w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО «Аладдин Р.Д.» Москва, г.

w w w. a l a d d i n – r d. r u Что такое персональных данные Персональные данные(ПДн) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); с персональными данными связаны следующие понятия: оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники; распространение персональных данных действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 2

w w w. a l a d d i n – r d. r u Действия с персональными данными блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; информационная система персональных данных (ИСПДн) совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; трансграничная передача персональных данных передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 3

w w w. a l a d d i n – r d. r u Пример простейшей МИС 4 Пациент Мед.работник Пользователь ИС Субъект Единая электронная медкарта Экономический блок Амбулаторная картаОМС История болезни Должность медицинского работника Дежурный врач Лечащий врач Врач-специалист Руководящее звено Медицинский статистик Средний медперсонал ДМС Наличный расчет Вспомогательные подразделения ИТ Справочники

w w w. a l a d d i n – r d. r u Информация пациента. Виды тайн. 5 Личная тайна – охраняется основным законом Конституцией (ст.23,24). Врачебная (в Семейном кодексе – медицинская) тайна – Основы законодательства Российской Федерации об охране здоровья граждан (ст.61, 35). Персональные данные. С одной стороны, это – специфические требования 152-ФЗ, с другой стороны Закон дает только инструмент защиты прав и свобод человека и гражданина, в правовом отношении это – личная тайна, доверенная (т.е. переданная) врачу и охраняемая Основным законом РФ (Конституцией).

w w w. a l a d d i n – r d. r u Виды тайн, обрабатываемых в МИС 6

w w w. a l a d d i n – r d. r u Информация ограниченного доступа. Пациент 7

w w w. a l a d d i n – r d. r u Информация о сотруднике ЛПУ 8

w w w. a l a d d i n – r d. r u 9 Соотношение требований по защите

w w w. a l a d d i n – r d. r u Задачи обеспечения безопасности Ограничить циркуляцию информации в открытом виде только точками шифрования и расшифрования; Использовать надежные решения по управлению ключами, соответствующие национальным стандартам; Использовать длины ключей и криптографические алгоритмы, соответствующие национальным стандартам; Защитить устройства, выполняющие криптографические операции, от физической и логической компрометации. 10

w w w. a l a d d i n – r d. r u Информация Данные 11 Шифрование/электронная подпись Потребитель информации Хранилище данных Управление Ключами и шифрованием Администратор безопасности Управление данными Администратор СУБД

w w w. a l a d d i n – r d. r u Защита ПДн в МИС 12

w w w. a l a d d i n – r d. r u 13 Облака: возможности и проблемы Всю информацию контролирует и хранит провайдер Сняты ограничения по размещению информации Экономия за счет масштаба Привлекательность для преступников и конкурентов Изменения в ИТ процессах Физическая безопасность обеспечивается провайдером Провайдер юридически независим Проблемы хранения персональных данных и иной важной информации Проблемы проведения расследования киберпреступлений

w w w. a l a d d i n – r d. r u Безопасность «облачных вычислений» 14 Источник:

w w w. a l a d d i n – r d. r u Кто отвечает за безопасность «облака» 15 Источник:

w w w. a l a d d i n – r d. r u Какие облака могут быть построены? 16 Федеральный уровень Региональный уровень Область Район ЛПУ

w w w. a l a d d i n – r d. r u Метод защиты ПДн в «Облаках» 17

w w w. a l a d d i n – r d. r u Выполнение требований регуляторов… Обезличивание всей необходимой информации Применение сертифицированных СЗИ Управление информационной безопасностью в контролируемой зоне 18 … и реальные результаты защиты Обезличенная информация неинтересна для киберпреступников и конкурентов на стороне хостера Расследование инцидентов НСД – полностью под контролем Обладателя ПДн Обработка персональных данных и иной важной информации – только под контролем Обладателя ПДн

w w w. a l a d d i n – r d. r u Крипто БД: сертифицированное СКЗИ 19

w w w. a l a d d i n – r d. r u Проблемы защиты персональных данных в организациях здравоохранения 20

w w w. a l a d d i n – r d. r u За последние 2 года изменилось/появилось 6 законов – 149-ФЗ «Об информации, информационных технологиях и защите информации» - ред , –210-ФЗ «Об организации предоставления гос.услуг» , –99-ФЗ «О лицензировании…» - ред , –152-ФЗ «О персональных данных» - ред , –326-ФЗ «Об обязательном медицинском страховании» , –323-ФЗ «Об основах охраны здоровья…» г. Опубликовано несколько Постановлений Правительства ( 313 от г. Об утверждении Положения о лицензировании…, 79 от О лицензировании…, 171 от по разработке и пр-ву СЗ конф.инф) Изменились многие понятия (ст.18, 19, 84, 92,… 323-ФЗ «Об основах охраны здоровья…» 1. Нормативная база изменяется 21

w w w. a l a d d i n – r d. r u 2. Методические материалы и некоторые вспомогательные материалы, подготовленные Минздравсоцразвития РФ за период гг, устаревают и требуют постоянного обновления. Ощущаются явные проблемы с организацией процесса защиты персональных данных в центре и в регионах. 3. Проблемы финансирования. Бюджеты в регионы выделяются, защищаются в Минздраве, а насколько эффективно они реально используются – очень большой вопрос. 4. Пока остаются неясными перспективы развития информатизации отрасли и построения систем защиты информации. 22 Проблемы

w w w. a l a d d i n – r d. r u 5. Продолжается кадровый голод и неясности по использованию специалистов по защите информации в организациях здравоохранения. 6. Проблемы реальной, а не «бумажной», защищенности Пдн. Насколько реально защищаются ПДн пациентов и медицинского персонала? 7. Проблемы интеграции МИС и систем защиты. Интероперабельность, стандартизация 8. Один из нерешенных вопросов для пациентов. Как будет организован доступ к электронной медицинской карте? 9. Один из нерешенных вопросов для всех граждан. Самые развитые виды МИС - медицинские системы, разработанные для отчетности и управления. Пока на рынке нет МИС для удобства процесса лечения пациентов. 23 Проблемы (продолжение)

w w w. a l a d d i n – r d. r u Спасибо за внимание! 24