Регистрация медицинского учреждения в качестве оператора персональных баз данных

5237

Обследование и классификация информационной системы учреждения

Для определения перечня необходимых и достаточных мер и способов защиты персональных данных (далее – ПД) организация в обязательном порядке должна провести обследование имеющихся у нее информационных систем (далее – ИС), а также выделить и классифицировать те ИС, в которых обрабатываются ПД (1). Порядок проведения классификации утвержден соответствующим совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России (2).

Каждому классу ИС ПД соответствует свой набор требований к безопасности, на основании которых в соответствии с Положением о методах и способах защиты информации в информационных системах персональных данных (3) определяется перечень мер и средств защиты информации (далее – СЗИ). Такой порядок позволяет унифицировать состав применяемых программных и технических средств, сократить затраты на проектирование и проведение испытаний системы защиты, оценку соответствия ИС установленным требованиям к безопасности информации.

Классификация ИС ПД проводится на основе таких критериев, как категория ПД, их объем, характеристики безопасности и структура ИС, наличие подключения к сети Интернет, режим обработки ПД, режим разграничения прав доступа пользователей, местонахождение технических средств.

Рассмотрим эти критерии подробнее.

Обрабатываемые ПД могут быть отнесены к одной из следующих категорий:
• обезличенные и (или) общедоступные ПД (четвертая категория);
• позволяющие идентифицировать субъекта ПД (третья категория);
• позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением относящихся к первой категории (вторая категория);
• касающиеся личной жизни, в т. ч. состояния здоровья, национальной принадлежности, политических взглядов, религиозных убеждений и т. д. (первая категория).

Обезличенными считаются данные, принадлежность которых конкретному физическому лицу установить невозможно (т. е. они не позволяют однозначно идентифицировать субъекта ПД). Например, это только фамилия, имя и отчество при отсутствии каких-либо иных сведений о гражданине. Общедоступные данные – это те, доступ к которым предоставлен с согласия субъекта ПД для неограниченного круга лиц или на которые в соответствии с законами РФ не распространяется требование соблюдения конфиденциальности.

Если помимо данных о фамилии, имени и отчестве имеются также сведения об адресе места проживания, работы или учебы (т. е. гражданина можно идентифицировать), то ПД относятся к третьей категории.

Если кроме перечисленного выше в ИС ПД есть также сведения о реквизитах документа, удостоверяющего личность, о заработной плате, иные данные кадрового, налогового или пенсионного учета, – это ПД второй категории.

Если имеются сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то это уже ПД первой категории.

Объем ПД обозначается показателем “Хнпд”. Его возможные значения приведены ниже и зависят от количества субъектов (пациентов или работников организации), ПД которых обрабатываются ИС:
1 – ПД более чем 100 тыс. субъектов, или по субъекту РФ в целом, или по Российской Федерации в целом;
2 – ПД от 1 тыс. до 100 тыс. субъектов, или по отрасли экономики РФ в целом, или по муниципальному образованию в целом;
3 – ПД менее чем 1 тыс. субъектов, или по конкретной организации.

Характеристики безопасности – конфиденциальность, целостность и доступность данных. Целостность (или сохранность) ПД означает степень их защиты от любого (случайного или преднамеренного) несанкционированного удаления или изменения, а доступность – защиты от блокирования доступа к данным (невозможности их обработки или использования).

По структуре ИС может представлять собой автономные (т. е. не связанные между собой) компьютеры, локальную вычислительную сеть, территориально распределенную сеть.

Режим обработки ПД может быть однопользовательским либо многопользовательским. Права доступа пользователей к ПД могут быть одинаковыми или разными.

Местонахождение технических средств учитывается как “в пределах РФ” или “за границей”.

ИС может быть отнесена к одному из четырех классов в зависимости от возможных последствий нарушения безопасности данных (конфиденциальности, целостности, доступности) для субъектов ПД:
К1 – значительные негативные последствия;
К2 – негативные последствия;
К3 – незначительные негативные последствия;
К4 – отсутствие негативных последствий.

Очевидно, что самым “защищаемым” должны являться ИС класса К1, в то время как для ИС класса К4 специальные меры защиты ПД не требуются. В зависимости от заданных характеристик безопасности ПД, системы подразделяются на типовые и специальные. В типовых ИС ПД предусмотрено обеспечение только конфиденциальности данных, в специальных – кроме этого еще и целостности и (или) доступности.

При выделении в составе ИС медицинского учреждения отдельных групп ИС ПД основными критериями являются:
• состав субъектов, ПД которых обрабатываются;
• категория обрабатываемых ПД (см. выше);
• цель обработки ПД (назначение системы).

В целом можно выделить две основные группы ИС ПД (4): обрабатывающие ПД работников учреждения и обрабатывающие ПД о пациентах.

Первая группа ИС ПД представлена подсистемами “Кадры” и “Зарплата” (типовыми, класса К3). Поскольку состав субъектов и категория ПД совпадают, а цели их обработки совместимы, эти подсистемы можно объединить в одну ИС ПД “Кадры”. При этом передачу и актуализацию данных для целей Федерального регистра медицинских и фармацевтических работников можно рассматривать как одну из функций этой ИС ПД.

Вторая группа – это ИС ПД “Пациенты”, в которой обрабатываются данные, составляющие врачебную тайну. Она относится к специальной, класса К1.

Для проведения обследования и классификации ИС ПД приказом руководителя учреждения должна быть назначена специальная комиссия, которая составляет соответствующий акт. В акте должны быть перечислены все выделенные ИС ПД, указаны их классификационные характеристики и класс. Если в организации используется (выделено) несколько ИС ПД, то класс ИС всего учреждения соответствует самому высокому классу из всех имеющихся в нем ИС ПД. Акт утверждается руководителем медицинского учреждения.

Значения классификационных признаков ИС ПД удобно представлять в виде таблицы.

Рекомендуем в дополнение к классификационным характеристикам, указанным в “Порядке проведения классификации информационных систем персональных данных”, указать также категорию субъектов ПД (работники, пациенты) и кратко перечислить состав данных, которые обрабатываются в системе.

Для специальной (медицинской) ИС ПД следует разработать частную модель угроз безопасности ПД и провести оценку актуальности угроз. По результатам этих мероприятий требования по защите могут быть скорректированы по сравнению с типовыми. Частную модель угроз предъявляют органам Роскомнадзора, ФСТЭК России и ФСБ России при проведении ими проверок. Порядок разработки модели угроз и их оценки изложен в методических документах ФСТЭК России и в модели угроз типовой медицинской системы, разработанной Минздравсоцразвития России. Поскольку в общем случае в ЛПУ нет необходимости применять специальные средства криптографической защиты данных, методические документы ФСБ России мы не приводим.Важно Несмотря на то что это не является обязательным требованием нормативно-правовых документов, для разработки частной модели угроз целесообразно привлечь исполнителей, имеющих специальную подготовку в области защиты информации

Для типовых ИС ПД построение модели угроз безопасности информации не является обязательным.

Регистрация в качестве оператора ПД

Регистрация оператора осуществляется в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

Форма и порядок направления уведомления для регистрации учреждения в качестве оператора ПД определены приказом Роскомнадзора от 16.07.2010 № 482. Остановимся на том, как правильно заполнить это уведомление.

Регистрация медицинского учреждения в качестве оператора персональных баз данных

В поле “цель обработки персональных данных” вносятся формулировки “в медико-профилактических целях”, “в целях установления медицинского диагноза” или “в целях оказания медицинских и медико-социальных услуг” (пп. 3, 4 ч. 2 ст. 10 Закона № 152-ФЗ), а также цели деятельности учреждения (так, как это указано в учредительных документах).

В поле “категории персональных данных” в случае обработки ПД пациентов (ПД первой категории) перечисляются: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, страховой номер индивидуального лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда РФ (СНИЛС), сведения о случаях обращения за медицинской помощью, данные о состоянии здоровья.

Для обработки ПД работников учреждения (ПД второй категории) – Ф.И.О., пол, дата и место рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учета (образование, квалификация, должность и т. д.), сведения о заработной плате.

Если в ИС хранятся и обрабатываются фотографии пациентов и (или) работников учреждения, то помимо перечисленного в этом поле необходимо также указать (привести) биометрические персональные данные (фотографии) (соответственно работников или пациентов).

Важно Для хранения в ИС фотографии пациента или работника в электронном виде обязательно получение его письменного согласия (ст. 11 Закона № 152-ФЗ)

В поле “категории субъектов, персональные данные которых обрабатываются” указывается “работники (или пациенты) учреждения – граждане РФ (или стран СНГ, иностранные граждане, лица без гражданства)”.

В поле “правовое основание обработки персональных данных” делается ссылка на п. 3, 4 ч. 2 ст. 10 Закона № 152-ФЗ, ст. 31 Основ законодательства РФ об охране здоровья граждан, ст. 20 Федерального закона от 29.11.2010 № 326 (если учреждение оказывает медицинскую помощь в рамках обязательного медицинского страхования). Кроме того, при обработке ПД пациентов нужно указать реквизиты соответствующих лицензий (например, на медицинскую деятельность), при обработке ПД работников учреждения – ст. 85–90 Трудового кодекса РФ.

В поле “перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных” делается запись “смешанная обработка – ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в ЛПУ формируются массивы ПД для передачи во внешние организации (страховые медицинские организации, фонд ОМС, медицинский информационно-аналитический центр и т. п.), то нужно указать, каким образом они передаются – на машинных носителях, по защищенным каналам связи и т. п.

При описании мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке указывают класс ИС ПД. В качестве организационных и технических мер можно привести формулировки: “охрана, физическая защита и контроль доступа в помещения, в которых осуществляется обработка ПД; разграничение, контроль и учет доступа к данным в информационной системе; использование программных и технических средств защиты информации; учет и контроль машинных носителей информации, содержащих персональные данные” и т. д.

Важно При использовании в ЛПУ средств защиты информации, сертифицированных ФСТЭК России (обязательно для К1), или средств криптографической защиты информации, сертифицированных ФСБ России, они должны быть перечислены в уведомлении с указанием индексов, условных наименований и регистрационных номеров, присвоенных им соответственно ФСТЭК России или ФСБ России

В поле “срок или условие прекращения обработки персональных данных” можно указать “ликвидация или прекращение деятельности учреждения”.

Напомним также, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в Роскомнадзор. На основании уведомлений органы Роскомнадзора формируют и ведут единый реестр операторов ПД. Расходы на рассмотрение уведомлений и ведение реестра осуществляются за счет средств федерального бюджета. Регламент ведения реестра утвержден приказом Минкомсвязи России от 30.01.2010 № 18.

Решение о включении оператора в реестр принимается в течение 30 дней с момента поступления уведомления. Роскомнадзор вправе проверять содержащиеся в уведомлении сведения, запрашивать и получать информацию, необходимую для осуществления своих полномочий, как у физических, так и у юридических лиц на безвозмездной основе. Ответ по запросу органов Роскомнадзора должен быть представлен в течение семи рабочих дней.

При включении в реестр каждому оператору присваивается регистрационный номер.

Оператор может быть исключен из реестра в следующих случаях:
• по письменному заявлению оператора (с приложением обоснования);
• по решению суда о прекращении оператором деятельности по обработке ПД;
• в связи с принятием Роскомнадзором решения по приостановлению или прекращению оператором обработки ПД, осуществляемой с нарушением требований Закона № 152-ФЗ.

Исключение возможно и в ряде других случаев (их полный перечень приведен в Административном регламенте Роскомнадзора, утвержденном приказом Минкомсвязи России от 30.01.2010 № 18).

Важно Информация о включении (исключении) оператора в реестр публикуется на официальном сайте www.rsoc.ru в трехдневный срок с момента принятия такого решения Роскомнадзором; выдача оператору специального документа не предусмотрена

Сведения об операторах, включенных в реестр, размещены на портале http:// pd.rsoc.ru и являются общедоступными, за исключением данных о мерах по защите информации.

Кроме того, на портале предоставляются в электронном виде государственные услуги “Оформление уведомления об обработке (намерении осуществлять обработку) персональных данных” и “Получение выписки из реестра операторов Персональных данных”. Копию уведомления и выписки из реестра необходимо скачать с сайта портала, распечатать, зарегистрировать и хранить по принятым в учреждении правилам. Копии этих документов предъявляются при проверках ЛПУ органами Роскомнадзора.

Выписку из реестра можно также получить по почте, обратившись с запросом в территориальный орган Роскомнадзора. Установленный срок предоставления выписки составляет не более пяти дней.

В соответствии со ст. 19.7 КоаП РФ непредставление или несвоевременное представление оператором уведомления в органы Роскомнадзора может повлечь за собой наложение штрафа на юридическое лицо в размере до 5 тыс. руб. или на должностное лицо – до 500 руб.

Регистрация медицинского учреждения в качестве оператора персональных баз данных

Регистрация медицинского учреждения в качестве оператора персональных баз данных

Регистрация медицинского учреждения в качестве оператора персональных баз данных Источники информации
1 Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17.11.2007 № 781).
2 Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.
3. Утв. приказом ФСТЭК России от 05.02.2010 № 58.
4. Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Минздравсоцразвития России 23.12.2009).

Открыта подписка на 2012 год



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Критерии качества 2017: готовимся к оценке по-новому

Интервью

Обновить руководящий состав медорганизаций

Есть задача – обновить руководящий состав медорганизаций

Федот ТУМУСОВ: журналу «Здравоохранение». «Есть задача – обновить руководящий состав медорганизаций»


Рассылка




Наши продукты




















© МЦФЭР, 2006 – 2017. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль