Здравоохранение

Порядок действий мед. учреждения при регистрации в качестве оператора персональных данных

  • 15 декабря 2011
  • 34

Что медицинскому учреждению необходимо сделать в первую очередь при регистрации в качестве операто­ра персональных данных?

Заместитель главного врача, Липецкая область

Для определения перечня необходимых и достаточных мер и способов защиты персональных данных (далее - ПД), организа­ция в обязательном порядке должна провести обследование имею­щихся у нее информационных систем (далее - ИС), а также выде­лить и классифицировать те ИС, в которых обрабатываются ПД.

Порядок проведения классификации утвержден соответ­ствующим совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России.

Каждому классу ИС ПД соответствует свой набор требований к безопасности, на основании которых в соответствии с Положе­нием о методах и способах защиты информации в информацион­ных системах персональных данных определяется перечень мер и средств защиты информации (далее - СЗИ). Такой порядок по­зволяет унифицировать состав применяемых программных и технических средств, сократить затраты на проектирование и проведение испытаний системы защиты, оценку соответствия ИС установленным требованиям к безопасности информации.

Классификация ИС ПД проводится на основе таких критериев, как категория ПД, их объем, характеристики безопасности и структура ИС, наличие подключения к сети Интернет, режим об­работки ПД, режим разграничения прав доступа пользователей, местонахождение технических средств.

Рассмотрим эти критерии подробнее.

Обрабатываемые ПД могут быть отнесены к одной из следую­щих категорий:

  • обезличенные и (или) общедоступные ПД (четвертая катего­рия);
  • позволяющие идентифицировать субъекта ПД (третья катего­рия);
  • позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением относя­щихся к первой категории (вторая категория);
  • касающиеся личной жизни, в т. ч. состояния здоровья, нацио­нальной принадлежности, политических взглядов, религиоз­ных убеждений и т. д. (первая категория).

Объем ПД обозначается показателем Х . Его возможные значения приведены ниже и зависят от количества субъектов (паци­ентов или работников организации), ПД которых обрабатывают­ся ИС:

1       - ПД более чем 100 тыс. субъектов, или по субъекту РФ в це­лом, или по Российской Федерации в целом;

2       - ПД от 1 тыс. до 100 тыс. субъектов, или по отрасли эконо­мики РФ в целом, или по муниципальному образованию в целом;

3       - ПД менее чем 1 тыс. субъектов, или по конкретной органи­зации.

Характеристики безопасности - конфиденциальность, це­лостность и доступность данных. Целостность (или сохранность) ПД означает степень их защиты от любого (случайного или пред­намеренного) несанкционированного удаления или изменения, а доступность - защиты от блокирования доступа к данным (не­возможности их обработки или использования).

По структуре ИС может представлять собой автономные (т. е. не связанные между собой) компьютеры, локальную вычисли­тельную сеть, территориально распределенную сеть.

Режим обработки ПД может быть однопользовательским либо многопользовательским. Права доступа пользователей к ПД могут быть одинаковыми или разными.

Местонахождение технических средств учитывается как “в пределах РФ” или “за границей”.

ИС может быть отнесена к одному из четырех классов в зави­симости от возможных последствий нарушения безопасности данных (конфиденциальности, целостности, доступности) для субъектов ПД:

К1 - значительные негативные последствия;

К2 - негативные последствия;

К3 - незначительные негативные последствия;

К4 - отсутствие негативных последствий.

Очевидно, что самым “защищаемым” должны являться ИС класса К1, в то время как для ИС класса К4 специальные меры защиты ПД не требуются.

В зависимости от заданных характеристик безопасности ПД, системы подразделяются на типовые и специальные. В типовых ИС ПД предусмотрено обеспечение только конфиденциальности данных, в специальных - кроме этого еще и целостности и (или) доступности.

Все ИС ПД, в которых обрабатываются данные о здоровье, не­зависимо от значения классификационных характеристик (в т. ч. от объема обрабатываемых данных) относятся к классу К1 и явля­ются специальными.

При выделении в составе ИС медицинского учреждения от­дельных групп ИС ПД основными критериями являются:

  • состав субъектов, ПД которых обрабатываются;
  • категория обрабатываемых ПД (см. выше);
  • цель обработки ПД (назначение системы).

Для типовых ИС ПД построение модели угроз безопасности информации не является обязательным.

Регистрация оператора осуществляется в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Форма и порядок направления уведомления для регистрации учреждения в качестве оператора ПД определены приказом Роскомнадзора от 16.07.2010 № 482. Остановимся на том, как пра­вильно заполнить это уведомление.

В поле “цель обработки персональных данных” вносятся формулировки “в медико-профилактических целях”, “в целях установления медицинского диагноза” или “в целях оказания ме­дицинских и медико-социальных услуг” (пп. 3, 4 ч. 2 ст. 10 Закона № 152-ФЗ), а также цели деятельности учреждения (так, как это указано в учредительных документах).

В поле “категории персональных данных” в случае обработки ПД пациентов (ПД первой категории) перечисляются: Ф. И. О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхо­вания, сведения о наличии льгот, страховой номер индивидуально­го лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда РФ (СНИЛС), сведения о случаях обра­щения за медицинской помощью, данные о состоянии здоровья.

Для обработки ПД работников учреждения (ПД второй кате­гории) - Ф. И. О., пол, дата и место рождения, адрес места житель­ства, реквизиты документа, удостоверяющего личность, реквизи­ты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учета (образование, квалифи­кация, должность и т. д.), сведения о заработной плате.

Если в ИС хранятся и обрабатываются фотографии пациентов и (или) работников учреждения, то помимо перечисленного в этом поле необходимо также указать (привести) биометрические персональные данные (фотографии) (соответственно работников или пациентов).

Для хранения в ИС фотографии пациента или работника в электронном виде обязательно получение его письменного согла­сия (ст. 11 Закона № 152-ФЗ).

В поле “категории субъектов, персональные данные которых обрабатываются” указывается “работники (или пациенты) учре­ждения - граждане РФ (или стран СНГ, иностранные граждане, лица без гражданства)”.

В поле “правовое основание обработки персональных дан­ных” делается ссылка на пп. 3, 4 ч. 2 ст. 10 Закона № 152-ФЗ, ст. 31 Основ законодательства РФ об охране здоровья граждан, ст. 20 Федерального закона от 29.11.2010 № 326 (если учреждение ока­зывает медицинскую помощь в рамках обязательного медицин­ского страхования). Кроме того, при обработке ПД пациентов нужно указать реквизиты соответствующих лицензий (напри­мер, на медицинскую деятельность), при обработке ПД работни­ков учреждения - ст. 85-90 Трудового кодекса РФ.

В поле “перечень действий с персональными данными, об­щее описание используемых оператором способов обработки персональных данных” делается запись “смешанная обработка - ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в ЛПУ формируются массивы ПД для передачи во внешние органи­зации (страховые медицинские организации, фонд ОМС, меди­цинский информационно-аналитический центр и т. п.), то нужно указать, каким образом они передаются - на машинных носите­лях, по защищенным каналам связи и т. п.

При описании мер, которые оператор обязуется осущест­влять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке указы­вают класс ИС ПД. В качестве организационных и технических мер можно привести формулировки, “охрана, физическая защи­та и контроль доступа в помещения, в которых осуществляется обработка ПД; разграничение, контроль и учет доступа к данным в информационной системе; использование программных и тех­нических средств защиты информации; учет и контроль машин­ных носителей информации, содержащих персональные данные” и т. д.

При использовании в ЛПУ средств защиты информации, сер­тифицированных ФСТЭК России (обязательно для К1), или средств криптографической защиты информации, сертифициро­ванных ФСБ России, они должны быть перечислены в уведомле­нии с указанием индексов, условных наименований и регистрационных номеров, присвоенных им соответственно ФСТЭК Рос­сии или ФСБ России.

В поле “срок или условие прекращения обработки персо­нальных данных” можно указать “ликвидация или прекращение деятельности учреждения”.

Напомним также, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в Роскомнадзор.

На основании уведомлений органы Роскомнадзора формиру­ют и ведут единый реестр операторов ПД. Расходы на рассмотре­ние уведомлений и ведение реестра осуществляются за счет средств федерального бюджета. Регламент ведения реестра утвер­жден приказом Минкомсвязи России от 30.01.2010 № 18.

Решение о включении оператора в реестр принимается в тече­ние 30 дней с момента поступления уведомления. Роскомнадзор вправе проверять содержащиеся в уведомлении сведения, запра­шивать и получать информацию, необходимую для осуществле­ния своих полномочий, как у физических, так и у юридических лиц на безвозмездной основе. Ответ по запросу органов Роскомнадзора должен быть представлен в течение семи рабочих дней.

При включении в реестр каждому оператору присваивается регистрационный номер.

Нормативные и методические документы по теме:

  • Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”;
  • Положение об обеспечении безопасности персональных дан­ных при их обработке в информационных системах персо­нальных данных (утв. постановлением Правительства России от 17.11.2007 № 781);
  • Порядок проведения классификации информационных систем персональных данных (утв. приказом ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008);
  • Положение о методах и способах защиты информации в ин­формационных системах персональных данных (утв. прика­зом ФСТЭК России от 05.02.2010 № 58);
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных дан­ных (утв. ФСТЭК России 15.02.2008);
  • Методика определения актуальных угроз безопасности персо­нальных данных при их обработке в информационных систе­мах персональных данных (утв. ФСТЭК России 14.02.2008);
  • Методические рекомендации по организации защиты инфор­мации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Минздравсоцразвития России 23.12.2009);
  • Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учрежде­ний и организаций здравоохранения, социальной сферы, тру­да и занятости (утв. Минздравсоцразвития России 23.12.2009);
  • Модель угроз типовой медицинской информационной систе­мы типового лечебно-профилактического учреждения (утв. Минздравсоцразвития России, согласована с ФСТЭК России, письмо от 27.11.2009 № 240/2/4009);
  • Административный регламент Федеральной службы по надзо­ру в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции “Ве­дение реестра операторов, осуществляющих обработку персо­нальных данных” (утв. приказом Минкомсвязи России от 30.01.2010 № 18);
  • Образец формы уведомления об обработке персональных дан­ных (утв. приказом Роскомнадзора от 16.07.2010 № 482).

Рекомендации по теме

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:
Сайт предназначен для медицинских работников!


Материалы для zdrav.ru готовят лучшие эксперты в сфере здравоохранения. Чтобы защитить их авторские права, многие статьи на нашем сайте закрыты

Подтвердите ваш статус медработника - регистрация займет одну минуту:)

Пакет готовых инструкций, чтобы пройти проверку Росздравнадзора в подарок!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
ИЛИ ВОЙТИ ЧЕРЕЗ СОЦИАЛЬНЫЕ СЕТИ
Зарегистрироваться
Сайт предназначен для медицинских работников!


Материалы для zdrav.ru готовят лучшие эксперты в сфере здравоохранения. Чтобы защитить их авторские права, многие статьи на нашем сайте закрыты

Подтвердите ваш статус медработника - регистрация займет одну минуту.

Пакет готовых инструкций, чтобы пройти проверку Росздравнадзора в подарок!!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
ИЛИ ВОЙТИ ЧЕРЕЗ СОЦИАЛЬНЫЕ СЕТИ
Зарегистрироваться
×
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.