Защита персональных данных в медицинских организациях Начальник отдела развития информационно-коммуникационных технологий Министерства здравоохранения и социального развития Республики Карелия Войтенко Татьяна Леонтьевна Зачем крадут данные из медицинских учреждений в России? Деятельность «черных» риэлторов и иных преступных элементов Продвижение биологически активных добавок (БАД) Продвижение лекарственных препаратов Продвижение платных медицинских услуг Продвижение добровольного медицинского страхования, страхования жизни, пенсионного страхования Мошенничество с выплатами Надзорные органы: Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) ФОИВ, уполномоченный в области обеспечения безопасности (ФСБ России) ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК) Орган надзора и контроля за соблюдением трудового законодательства (Федеральная служба по труду и занятости) Надзорный орган за соблюдением прав и свобод человека и гражданина (Прокуратура Российской Федерации) Нормативные документы по вопросам защиты информации: Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утв.Постановлением Правительства РФ от 17.11.2007 г. № 781 «Порядок проведения классификации информационных систем персональных данных», утв.совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утв. Постановлением Правительства РФ от 15.09.2008 г. № 687 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Зам. директора ФСТЭК России 15.02.08 г. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Зам. директора ФСТЭК России 15.02.08 г. «Положение о методах и способах защиты информации в информационных системах персональных данных», утв. приказом ФСТЭК России от 05.02.2010г. № 58 Методические рекомендации по организации защиты информации при обработке ПДн в учреждениях здравоохранения, …, утв. Минздравсоцразвития РФ 23.12.2009г. Методические рекомендации по составлению Частной модели угроз безопасности ПДн при их обработке…, утв. Минздравсоцразвития РФ 23.12.2009г. Основные понятия Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных Порядок классификации ИСПДн определен Приказом ФСТЭК России/ФСБ России/Мининформсвязи РФ №55/86/20 от 13.02.2008 3 2 1 < 1000 от 1000 до 100 000 >100 000 К4 К4 К4 Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) категория 4 обезличенные и (или) общедоступные персональные данные категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных КЗ КЗ К2 категория 2 персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 КЗ К2 К1 категория 1 персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни К1 К1 К1 Перечень организационных мероприятий по защите ПДн в ИСПДн Приказ о назначении ответственного за обработку ПДн в учреждении Приказ о назначении комиссии по проведению первичной проверки и классификации ИСПДн Проведение первичной проверки обеспечения защиты ПДн в ИСПДн с оформлением отчета Классификация ИСПДн (оформление актов на каждую ИСПДн) Уведомление об обработке ПДн в Роскомнадзор Мероприятия по минимизации количества ИСПДн Мероприятия по снижению класса ИСПДн Приказ о назначении администратора безопасности ИСПДн Приказ о назначении администраторов ИСПДн План мероприятий по обеспечению защиты ПДн в учреждении Разработка и утверждение ряда документов, положений, инструкций, с которыми необходимо ознакомить работников учреждения (под роспись) Отчет о проведении первичной проверки обеспечения защиты ПДн в ИСПДн должен содержать: Перечень ИСПДн, Описание параметров ИСПДн, Описание структуры и конфигурации ИСПДн, Описание процессов обработки ПДн в ИСПДн, Перечень лиц, осуществляющих обработку ПДн, Перечень осуществляемых мер защиты информации Перечень необходимых мер защиты для достижения требуемого законом уровня Примерный перечень документов по защите ПДн в ИСПДн Положение об обработке ПДн в учреждении Концепция информационной безопасности Политика информационной безопасности Модель угроз безопасности по каждой ИСПДн поэтажный план здания с нумерацией помещений перечень помещений в которых разрешена обработка ПДн перечень работников учреждения, имеющих право вскрытия помещений, в которых производится обработка ПДн перечень ПДн, подлежащих защите в ИСПДн Положение о разграничении прав доступа к обрабатываемым ПДн в ИСПДн инструкция администратора безопасности ИСПДн инструкция администратора ИСПДн инструкция пользователя ИСПДн инструкция пользователя при возникновении аварийных ситуаций инструкция по организации антивирусной защиты Положение о порядке доступа к ресурсам Интернет Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, БД и СЗИ Приказ по учреждению, ограничивающий использование внешних устройств чтения/записи, в т.ч. USB-накопителей (флеш-дисков, внешних жестких дисков, МР3-плееров и пр.) – рекомендуется Примерный перечень обязанностей администратора безопасности ИСПДн: Обеспечение действия парольной политики доступа к ЛВС и к серверам учреждения (посредством Active Directory), Установка, настройка и сопровождение технических средств защиты, в том числе СКЗИ, антивирусных средств защиты и межсетевых экранов, Контрольные и тестовые испытания и проверки элементов ИСПДн Разработка поэтажных планов-схем структурированной кабельной сети учреждения с указанием рабочих мест пользователей и IPадресов Поддержка их в актуальном состоянии Анализ состояния системы защиты ИСПДн и ее отдельных подсистем Контроль над процессом осуществления резервного копирования объектов защиты Контроль над выполнением «Плана мероприятий по обеспечению защиты ПДн в ИСПДН» Контроль исполнения пользователями парольной политики Контроль работы пользователей в сети Интернет В случае отказа работоспособности систем - своевременное восстановление и выявление причин отказа Ликвидация последствий внештатных и аварийных ситуаций Спасибо за внимание Войтенко Татьяна Леонтьевна tvoitenko@social.onego.ru (8142) 79-29-14