ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИЯХ ЗДРАВООХРАНЕНИЯ ЧУВАШСКОЙ РЕСПУБЛИКИ 22 ОКТЯБРЯ 2009 г. ДЕНЬ ГЛАВНОГО ВРАЧА

Нормативные правовые документы, регламентирующие требования к организации обработки персональных данных Закон РФ от г. N "О медицинском страховании граждан в РФ" «Основы законодательства РФ об охране здоровья граждан» N от Федеральный закон «Об информации, информационных технологиях и защите информации» N 149-ФЗ от Федеральный закон «О персональных данных» N 152-ФЗ от Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера" N188 от Постановление Правительства РФ от г. N 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" Постановление Правительства РФ от N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от г. 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без средств автоматизации» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"

34 республиканских учреждений здравоохранения 56 муниципальных учреждений здравоохранения 21 центральная районная больница 470 отделений общей/ семейной практики 24 станций/ отделений скорой медицинской помощи 3618 автоматизированных рабочих мест 90,1% ЛПУ имеют локальные вычислительные сети 100% ЛПУ - скоростной доступ в Интернет 35 специализированных программных средств Концепция развития информатизации здравоохранения и социальной сферы в Чувашской Республике

Всего 3618 ПК 1786 лечебно-диагностические подразделения 489 оргметодотделы 587 экономисты, бухгалтерия 429 администрация 916 поликлиника 836 стационар 34 станции «03»

ГИС «Здравоохранение» обеспечение персонифицированного учета медицинской помощи, ведение электронной карты пациента Федеральный центр обработки и анализа данных (ФЦОД) ЛПУ Учет оказания медицинской помощи Государственная информационная система персонифицированно го учета медицинской помощи унифицированный и защищенный сбор первичных данных персонифицированного учета от учреждений здравоохранения информационная поддержка программы ОНЛС поддержка электронного документооборота между учреждениями здравоохранения Чувашской Республики электронная регистратура подготовка и предоставление отчетности в Минздравсоцразвития Чувашии ведение нормативно-справочной информации и учетных реестров регионального уровня; ведение регионального отделения электронной национальной медицинской библиотеки аналитическая информация на основании деперсонифицированных данных от РЦОД об оказанной медицинской помощи ведение федеральных регистров по отдельным направлениям (паспорта ЛПУ, регистры медицинского персонала, по оказанию высокотехнологичной медицинской помощи, 7 нозологий) Региональный центр обработки данных (РЦОД) Интернет

Республиканский центр обработки данных Госкомсвязьинформ Чувашии Республиканский центр обработки данных Госкомсвязьинформ Чувашии Резервный республиканский центр обработки данных МИАЦ Резервный республиканский центр обработки данных МИАЦ ЛПУЛПУ ЛПУЛПУ синхронизация данных Региональный центр обработки данных в системе здравоохранения и социальной защиты Аптечные учреждения Территориальный фонд ОМС Чувашской Республики Страховые медицинские организации Учреждения социальной защиты Министерство здравоохранения и социального развития Чувашской Республики ЛПУЛПУ Медицинская корпоративная сеть

Федеральный закон «О персональных данных» N 152-ФЗ от Учреждения здравоохранения- операторы персональных данных должны получить письменное согласие пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных обеспечить информирование пациентов по их запросам о способах и сроках обработки и хранения их ПД зарегистрироваться в качестве оператора персональных данных получить письменные согласия медицинских работников на обработку, в том числе передачу их ПД, в целях формирования федерального регистра медицинских работников, справочников ОНЛС провести классификацию информационных систем и оформить акт классификации организовать и поддерживать систему защиты Минздравсоцразвития Чувашии ГУЗ «МИАЦ» мониторинг

Классификация ИС персональных данных Класс типовой ИС выбирается по таблице: Количество субъектов Категории ПД категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 Класс специальной ИС определяется на основе модели угроз В зависимости от последствий нарушений безопасности ПД типовой ИС присваивается один из классов: класс 1 (К1) – ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД класс 2 (К2) – ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД класс 3 (К3) – ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД класс 4 (К4) – ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД "Порядок проведения классификации информационных систем персональных данных", приказ ФСТЭК, ФСБ и Мининформсвязи России от N55/86/20

Методические документы ФСТЭК и ФСБ Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ) Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены ) Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены ) Специальные требования и рекомендации по технической защите конфиденциальной информации (утверждены ) Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утверждены )

Зарегистрировались в качестве оператора ПД и направили уведомления в Россвязькомнадзор, %

Провели классификацию информационных систем, %

Организационно-распорядительные документы, разработанные в учреждениях здравоохранения Политика информационной безопасности учреждения здравоохранения Перечень сведений конфиденциального характера Положение о порядке обращения с информацией конфиденциального характера Положение о категорировании информационных ресурсов Положение об ответственном специалисте по информационной безопасности

Локальные акты Оператора, регламентирующие порядок и условия обработки ПД копия уведомления об обработке персональных данных; положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты ПД; должностные регламенты лиц, имеющих доступ и осуществляющих обработку ПД; план мероприятий по защите персональных данных; план внутренних проверок состояния защиты персональных данных; приказ о назначении ответственных лиц по работе с персональными данными; типовые формы документов, предполагающие или допускающие содержание персональных данных; журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях; договоры с субъектами ПД, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; приказы об утверждении мест хранения материальных носителей ПД; письменное согласие субъектов персональных данных на обработку их ПД; распечатки электронных шаблонов полей, содержащие персональные данные; заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности ПД при их обработке; приказ о создании комиссии, акты проведения классификации информационных систем ПД журналы учета обращений граждан (субъектов персональных данных); акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки)

Этапы создания системы защиты ПДн ГУЗ «МИАЦ» 1. Предпроектная стадия 2. Стадия проектирования и реализации ИСПДн 3. Стадия ввода в действие СЗПДн предпроектное обследование ИСПДн разработка технического (частного технического) задания на ее создание разработка СЗПДн в составе ИСПДн опытная эксплуатация и приемо-сдаточные испытания СЗИ оценка соответствия ИСПДн требованиям безопасности информации

Целостность Доступность Конфиденциальность

Дифференцированный подход к обеспечению безопасности персональных данных Класс ИСПДн К1К2К3К4 Оценка соответствия ИСПДн по требованиям безопасности ПДн обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия требованиям безопасности информации оценка соответствия проводится по решению оператора Последствия при нарушении заданной характеристики безопасности ПДн значительные негативные последствия негативные последствия незначительные негативные последствия не приводит к негативным последствиям Федеральный закон от 8 августа 2001 г. 128 «О лицензировании отдельных видов деятельности», Постановление Правительства РФ от г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Операторы информационных систем ПД при проведении мероприятий по обеспечению безопасности ПД при их обработке в информационных системах классов 1, 2 и распределенных информационных систем класса 3 должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке

Лицензионные требования наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации; наличие помещений для осуществления обработки ПД, соответствующих установленным техническим нормам и требованиям; наличие испытательного и контрольно- измерительного оборудования, прошедшего в соответствии с законодательством РФ метрологическую поверку; использование ИСПДн и средств защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ; использование предназначенных для обработки ПД программ для ЭВМ и баз данных; наличие нормативных правовых актов, нормативно- методических и методических документов по вопросам технической защиты в соответствии с перечнем, установленным ФСТЭК

Руководителям учреждений здравоохранения Чувашской Республики Назначить приказом по учреждению специалиста, ответственного за организацию информационной безопасности. Назначить приказом по учреждению специалиста, ответственного за организацию информационной безопасности. Зарегистрироваться в качестве оператора ПД: подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) – в срок до 1 ноября 2009 г. Получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных – по мере обращения в учреждения здравоохранения. Обеспечить информирование пациентов по их запросам о способах и сроках обработки и хранения их ПД, а также лицах, имеющих к ним доступ – по мере поступления запросов. Получить письменные согласия медицинских работников на обработку, в том числе передачу их персональных данных – срок до 1 декабря 2009 г. Провести классификацию информационных систем, использующихся в учреждении здравоохранения и оформить акт классификации ИС, утвержденный руководителем – в срок до 1 декабря 2009г. Провести классификацию информационных систем, использующихся в учреждении здравоохранения и оформить акт классификации ИС, утвержденный руководителем – в срок до 1 декабря 2009г. Разработать и утвердить план мероприятий по защите персональных данных – в срок до 1 декабря 2009г. Предусмотреть в смете расходов учреждений здравоохранения на 2010 год финансирование запланированных мероприятий по информационной безопасности Приобретение программных средств, программно-технических средств защиты, средств вычислительной техники, модернизацию и установку локальных вычислительных сетей осуществлять по согласованию с ГУЗ «МИАЦ».

Благодарю за внимание!