Защита персональных данных при их обработке в информационных системах медицинских учреждений

Анна Дементеева
Инженер по технической защите информации Медицинского информационно-аналитического центра Департамента здравоохранения Краснодарского края

Первый шаг сделан

В конце 2009 г. Министерством здравоохранения и социального развития Российской Федерации были разработаны "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости", а также "Методические рекомендации по составлению частной модели угроз безопасности персональных данных учреждений здравоохранения, социальной сферы, труда и занятости". В данных рекомендациях описываются основные мероприятия по приведению информационных систем в соответствие с требованиями Федерального закона "О персональных данных". Коротко описаны инструменты для снижения затрат на создание системы защиты (сегментация, обезличивание, разделение данных на части, абстрагирование, исключение из модели маловероятных угроз). Но даны только определения этих вопросов, четких руководств к действию нет. Однако теперь руководители медицинских учреждений хотя бы имеют представление, в каком направлении двигаться.

Уведомление об обработке ПДн

В первую очередь необходимо осуществить базовые меры по обеспечению безопасности ПДн, а именно: подать уведомление об обработке (о намерении осуществлять обработку) ПДн; получить согласие субъектов на их обработку; утвердить список лиц, имеющих доступ к ПДн; разработать электронный журнал обращений, в котором регистрируются запросы пользователей информационной системы на получение персональных данных.

Уведомление об обработке (о намерении осуществлять обработку) ПДн проще подавать в электронной форме на сайте http://pd.rsoc.ru/. В общем, заполнение полей формы не должно вызвать проблем, однако некоторые моменты стоит пояснить.

1. При указании правового основания обработки ПДн должны быть указаны: ст. 85-90 Трудового кодекса Российской Федерации; Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ; постановление правительства Российской Федерации от 17 ноября 2007 г. № 781; Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687; устав (положение) юридического лица (дата, номер, кем утвержден); номер, дата выдачи и наименование лицензии на осуществляемый вид деятельности с указанием лицензионных условий, закрепляющих запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта ПДн.

Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу ПДн (или информации, касающейся физических лиц), отражается только при наличии лицензии и/или соответствующего пункта лицензионных условий.

2. Перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн. Обработка ПДн может включать следующие действия: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Также необходимо указать способ обработки данных: автоматизированная, неавтоматизированная, смешанная.

Обработка ПДн, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

Как правило, в каждом медицинском учреждении присутствует неавтоматизированная обработка ПДн. Это личные карты сотрудников, карты пациентов и т.п.

Но наряду с неавтоматизированной обработкой в большинстве случаев ПДн обрабатываются с использованием средств автоматизации. Это, например, данные, хранящиеся на серверах баз данных или передаваемые по электронной почте в другие организации.

Поэтому при заполнении данного поля рекомендуется указывать, что обработка является смешанной.

3. В качестве мер, которые оператор обязуется осуществлять при обработке ПДн, можно указать следующие: управление доступом, регистрация и учет, обеспечение целостности, криптографическая защита, антивирусная защита, обнаружение вторжений.

Поля "Средства обеспечения безопасности" и "Использование шифровальных (криптографических) средств" рекомендуется оставить пустыми. Выбор средств обеспечения безопасности будет определяться на стадии разработки проекта системы защиты ПДн. После их установки необходимо подать уведомление об изменении сведений.

Далее указывается класс информационной системы. Для медицинских учреждений класс информационной системы, как правило, равен К1, так как обрабатываются ПДн первой категории - сведения о состоянии здоровья.

После заполнения уведомления в электронном виде необходимо распечатать его в двух экземплярах, подписать у руководителя организации, заверить печатью, зарегистрировать и отправить один экземпляр заказным письмом с уведомлением в соответствующий территориальный орган Роскомнадзора.