Защита информации в учреждениях здравоохранения

Защита информации в Защита информации в учреждениях здравоохраненияучреждениях здравоохранения

152 - ФЗ «О персональных данных»152 - ФЗ «О персональных данных» от 27.07.2006 г., в редакции 261-ФЗ от от 27.07.2006 г., в редакции 261-ФЗ от

25.07.2011г.25.07.2011г.

Целью настоящего закона является Целью настоящего закона является обеспечение защиты прав и свобод человека и обеспечение защиты прав и свобод человека и гражданина при обработке его персональных гражданина при обработке его персональных

данных, в том числе защиты прав на данных, в том числе защиты прав на неприкосновенность частной жизни, личную и неприкосновенность частной жизни, личную и

семейную тайну. Ст. 2семейную тайну. Ст. 2

Новая редакция Федерального закона 152-ФЗ «О персональных данных», существенным

образом изменила ряд важных норм законодательства, таких как область

применения закона, принципы и условия обработки персональных данных, организация

технической защиты персональных данных, государственный контроль за выполнением

законодательства и многих других.

Основным виновником несанкционированного

доступа к персональным данным является, как правило, персонал, работающий с документами и

базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и

базам данных входит в число основных направлений организационной защиты

информации и предназначена для разграничения полномочий между руководителями и

специалистами организации.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

п.1 с согласия субъекта персональных данных,п.4 осуществляется в медико-профилактических

целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну),

Письменного согласия не требуется , если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Специальные категории ПДн, обрабатываемые в ГБУЗ ВО «МИАЦ» получены от учреждений здравоохранения – операторов персональных данных в рамках договорных отношений.

Всем учреждениям здравоохранения необходимо заключить Договор об обработке персональных данных с ГБУЗ ВО «МИАЦ»!!

Основным виновником несанкционированного

доступа к персональным данным является, как правило, персонал, работающий с документами и

базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и

базам данных входит в число основных направлений организационной защиты

информации и предназначена для разграничения полномочий между руководителями и

специалистами организации.

В каждом учреждении В каждом учреждении приказом главного врачаприказом главного врача

назначаетсяназначается сотрудниксотрудник, ответственный за защиту , ответственный за защиту

персональных данных, и определяется персональных данных, и определяется перечень лицперечень лиц, ,

допущенных к обработке персональных данных.допущенных к обработке персональных данных.

Лица, допущенные к обработке персональных данныхЛица, допущенные к обработке персональных данных, ,

в обязательном порядке под роспись знакомятся с в обязательном порядке под роспись знакомятся с

Положением об обработке и защите персональных Положением об обработке и защите персональных

данных и данных и подписывают обязательство о подписывают обязательство о

неразглашении конфиденциальной информации, неразглашении конфиденциальной информации,

содержащей персональные данные.содержащей персональные данные.

Запрещается:

- обрабатывать персональные данные в присутствии

лиц, не допущенных к обработке,

- осуществлять ввод персональных данных под

диктовку,

- пересылать персональные данные по факсу,

- использовать для пересылки ПДн незащищенные

сети связи (Internet).

Разрешается:

- пересылать персональные данные только по

защищенной сети Vipnet,

-документы и внешние электронные носители

информации, содержащие персональные данные,

хранить в служебных помещениях в надежно

запираемых шкафах (сейфах). Ключи от которых

должны находиться у лиц, определенных приказом по

учреждению.

Постановление Правительства РФ от 21.03.2012 Постановление Правительства РФ от 21.03.2012 №211№211

«Об утверждении«Об утвержденииперечня мер, направленных на обеспечение перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных выполнения обязанностей, предусмотренных

Федеральным законом «О персональных Федеральным законом «О персональных данных» и принятыми в соответствии с ним данных» и принятыми в соответствии с ним

нормативными правовыми актами, операторами, нормативными правовыми актами, операторами, являющимися государственными или являющимися государственными или

муниципальными органами»муниципальными органами»

Для контроля ситуации по защите информации ограниченного доступа по

приказу от 16.06.2010 г. № 347 департамент здравоохранения требует от УЗ предоставлять

ежеквартальный мониторинг. Срок предоставления 9 числа месяца,

следующего за отчетным кварталом по форме Приложение 3 «Информация о соответствии

информационных систем требованиям Федерального закона от 27.07.2006 г. № 152-

ФЗ»

«… Надо перейти к ведению истории болезни в

электронном виде»

Д.А.Медведев - Совет по развитию

информационного общества в России

12.02.2009

Практически ни одно медицинское учреждение

не обходится в своей деятельности без использования

компьютеров для обработки ПДн сотрудников и

пациентов.

Это влечет за собой необходимость организации

обработки и защиты ПДн в соответствии с

требованиями действующего законодательства в

данной области.

Обеспечение безопасности персональных данных в

ИСПДн медицинских учреждений – это не только

выполнение требований 152-ФЗ «О персональных

данных», но и комплекс мероприятий по охране

врачебной тайны.

В рамках создания электронной Системы

статистического учета

- переводить информацию в электронный вид и основной

учет вести в медицинской системе,

поэтому актуальным вопросом остается вопрос о

соответствии информационных систем требованиям 152-

ФЗ

Приложение 3 к приказу департамента здравоохранения

от 16.06.2010 № 347

ИНФОРМАЦИЯо соответствии информационных систем требованиям

Федерального закона от 27.07.2006 № 152-ФЗГУЗ ВО "Медицинский информационно-аналитический центр"

наименование учреждения, муниципального управления

Количество операторов персональных данных

Количество операторов персональных данных, зарегистрированных в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Издание (органом управления, государственным учреждением) системы здравоохранения Владимирской области нормативно-методических документов по организации автоматизированной обработки и защиты персональных данных в учреждениях здравоохранения на основе методических рекомендаций Минздравсоцразвития России

Приложение 3

к приказу департамента здравоохранения

от 16.06.2010 № 347

ИНФОРМАЦИЯ

о соответствии информационных систем требованиям

Федерального закона от 27.07.2006 № 152-ФЗ

ГУЗ ВО "Медицинский информационно-аналитический центр"

наименование учреждения, муниципального управления

Количество операторов персональных данных  

Количество операторов персональных данных, зарегистрированных в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)  

Издание (органом управления, государственным учреждением) системы здравоохранения Владимирской области нормативно-методических документов по организации автоматизированной обработки и защиты персональных данных в учреждениях здравоохранения на основе методических рекомендаций Минздравсоцразвития России  

Обеспечение информационной безопасности

Защита персональных данных граждан обеспечивается в

соответствии с требованиями законодательства Российской

Федерации за счет ведения перечня информационных ресурсов и сведений об уровне их конфиденциальности, ведения единого

каталога пользователей, их ролей и категорий, использования

инфраструктуры открытых ключей электронной цифровой подписи

и шифрования данных, поддержки обмена юридически значимыми

электронными документами, обезличивания персональных данных,

получаемых из медицинских информационных систем для

централизованной обработки и хранения и при их передаче по

каналам связи, использования организационно-режимных мер

управления доступом к ИСПДн и обеспечения физического

разделения информации и ресурсов, требующих различных мер и

средств защиты.

БлагодарБлагодаримим за за

вниманиевнимание!!!!!!

Инженеры по защите информации ГБУЗ ВО «МИАЦ» Т.В. Иванова и П.Ю. ЗубатовТел. 8-4922-32-74-98, 8-4922-42-35-74