Безопасность персональных данных информационных систем не может быть достигнута только средствами шифрации данных. Для снижения рисков потери, порчи или хищения сведений о пациентах, при использовании компьютерных средств мониторинга состояния здоровья населения, требуется выполнить комплекс организационных мероприятий, в соответствии с требованиями законодательства.
В данном разделе предлагается опыт регионов РФ по защите персональных данных.
Последовательность действий
Последовательность действий при защите персональных данных в учреждении регламентируется «Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», утвержденными Департаментом информатизации Минздравсоцразвития 23.12.2009.
Основные задачи учреждений здравоохранения, эксплуатирующих информационные системы персональных данных
На основании статьи 3 Федерального закона «О персональных данных» учреждения здравоохранения являются операторами персональных данных как юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание их обработки. В соответствии с Законодательством оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, для защиты персональных данных. В отношении информационных систем учреждения здравоохранения обязаны решить следующие задачи:
- Провести классификацию ИСПДн с оформлением соответствующего акта.
- Реализовать комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами.
- Провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.
Решение поставленных задач достигается совместной работой учреждений здравоохранения, органа управления здравоохранением и специализированных организаций с освоением средств, выделяемых на защиту персональных данных. Типовые формы приказов, распоряжений и прочих документов, которые должны быть подготовлены и утверждены учреждением здравоохранения.
Мероприятия, самостоятельно проводимые ЛПУ.
Издать приказ «О защите персональных данных». День выхода приказа считается днем начала работ.
В течение трех дней с начала работ должны быть разработаны и изданы в учреждении здравоохранения приказы:
- «О подразделении учреждения, которому поручается защита персональных данных».
- «О назначении лиц, ответственных за обработку персональных данных».
- «О проведении внутренней проверки».
ЛПУ совместно со специализированной организацией
Для выполнения мероприятий по подготовке к созданию системы защиты персональных данных привлекается организация, имеющая необходимые лицензии на проведение работ. После заключения Государственного контракта его исполнитель проводит внутреннюю проверку в учреждении здравоохранения. Результаты проверки должны быть оформлены в виде отчета, который подлежит утверждению руководством учреждения здравоохранения.
По результатам проверки исполнителем Государственного контракта разрабатываются документы: «Положение о защите персональных данных пациентов и работников учреждения» (образец), «Политика информационной безопасности в учреждении здравоохранения» (образец1, образец2). Документы утверждаются внутри учреждения и вводятся в действие приказом по учреждению здравоохранения.
На основании собранных данных в соответствии с утвержденными документами исполнитель Государственного контракта:
- Определяет состав и категории обрабатываемых персональных данных. Результат оформляется в виде «Перечня персональных данных, обрабатываемых в учреждении здравоохранения».
- Осуществляет классификацию действующих информационных систем, обрабатывающих персональные данные. Результат оформляется в виде «Акта классификации ИСПДн» (образец).
- Адаптирует модель угроз к ИСПДн учреждения. Результат оформляется в виде «Модели угроз».
- Разрабатывает «Матрицу доступа к ресурсам информационной системы учреждения».
Как итог выполнения Государственного контракта исполнитель разрабатывает:
- План мероприятий по защите персональных данных.
- Техническое задание для организации конкурса на заключение Государственного контракта по проведению технических мероприятий по разработке и созданию системы защиты.
- Эскизный проект системы защиты персональных данных в ИСПДн.
- Инструкция администратора ИСПДн.
- Инструкция администратора безопасности.
- Инструкция пользователя при работе с ИСПДн.
- Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
Используя результаты выполнения Государственного контракта учреждение здравоохранения:
- Подготавливает и направляет уведомление в территориальный орган Россвязькомнадзора (уполномоченный орган по защите прав субъектов персональных данных), и тем самым регистрируется в качестве оператора персональных данных.
- Назначает ответственных за обеспечение безопасности персональных данных.
- Разрабатывает и утверждает внутри учреждения план внутренних проверок состояния защиты персональных данных.
- Разрабатывает и утверждает внутри учреждения журнал учета обращений субъектов персональных данных о выполнении их законных прав.
Организация надзора
На основании требований технического задания, разработанного при проведении мероприятий по защите персональных данных, самостоятельно проводимых учреждением здравоохранения необходимо с помощью специализированной организации (выбранной по конкурсу):
- разработать и представить на согласование в учреждение проектную и техническую документацию по системе защиты персональных данных при их обработке в ИСПДн. После согласования учреждением документация утверждается Государственным заказчиком.
- Поставить оборудование для системы защиты.
- Провести установку и настройку оборудования, осуществить пусконаладочные работы.
- Провести обучение персонала, который будет эксплуатировать систему защиты.
- Подготовить эксплуатационную документацию по системе защиты, в том числе проекты документов:
• Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.
• Электронный журнал обращений пользователей информационной системы к ПДн.
• Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
• Программу и методику аттестационных испытаний. - Провести пробную эксплуатацию и организовать предварительные испытания.
- Подготовить аттестационные испытания.
Учреждение здравоохранения на этапе проведения технических мероприятий осуществляет общий надзор за работами, а также:
- Согласует проектную и техническую документацию по системе защиты персональных данных.
- Организует, обучение персонала, который будет эксплуатировать систему защиты.
- Согласует программу и методику аттестационных испытаний.
- Участвует в пробной эксплуатации системы защиты и предварительных испытаниях.
Утверждает документы:
- технических средств и программного обеспечения, баз данных и средств защиты информации;
- электронный журнал обращений пользователей информационной системы к ПДн;
- перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- программу и методику аттестационных испытаний.
Проведение аттестационных (сертификационных) испытаний информационных систем персональных данных
После реализации организационно-технических мероприятий необходимо провести аттестационные испытания (аттестацию проводит контролирующий орган или специально уполномоченный контролирующим органом лицензиат) или составить декларацию соответствия ИСПДн классу.
Аттестация ИСПДн обязательна для систем K1, K2. Аттестационные испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России, и состоят из следующих этапов:
- Анализ ИСПДн учреждения, изучение вновь принятых решений по обеспечению безопасности информации и включают проверку:
— организационно-технических мероприятий по обеспечению безопасности персональных данных;
— защищенности информации от утечек по техническим каналам;
— защищенности информации от несанкционируемого доступа. - По результатам аттестационных испытаний принимается решение о выдаче «Аттестата соответствия» информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на 3 года.
Декларирование соответствия — это подтверждение соответствия характеристик ИСПДн предъявляемым к ней требованиям.
Декларирование соответствия может осуществляться на основе собственных доказательств учреждения или на основании доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии.
Для организации проведения аттестации после выполнения технических мероприятий по обеспечению защиты персональных данных учреждение должно обратиться в орган управления здравоохранением области (края, республики).
В случае проведения декларирования на основе собственных доказательств учреждение здравоохранения самостоятельно формирует комплект документов, таких как техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к классу К3. Для информационных систем К4 оценка соответствия не регламентируется и осуществляется по решению учреждения.
Прием в промышленную эксплуатацию и организация эксплуатации системы защиты персональных данных при их обработке в ИСПДн
Прошедшая аттестацию система защиты персональных данных при их обработке в ИСПДн должна быть принята в промышленную эксплуатацию в качестве отдельной системы или как подсистема ИСПДн.
Список локальных документов оператора, регламентирующих защиту персональных данных со ссылками на нормативно-правовые акты
- Приказ о назначении ответственного за организацию обработки ПДн.
На основании требований части 1 статьи 22.1 Федерального закона № 152-ФЗ «О персональных данных». - Приказ о назначении структурного подразделения или должностного лица (работника), ответственное за обеспечение безопасности ПДн.
На основании п. 13 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Перечень ПДн, подлежащих защите.
На основании требований статья 5, часть 7 статьи 14 Федерального закона № 152-ФЗ «О персональных данных». - Акт классификации информационной системы персональных данных (ИСПДн). Для каждой ИСПДн свой акт.
На основании п. 6 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п. 4 приказа ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», устанавливает следующий порядок проведения классификации. - Перечень лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.
На основании п. 14 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Разрешительная система доступа к информационным ресурсам, программным и техническим средствам ИСПДн.
На основании требований части 2 статьи 19 Федерального закона № 152-ФЗ «О персональных данных», пункта 2.1 Положения о методах и способах защиты информации в ИСПДн, утвержденного приказом ФСТЭК России от 05 февраля 2010 г. №58. - Модель угроз безопасности ПДн при их обработке в ИСПДн.
На основании требований части 2 статьи 19 Федерального закона № 152-ФЗ «О персональных данных», пункта 12 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Описание системы защиты ИСПДн.
На основании требований пункта 12 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Журнал учета средств защиты информации, эксплуатационной и технической документации к ним.
На основании пункта 12 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Регламент учета, хранения и уничтожения носителей ПДн. Журнал учета ПДн.
На основании требований части 2 статьи 19 Федерального закона № 152-ФЗ «О персональных данных», пункта 12 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Электронный журнал учета запросов пользователей ИСПДн на получение ПДн, а также фактов предоставления ПДн по этим запросам.
На основании п. 15 Постановления Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Заключение об эффективности обеспечения безопасности ПДн при их обработке в ИСПДн.
На основании требований части 2 статьи 19 Федерального закона № 152-ФЗ «О персональных данных», пункта 12 Постановления Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». - Уведомление в Роскомнадзор об обработке (о намерении осуществлять обработку) ПДн.
На основании требований части 1 статьи 22 Федерального закона № 152-ФЗ «О персональных данных». - Согласия субъектов ПДн на обработку их ПДн.
На основании требований пункта 1 части 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных». - Журнал учета приема и обработки обращений и запросов субъектов ПДн или их представителей.
На основании требований пункта 3 части 4 статьи 22.1 Федерального закона № 152-ФЗ «О персональных данных».