электромагнитных воздействий
2
- Разработка
замысла системы обеспечения безопасности
ПДн и «Модели угроз»
Определение
основных направлений по защите ПДн
по
подразделениям
по
уязвимым элементам, направлениям защиты
по
категориям ПДн
Выбор
способов защиты ПДн
по
направлениям защиты
по
актуальным угрозам
по
возможности реализации с учётом затрат
Решение
основных вопросов управления защитой
ПДн
организация
охраны
организация
служебной связи и сигнализации
организация
взаимодействия
организация
резервирования программного и аппаратного
обеспечения
организация
управления администрированием
Решение
основных вопросов обеспечения защиты
ПДн
финансового
технического
и программного
информационного
кадрового
Резюмируя
все выше описанное, можно однозначно
говорить о том, что выполнение данных
мероприятий потребуют достаточно
больших ресурсов и финансовых затрат.
Если в странах западной Европы на
эти мероприятия отводилось почти
десять лет, то нам дали всего один
год. До
1
января 2011 г.
все ИС персональных данных должны быть
приведены в соответствие с
законодательством.
Небольшой
перечень нормативных документов
Конституция
Российской Федерации (12.12.1993 г., ред. ...
от 21.07.07 г.№ 5-ФЗ),
ст.
23, 24 (неприкосновенность частной жизни,
личная и семейная тайна),
ст.
41, 42 (недопустимость сокрытия информации
... угроза жизни и здоровью)
Конвенция
Совета Европы от 28.01.1981 г. "О защите
физических лиц при
автоматизированной
обработке персональных данных"
Закон
"О ратификации Конвенции Совета
Европы "О защите физических
лиц
при автомат-ой обработке перс. данных",№
160-ФЗ от 19.12.2005 г.
Закон
"Об информации, информационных
технологиях и защите
информации",
№ 149-ФЗ от 27.07.2006 г.
Закон
"О персональных данных", № 152-ФЗ от
27.07.2006 г. (Закон)
(в
ред.
закона
от 27.12.2009
г.
№
363-ФЗ
-
изм.
ст.
19, ст.
25)
Основы
законодательства Российской Федерации
об охране здоровья
граждан,
№ 5487-1 от 22.07.1993 г. (ред. от 18.10.07 г. № 230-ФЗ)
ст.19,30,31,32,33,34, 61
Закон
"О медицинском страховании граждан
в Российской Федерации,
№ 1499-1
от 28.07.1991 г. (ред. от 29.12.06 г. № 258-ФЗ) [ст.
12 ведение баз данных]
Об
утверждении перечня сведений
конфиденциального характера, Указ
Президента
РФ № 188 от 06.03.1997 г. (в ред. Указа Президента
РФ от 23.09.05 г. № 1111)
Трудовой
кодекс Российской Федерации, ст. 85-90
(защита персональных
данных
работника) (ст. 88 – согласие сотрудника
на передачу его ПД) !
Закон
"Об индивидуальном (персонифицированном)
учете в системе
обязательного
пенсионного страхования",№ 27-ФЗ от
01.01.1996 г. (ред. ...
от
19.07.07 г.№ 140-ФЗ)
О
мерах по обеспечению информационной
безопасности РФ при
использовании
информационно-телекоммуникационных
сетей
международного
информацинного обмена, Указ Президента
РФ от
17.03.2008г.
№ 351 [Интернет]
Об
утверждении Положения об обеспечении
безопасности персональных
данных
при их обработке в информационных
системах персональных
данных,
постановление Правительства РФ от
17.11.2007 г. № 781
Об
утверждении Требований к материальным
носителям биометрических
персональных
данных и технологиям хранения таких
данных вне
информационных
систем персональных данных, постановление
Правительства
РФ от 06.07.2008 г. № 512
Об
утверждении Положения об особенностях
обработки персональных
данных,
осуществляемой без использования
средств автоматизации,
постановление
Правительства РФ от 15.09.2008 г. № 687
Порядок
проведения классификации информационных
систем
персональных
данных (приказ ФСТЭК, ФСБ, Мининформсвязи
России
от
13.02.2008 г. № 55/86/20 = приказ "трех")
Методика
определения актуальных угроз безопасности
ПД при их
обработке
в информационных системах ПД (ФСТЭК,
14.02.2008 г.,
гриф
"ДСП" снят 16.11.2009 г.)
Базовая
модель угроз безопасности персональных
данных при их
обработке
в информационных системах ПД (ФСТЭК,
15.02.2008 г.,
ДСП,
выписка на сайте www.fstec.ru *)
Положение
о методах и способах защиты информации
в
информационных
системах персональных данных (приказ
ФСТЭК
от 05.02.2010 г. № 58, рег. № 16456 в Минюсте РФ
от 19.02.2010 г. )
Типовые
требования по организации и обеспечению
функционирования
шифровальных
(криптографических) средств, предназначенных
для
защиты
информации, не содержащей сведений,
составляющих
государственную
тайну в случае их использования для
обеспечения
безопасности
ПД при их обработке в ИС ПД (ФСБ, 21.02.2008
г.)
Методические
рекомендации по обеспечению с помощью
криптосредств
безопасности
ПД при их обработке в ИС ПД с использованием
средств
автоматизации
(ФСБ, 21.02.2008 г.)
Специальные
требования и рекомендации по технической
защите
конфиденциальной
информации (СТР-К, Гостехкомиссия РФ,
30.08.2002 г.)
Методические
рекомендации по организации защиты
информации
при
обработке персональных данных в
учреждениях
здравоохранения,
социальной сферы, труда и занятости
(23.12.2009
г., согласованы с ФСТЭК)
Методические
рекомендации по составлению частной
модели
угроз
угроз безопасности персональных данных
при их
обработке
в информационных системах персональных
данных
учреждений
и организаций здравоохранения, социальной
сферы,
труда и занятости (23.12.2009 г.)
Модель
угроз типовой медицинской информационной
системы
типового
лечебно-профилактического учреждения
(согласована
с
ФСТЭК, письмо от 27.11.09 г. № 240/2/4009) ->
К3
www.minzdravsoc.ru/docs/mzsr/informatics/
-
26.12.2009 г.
Об
организации работ по технической защите
информации (письмо
Федерального
фонда ОМС от 22.04.2008 г. № 2170/90-и)
Постановления
Правительства РФ о лицензировании
деятельности ...
№
504
от 15.08.06 г. по технической защите ...
информации
№
957
от 29.12.07 г. ...
связанных
с криптографическими средствами
ГОСТ
Р 52636-2006 Электронная история болезни.
Общие положения
ГОСТ
Р 52069.0-2003 Защита информации. Система
стандартов. Основные
положения
+ ГОСТ Р 50922-2006 Основные термины и
определения
ГОСТ
Р ИСО/МЭК 15408-1,2,3-2002 Функциональные
требования безопасности +
ГОСТ
Р ИСО/МЭК ТО 15446-2008 Руководство по
разработке профилей
защиты
и заданий по безопасности
ГОСТ
Р ИСО/МЭК ТО 13335-5-2006, 13335-1,3,4-2007
Информационная
технология.
Методы и средства обеспечения безопасности.
ГОСТ
Р ИСО/МЭК 27001-2006 Системы менеджмента
информационной
безопасности.
Требования + ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент
инцидентов
информационной безопасности
ГОСТ
Р ИСО/МЭК 17799-2005 Информационная технология.
Практические
правила
управления информационной безопасностью
ГОСТ
Р 51275-2006 Защита информации. Объект
информатизации. Факторы,
воздействующие
на информацию. Общие
положения
ISO/TS
22220:2009 Health informatics. Identification of subject of health
care.
ISO/TS
25237:2208 Health informatics. Pseudonymization.
prCEN/TR
15872 Health informatics. Guidance on patient identification and
cross-referencing
of identities \ www.cen.eu/cenorm/homepage.htm
март
2010
А.П.Столбов
П.П. Кузнецов Автоматизированаая
обработка и защита персональных данных
в медицинских учреждений
|
С
уважением,
генеральный
директор
ЗАО «ИнфоСиб»
|
|
/________________/
Г.Г. Кузнецов
|
|
