Защита информации в учреждениях здравоохранения 152 - ФЗ «О персональных данных» от 27.07.2006 г., в редакции 261-ФЗ от 25.07.2011г. Целью настоящего закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Ст. 2 Новая редакция Федерального закона 152-ФЗ «О персональных данных», существенным образом изменила ряд важных норм законодательства, таких как область применения закона, принципы и условия обработки персональных данных, организация технической защиты персональных данных, государственный контроль за выполнением законодательства и многих других. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: п.1 с согласия субъекта персональных данных, п.4 осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну), Письменного согласия не требуется , если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Специальные категории ПДн, обрабатываемые в ГБУЗ ВО «МИАЦ» получены от учреждений здравоохранения – операторов персональных данных в рамках договорных отношений. Всем учреждениям здравоохранения необходимо заключить Договор об обработке персональных данных с ГБУЗ ВО «МИАЦ»!! Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации. В каждом учреждении приказом главного врача назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с Положением об обработке и защите персональных данных и подписывают обязательство о неразглашении конфиденциальной информации, содержащей персональные данные. Запрещается: - обрабатывать персональные данные в присутствии лиц, не допущенных к обработке, - осуществлять ввод персональных данных под диктовку, - пересылать персональные данные по факсу, - использовать для пересылки ПДн незащищенные сети связи (Internet). Разрешается: - пересылать персональные данные только по защищенной сети Vipnet, -документы и внешние электронные носители информации, содержащие персональные данные, хранить в служебных помещениях в надежно запираемых шкафах (сейфах). Ключи от которых должны находиться у лиц, определенных приказом по учреждению. Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Для контроля ситуации по защите информации ограниченного доступа по приказу от 16.06.2010 г. № 347 департамент здравоохранения требует от УЗ предоставлять ежеквартальный мониторинг. Срок предоставления 9 числа месяца, следующего за отчетным кварталом по форме Приложение 3 «Информация о соответствии информационных систем требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ» «… Надо перейти к ведению истории болезни в электронном виде» Д.А.Медведев - Совет по развитию информационного общества в России 12.02.2009 Практически ни одно медицинское учреждение не обходится в своей деятельности без использования компьютеров для обработки ПДн сотрудников и пациентов. Это влечет за собой необходимость организации обработки и защиты ПДн в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности персональных данных в ИСПДн медицинских учреждений – это не только выполнение требований 152-ФЗ «О персональных данных», но и комплекс мероприятий по охране врачебной тайны. В рамках создания электронной Системы статистического учета - переводить информацию в электронный вид и основной учет вести в медицинской системе, поэтому актуальным вопросом остается вопрос о соответствии информационных систем требованиям 152-ФЗ Приложение 3 к приказу департамента здравоохранения от 16.06.2010 № 347 ИНФОРМАЦИЯ о соответствии информационных систем требованиям Федерального закона от 27.07.2006 № 152-ФЗ ГУЗ ВО "Медицинский информационно-аналитический центр" наименование учреждения, муниципального управления Количество операторов персональных данных Количество операторов персональных данных, зарегистрированных в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Издание (органом управления, государственным учреждением) системы здравоохранения Владимирской области нормативно-методических документов по организации автоматизированной обработки и защиты персональных данных в учреждениях здравоохранения на основе методических рекомендаций Минздравсоцразвития России Приложение 3 к приказу департамента здравоохранения от 16.06.2010 № 347 ИНФОРМАЦИЯ о соответствии информационных систем требованиям Федерального закона от 27.07.2006 № 152-ФЗ ГУЗ ВО "Медицинский информационно-аналитический центр" наименование учреждения, муниципального управления Количество операторов персональных данных Количество операторов персональных данных, зарегистрированных в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Издание (органом управления, государственным учреждением) системы здравоохранения Владимирской области нормативно-методических документов по организации автоматизированной обработки и защиты персональных данных в учреждениях здравоохранения на основе методических рекомендаций Минздравсоцразвития России Обеспечение информационной безопасности Защита персональных данных граждан обеспечивается в соответствии с требованиями законодательства Российской Федерации за счет ведения перечня информационных ресурсов и сведений об уровне их конфиденциальности, ведения единого каталога пользователей, их ролей и категорий, использования инфраструктуры открытых ключей электронной цифровой подписи и шифрования данных, поддержки обмена юридически значимыми электронными документами, обезличивания персональных данных, получаемых из медицинских информационных систем для централизованной обработки и хранения и при их передаче по каналам связи, использования организационно-режимных мер управления доступом к ИСПДн и обеспечения физического разделения информации и ресурсов, требующих различных мер и средств защиты. Благодарим за внимание!!! Инженеры по защите информации ГБУЗ ВО «МИАЦ» Т.В. Иванова и П.Ю. Зубатов Тел. 8-4922-32-74-98, 8-4922-42-35-74