- PVSM.RU - https://www.pvsm.ru -
Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.
Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.
Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?
— Приказ об организации работ по защите ПДн на предприятии (в том числе, при необходимости, об организации криптографической защиты информации).
— Приказ о назначении комиссии по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.
— Акты определения требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.-
— Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн.
— Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
— Приказ о назначении ответственного пользователя СКЗИ.
— Приказ об утверждении перечня лиц допущенных к работе с СКЗИ.
— Приказ о назначении ответственных за выявление инцидентов и реагирования на них.
— Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
— Приказ о назначении комиссии по уничтожению ключевых документов.
— Модель угроз безопасности информации.
— Положение по организации и проведению работ по обеспечению безопасности информации, включающее в том числе:
— Положение об организации режима обеспечения безопасности помещений.
— Разрешительная система доступа (матрица доступа).
2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:
— Порядок оформления допуска (доступа) к обработке ПДн.
— Форма согласия на обработку персональных данных.
— Форма заявки на доступ к обработке ПДн.
— Форма обязательства служащего прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
— Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
— Форма акта об уничтожении ключевых документов.
— Перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации и сроки их хранения.
— Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (отдельно, либо в составе «Положение об организации режима обеспечения безопасности помещений»).
— Инструкции персоналу:
— Регламент использования в информационной системе технологий беспроводного доступа.
— Регламент использования в информационной системе мобильных технических средств.
— Журналы учета, хранения и эксплуатации ИСПДн:
— Перечень разрешенного к использованию ПО.
— Технический паспорт ИСПДн.
— Эксплуатационная документация на СКЗИ.
— Лицензии и сертификаты соответствия требованиям по безопасности информации на СрЗИ (в том числе СКЗИ).
— Документы о поставке на СрЗИ (в том числе СКЗИ).
— Заключение о возможности эксплуатации СЗИ по результатам проведения проверки их готовности к использованию.
— Акты о вводе СКЗИ в эксплуатацию.
— Программа и методика испытаний.
— Оценка соответствия (аттестат соответствия) требованиям информационной безопасности.
При этом стоит помнить, что согласно
Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)
… 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), примеч. например, врачи в нашем случае, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
и
ТК РФ Статье 22. Основные права и обязанности работодателя
… Работодатель обязан:
… знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;
В итоге такая бумажная работа, а точнее её отсутствие частично или полностью, может привести к проблемам с Роскомнадзором. Одним из самых ярких случаев является плановая выездная проверка в отношении Департамента здравоохранения Ивановской области 1 декабря 2011 года. По окончании проверки выданы 14 предписаний. О том, что отсутствовало и было нарушено подробнее по ссылке 37.rkn.gov.ru/news/news31219.htm [2]
Руководителям МО приказом по МО определить (назначить) должностное лицо, ответственное за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах МО.
Кто им будет? Точного ответа нет, но если в МО отсутствует служба информационной безопасности, ответственным, возможно, будет назначен системный администратор. Далее довольно сухой и сложночитаемый текст, но если назначили вас, наберитесь терпения.
Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, нужно определить:
– перечень и состав подлежащей защите информации ограниченного доступа, не составляющей государственную тайну, обрабатываемой в информационных системах МО, в том числе обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) на рабочих местах сотрудников МО;
– перечень информационных систем МО, в которых ведется обработка ПДн (далее – информационные системы персональных данных, ИСПДн);
– перечень государственных и/или муниципальных информационных систем МО, в которых ведется обработка иной информации (не персональные данные) ограниченного доступа, не составляющей государственную тайну – сведений конфиденциального характера (далее – государственные информационные системы, ГИС);
– границы контролируемых зон (в виде схем периметров охраняемых территорий и/или зданий и помещений) с описанием режимов (порядка и правил) доступа;
– данные о сетевой инфраструктуре МО (схемы связи, характеристики сетевого оборудования, параметры подключений к внешним сетям, в т.ч. общедоступным сетям провайдеров (операторов связи) и сети Интернет);
– состав программного обеспечения и программно-технических средств информационных систем МО, задействованных в обработке ПДн;
– перечень и типы актуальных угроз, потенциальных нарушителей безопасности ПДн, обрабатываемых в информационных системах МО, в соответствии с [1] и [2].
1. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, для повышения начального уровня защищенности объекта, определить (при необходимости) мероприятия по модернизации сетевой структуры и/или внесению изменений в технологии и порядок обработки и доступа к подлежащей защите информации, обрабатываемой в информационных системах МО.
2. Руководителям МО приказом по МО определить (назначить) комиссию по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО и по классификации государственных и муниципальных информационных систем. Мероприятия по определению требуемых уровней защищенности ПДн, обрабатываемых в информационных системах МО и классификации государственных и муниципальных информационных систем, в соответствии с [3] и [4].
3. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, определить базовый набор мер по обеспечению в информационных системах МО требуемых уровней защищенности, в соответствии с [4] и [5].
4. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, разработать план мероприятий по реализации базовых мер по защите информации и проведению работ по созданию системы защиты ПДн (далее – план мероприятий), в соответствии с [4] и [5], включающий в т.ч. расчет-оценку затрат на реализацию мероприятий.
5. Сотрудникам, ответственным безопасности ПДн в МО, на основании плана мероприятий организовать подготовку технического задания на создание системы защиты ПДн МО.
6. До начала работ по созданию системы защиты информации организовать и провести следующие мероприятия:
— определить и утвердить приказом по МО перечень лиц, допущенных к обработке ПДн в МО;
— определить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
— определить правила рассмотрения запросов субъектов персональных данных или их представителей;
— определить правила работы с обезличенными данными;
— утвердить перечень должностей работников МО, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
— провести мероприятия по учету, хранению и организации эксплуатации средств криптографической защиты информации (СКЗИ). Прим. Данные мероприятия проводятся в МО, имеющих программные и/или программно–технические СКЗИ.
7. В целях достижения результатов, при выполнении работ первичных мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах МО, допускается привлечение на договорной основе юридических лиц [3], имеющих соответствующие лицензии [4] на осуществление деятельности по конкретным видам работ в соответствии с Федеральный законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».
На данный момент лечебно-профилактическими учреждениями (ЛПУ) используется Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). В каждом ЛПУ своя БД, она синхронизируется с общей БД, находящейся в ЦОД (МИАЦ). Все это происходит по защищенным с помощью ПАК ViPNet каналам. ПАК ViPNet были разосланы по всей РФ для организации подключения к этой системе.
Многие подробности можно найти на сайте portal.egisz.rosminzdrav.ru/materials [5]
Подводя итоги «базовой информатизации», бывший директор ИТ-департамента министерства Роман Ивакин отмечал, что удалось обеспечить «достаточно высокий уровень развития инфраструктуры».
«Что касается подключения ЛПУ к интернету, то, по нашим данным, эта задача выполнена на 100% на уровне юридических лиц. Частично неохваченными остались, может быть, их локальные подразделения, например ФАПы (фельдшерско-акушерские пункты). Но не надо забывать о том, что таких объектов более 40 тыс., а работы по подключению фактически начались только в июне 2012 года. Для сравнения: на подключение 52 тыс. школ к сети ушло около 1,5 лет».
Однако, даже сейчас привести информационные системы всех подведомственных учреждений и тем более систему защиты информации в единообразный вид удалось не всем. В лечебных учреждениях всё ещё может встретиться зоопарк медицинских систем, включая самописное ПО. Требования к технической части во многом зависят от того, какой уровень защищенности ПДн определен для конкретной ИСПДн. Подробнее о системах обработки персональных данных специальной категории (сведения о состоянии здоровья), биометрических ПДн, обезличивании, получения согласия на обработку и других особенностях мы расскажем в одной из следующих статей нашего блога.
Автор: Cloud4Y
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/269610
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/cloud4y/blog/343588/
[2] 37.rkn.gov.ru/news/news31219.htm: http://37.rkn.gov.ru/news/news31219.htm
[3] допускается привлечение на договорной основе юридических лиц: https://cloud4y.ru/cloud-hosting/oblako-fz-152/
[4] лицензии: https://cloud4y.ru/about/certificates/
[5] portal.egisz.rosminzdrav.ru/materials: http://portal.egisz.rosminzdrav.ru/materials
[6] Источник: https://habrahabr.ru/post/343588/
Нажмите здесь для печати.