ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИЯХ ЗДРАВООХРАНЕНИЯ ЧУВАШСКОЙ РЕСПУБЛИКИ 22 ОКТЯБРЯ 2009 г. ДЕНЬ ГЛАВНОГО ВРАЧА
Нормативные правовые документы, регламентирующие требования к организации обработки персональных данных Закон РФ от 28. 07. 1991 г. N 1499 -1 "О медицинском страховании граждан в РФ" «Основы законодательства РФ об охране здоровья граждан» N 5487 -1 от 22. 07. 1993 Федеральный закон «Об информации, информационных технологиях и защите информации» N 149 -ФЗ от 27. 07. 2006 Федеральный закон «О персональных данных» N 152 -ФЗ от 27. 07. 2006 Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера" N 188 от 06. 03. 1997 Постановление Правительства РФ от 3. 11. 1994 г. N 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" Постановление Правительства РФ от 17. 11. 07 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15. 09. 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без средств автоматизации» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13. 02. 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
Концепция развития информатизации здравоохранения и социальной сферы в Чувашской Республике 34 республиканских учреждений здравоохранения 3618 автоматизированных рабочих мест 56 муниципальных учреждений здравоохранения 21 центральная 90, 1% ЛПУ имеют локальные вычислительные сети районная больница 100% ЛПУ - 470 отделений общей/ скоростной доступ в Интернет семейной практики 35 специализированных 24 станций/ отделений скорой медицинской помощи программных средств
1786 лечебно-диагностические подразделения 489 Всего 3618 ПК 916 поликлиника оргметодотделы 587 экономисты, бухгалтерия 429 администрация 836 стационар 34 станции « 03»
ГИС «Здравоохранение» Государственная информационная система персонифицированно го учета медицинской помощи аналитическая информация на основании деперсонифицированных данных от РЦОД об оказанной медицинской помощи ведение федеральных регистров по отдельным направлениям (паспорта ЛПУ, регистры медицинского персонала, по оказанию высокотехнологичной медицинской помощи, 7 нозологий) Федеральный центр обработки и анализа данных (ФЦОД) Региональный центр обработки данных (РЦОД) Интернет ЛПУ Учет оказания медицинской помощи унифицированный и защищенный сбор первичных данных персонифицированного учета от учреждений здравоохранения информационная поддержка программы ОНЛС поддержка электронного документооборота между учреждениями здравоохранения Чувашской Республики электронная регистратура подготовка и предоставление отчетности в Минздравсоцразвития Чувашии ведение нормативно-справочной информации и учетных реестров регионального уровня; ведение регионального отделения электронной национальной медицинской библиотеки обеспечение персонифицированного учета медицинской помощи, ведение электронной карты пациента
Медицинская корпоративная сеть Республиканский центр обработки данных Госкомсвязьинформ Чувашии Страховые медицинские организации синхронизация данных Региональный центр обработки данных в системе здравоохранения и социальной защиты Министерство здравоохранения и социального развития Чувашской Республики Аптечные учреждения Территориальный фонд ОМС Чувашской Республики Резервный республиканский центр обработки данных МИАЦ ЛПУ ЛПУ Учреждения социальной защиты
Федеральный закон «О персональных данных» N 152 -ФЗ от 27. 07. 2006 Минздравсоцразвития Чувашии ГУЗ «МИАЦ» мониторинг Учреждения здравоохраненияоператоры персональных данных должны зарегистрироваться в качестве оператора персональных данных получить письменное согласие пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных обеспечить информирование пациентов по их запросам о способах и сроках обработки и хранения их ПД получить письменные согласия медицинских работников на обработку, в том числе передачу их ПД, в целях формирования федерального регистра медицинских работников, справочников ОНЛС провести классификацию информационных систем и оформить акт классификации организовать и поддерживать систему защиты
Классификация ИС персональных данных В зависимости от последствий нарушений безопасности ПД типовой ИС присваивается один из классов: класс 1 (К 1) – ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД Класс типовой ИС выбирается по таблице: Количество субъектов Категории ПД класс 2 (К 2) – ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД класс 3 (К 3) – ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД класс 4 (К 4) – ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД <1000 – 100 000 > 100 000 категория 4 К 4 К 4 категория 3 К 3 К 2 категория 2 К 3 К 2 К 1 категория 1 К 1 Класс специальной ИС определяется на основе модели угроз "Порядок проведения классификации информационных систем персональных данных", приказ ФСТЭК, ФСБ и Мининформсвязи России от 13. 02. 08 N 55/86/20
Методические документы ФСТЭК и ФСБ Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 14. 02. 08) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15. 02. 08) Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены 15. 02. 08) Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 15. 02. 08) Специальные требования и рекомендации по технической защите конфиденциальной информации (утверждены 30. 08. 02) Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утверждены 30. 03. 1992)
Зарегистрировались в качестве оператора ПД и направили уведомления в Россвязькомнадзор, % http: //pd. rsoc. ru
Провели классификацию информационных систем, %
Организационно-распорядительные документы, разработанные в учреждениях здравоохранения Политика информационной безопасности учреждения здравоохранения Перечень сведений конфиденциального характера Положение о порядке обращения с информацией конфиденциального характера Положение о категорировании информационных ресурсов Положение об ответственном специалисте по информационной безопасности
Локальные акты Оператора, регламентирующие порядок и условия обработки ПД копия уведомления об обработке персональных данных; положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты ПД; должностные регламенты лиц, имеющих доступ и осуществляющих обработку ПД; план мероприятий по защите персональных данных; план внутренних проверок состояния защиты персональных данных; приказ о назначении ответственных лиц по работе с персональными данными; типовые формы документов, предполагающие или допускающие содержание персональных данных; журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях; договоры с субъектами ПД, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; приказы об утверждении мест хранения материальных носителей ПД; письменное согласие субъектов персональных данных на обработку их ПД; распечатки электронных шаблонов полей, содержащие персональные данные; заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности ПД при их обработке; приказ о создании комиссии, акты проведения классификации информационных систем ПД журналы учета обращений граждан (субъектов персональных данных); акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки)
Этапы создания системы защиты ПДн ГУЗ «МИАЦ» предпроектное обследование ИСПДн 1. Предпроектная стадия 2. Стадия проектирования и реализации ИСПДн 3. Стадия ввода в действие СЗПДн разработка технического (частного технического) задания на ее создание разработка СЗПДн в составе ИСПДн опытная эксплуатация и приемо-сдаточные испытания СЗИ оценка соответствия ИСПДн требованиям безопасности информации
Конфиденциальность Целостность Доступность
Дифференцированный подход к обеспечению безопасности персональных данных Класс ИСПДн Оценка соответствия ИСПДн по требованиям безопасности ПДн Последствия при нарушении заданной характеристики безопасности ПДн К 1 К 2 обязательная сертификация (аттестация) по требованиям безопасности информации значительные негативные последствия К 3 К 4 декларирование соответствия требованиям безопасности информации оценка соответствия проводится по решению оператора незначительные негативные последствия не приводит к негативным последствиям Федеральный закон от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» , Постановление Правительства РФ от 16. 08. 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Операторы информационных систем ПД при проведении мероприятий по обеспечению безопасности ПД при их обработке в информационных системах классов 1, 2 и распределенных информационных систем класса 3 должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке
Лицензионные требования наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации; наличие помещений для осуществления обработки ПД, соответствующих установленным техническим нормам и требованиям; наличие испытательного и контрольноизмерительного оборудования, прошедшего в соответствии с законодательством РФ метрологическую поверку; использование ИСПДн и средств защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ; использование предназначенных для обработки ПД программ для ЭВМ и баз данных; наличие нормативных правовых актов, нормативнометодических и методических документов по вопросам технической защиты в соответствии с перечнем, установленным ФСТЭК
Руководителям учреждений здравоохранения Чувашской Республики Назначить приказом по учреждению специалиста, ответственного за организацию информационной безопасности. Зарегистрироваться в качестве оператора ПД: подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) – в срок до 1 ноября 2009 г. Получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных – по мере обращения в учреждения здравоохранения. Обеспечить информирование пациентов по их запросам о способах и сроках обработки и хранения их ПД, а также лицах, имеющих к ним доступ – по мере поступления запросов. Получить письменные согласия медицинских работников на обработку, в том числе передачу их персональных данных – срок до 1 декабря 2009 г. Провести классификацию информационных систем, использующихся в учреждении здравоохранения и оформить акт классификации ИС, утвержденный руководителем – в срок до 1 декабря 2009 г. Разработать и утвердить план мероприятий по защите персональных данных – в срок до 1 декабря 2009 г. Предусмотреть в смете расходов учреждений здравоохранения на 2010 год финансирование запланированных мероприятий по информационной безопасности Приобретение программных средств, программно-технических средств защиты, средств вычислительной техники, модернизацию и установку локальных вычислительных сетей осуществлять по согласованию с ГУЗ «МИАЦ» .
Благодарю за внимание!
Скачать презентацию ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИЯХ ЗДРАВООХРАНЕНИЯ
1515098a7404807067d0654afa0d3d58.ppt