Защита персональных данных
Министерство здравоохранения Тверской области и медицинские организации осуществляют обработку информации (персональных данных) в составе введенных в эксплуатацию информационных систем, при этом сами являются операторами на своих объектах информатизации (автоматизации) при обработке персональных данных.
В соответствии со статьей 18.1 Федерального закона № 152-ФЗ "О персональных данных"
"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. "
В соответствии со ст.22 Федерального закона № 152-ФЗ "О персональных данных" оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Если в организации не определены правовые, организационные и технические меры по обеспечению безопасности персональных данных вся ответственность возлагается на руководителя организации.
За нарушение требований безопасности персональных данных предусматривается административная и уголовная ответственность.
Оператор обязан обеспечить защиту информации, содержащейся в информационных системах, от неправомерного доступа, уничтожения, модифицирования, блокирования, предоставления, распространения, а также от иных неправомерных действий в соответствии с действующим законодательством Российской Федерации.
В соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», постановлением Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» операторам информационных систем необходимо провести категорирование объектов критической информационной инфраструктуры.
Категорирование проходит следующим образом:
Руководитель организации создает комиссию по категорированию, которая выявляет критичные процессы субъекта (управленческие, технологические, производственные и другие).
Определяются объекты КИИ, связанные с этими процессами.
Полученный перечень согласовывается со ФСТЭК в течение пяти дней.
Объекту КИИ присваивается одна из трёх категорий значимости или устанавливается отсутствие необходимости присвоения категории.
При выборе категории объект оценивается по показателям критериев значимости. Всего существует 5 групп показателей, включающих от одной до пяти подгрупп. Итоговая оценка ставится по максимальному значению из всех групп/подгрупп.
Первая категория означает, что объект требует максимальной защиты.
По результатам составляется Акт категорирования объекта КИИ, который подписывается членами комиссии и утверждается руководителем субъекта КИИ. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
Сведения о результатах категорирования направляются в ФСТЭК в соответствии с Приказом ФСТЭК №236 в течение 10 дней.
Реестр значимых объектов формируется и ведётся ФСТЭК России на основании данных, предоставляемых субъектами КИИ. Реестр подлежит защите в соответствии законодательством РФ о гостайне. Соответствующий документ: Приказ ФСТЭК от 6.12.2017. № 227.
Данные об изменении категории также должны направляться в ФСТЭК. Изменение категории значимости может произойти:
По мотивированному решению ФСТЭК по результатам проверки, выполненной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ
Объект перестал соответствовать критериям значимости и показателям их значений
Субъект КИИ был реорганизован, ликвидирован или произошли изменения в его организационно-правовой форме
Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр установленной категории значимости и сообщает об изменениях в ФСТЭК.
Типовой комплект организационно-распорядительной документации для учреждений
Состав:
Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Приложения к приказу для ЛПУ
Приложение №1 "Перечень персональных данных, обрабатываемых в учреждении"
Приложение № 2 "Перечень защищаемых ресурсов"
Приложение № 3 "Список лиц, допущенных к обработке персональных данных"
Приложение № 4П "Правила обработки персональных данных граждан в в учреждении"
Приложение № 5 "Должностная инструкция ответственного за организацию обработки персональных данных в ИСПДн"
Приложение № 6 "Инструкция о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИСПДн"
Приложение № 7 "Инструкция по проведению антивирусного контроля в ИСПДн"
Приложение № 8 "Инструкция по применению парольной защиты в ИСПДн"
Приложение № 9 "Инструкция по работе пользователей в ИСПДн"
Приложение № 10 "Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные, обрабатываемые в ИСПДн"
Приложение № 11 "Инструкция по работе ответственного за обеспечение безопасности персональных данных в ИСПДн"
Приложение № 12 "Регламент резервного копирования и восстановления персональных данных"
Приложение № 13 "Перечень должностей учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных "
Приложение № 14 "Перечень должностей учреждения, замещение которых предусматривает осуществление обработки персональных данных,либо осуществление доступа к персональным данным"
Приложение № 15 "Порядок доступа сотрудников учреждения в помещения, предназначенные для обработки персональных данных"
Приложение № 16 "Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных "
Приложение № 17 "Правила рассмотрения запросов субъектов персональных данных или их представителей"
Приложение № 18 "Перечень информационных систем персональных данных "
Приложение № 19 "Правила работы с обезличенными персональными данными "
Приложение № 20 "Юридические последствия"
Приказ о контролируемой зоне помещений
Приказ о ведении Журналов
Журнал учета ДСП
Журнал приема-сдачи помещения под охрану
Журнал учета ключей и хранилищ
Журнал проверки антивируса
Журнал проверки НСД
Журнал учета носителей
Журнал учета персональных идентификаторов
Журнал регистрации доступа к программному и аппаратному обеспечению
Журнал учета выдачи ключей и печатей
Журнал выдачи-передачи ПДн
Журнал.учета СЗИ
Приказ об организации работ по обеспечению безопасности персональных данных при их обработке с использованием средств криптографической защиты информации (СКЗИ)
Приказ о создании комиссии для принятия зачетов
Инструкция о порядке учета и выдачи СКЗИ
Инструкция о допуске к самостоятельной работе со СКЗИ
Журнал поэкземплярного учета СКЗИ
Инструкция по обращению с сертифицированными ФАПСИ (ФСБ) СКЗИ
Приказ о допуске сотрудников к работе с СКЗИ
Приказ о создании комиссии для принятия зачетов
Журнал регистрации пользователей СКЗИ
Департаментом информатизации Министерства здравоохранения и социального развития РФ утверждены методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (включая "Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости и Приложения (26 шт.).
Столбов А.П. "Безопасность медицинских информационных технологий: новые задачи, старые проблемы."
Столбов А.П. "Обеспечение кибербезопасности в здравоохранении: обзор последних нормативных актов."
Фёдоров И.А. "Кибербезопасность медицинских организаций."
Столбов А.П. "Обеспечение кибербезопасности в здравоохранении: обзор последних нормативных актов."
Береги свои персональные данные