W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО.

Февраль 19, 2021

Главная
Разное
W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО.

Содержание

2. Что такое персональных данные Персональные данные(ПДн) — любая информация, относящаяся к прямо или косвенно определенному или
3. Действия с персональными данными блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев,
4. Пример простейшей МИС Вспомогательные подразделения ИТ Справочники
5. Информация пациента. Виды тайн. Личная тайна – охраняется основным законом Конституцией (ст.23,24). Врачебная (в Семейном кодексе
6. Виды тайн, обрабатываемых в МИС
7. Информация ограниченного доступа. Пациент
8. Информация о сотруднике ЛПУ
9. Соотношение требований по защите
10. Задачи обеспечения безопасности Ограничить циркуляцию информации в открытом виде только точками шифрования и расшифрования; Использовать надежные
11. Информация ?? Данные Шифрование/электронная подпись Потребитель информации Хранилище данных Управление Ключами и шифрованием Администратор безопасности Управление
12. Защита ПДн в МИС
13. Облака: возможности и проблемы Всю информацию контролирует и хранит провайдер Сняты ограничения по размещению информации Экономия
14. Безопасность «облачных вычислений» Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml
15. Кто отвечает за безопасность «облака» Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml
16. Какие облака могут быть построены? Федеральный уровень Региональный уровень Область Район ЛПУ
17. Метод защиты ПДн в «Облаках»
18. Выполнение требований регуляторов… Обезличивание всей необходимой информации Применение сертифицированных СЗИ Управление информационной безопасностью в контролируемой зоне
19. Крипто БД: сертифицированное СКЗИ
20. Проблемы защиты персональных данных в организациях здравоохранения
21. За последние 2 года изменилось/появилось 6 законов 149-ФЗ «Об информации, информационных технологиях и защите информации» -
22. 2. Методические материалы и некоторые вспомогательные материалы, подготовленные Минздравсоцразвития РФ за период 2009-2011гг, устаревают и требуют
23. 5. Продолжается кадровый голод и неясности по использованию специалистов по защите информации в организациях здравоохранения. 6.
25. Скачать презентацию

Слайд 2

Что такое персональных данные
Персональные данные(ПДн) — любая информация, относящаяся к прямо или косвенно определенному

или определяемому физическому лицу (субъекту персональных данных); с персональными данными связаны следующие понятия:
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Слайд 3

Действия с персональными данными
блокирование персональных данных — временное прекращение обработки персональных данных (за исключением

случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Слайд 4

Пример простейшей МИС
Вспомогательные подразделения
ИТ
Справочники

Слайд 5

Информация пациента. Виды тайн.
Личная тайна – охраняется основным законом Конституцией (ст.23,24).
Врачебная (в

Семейном кодексе – медицинская) тайна – Основы законодательства Российской Федерации об охране здоровья граждан (ст.61, 35).
Персональные данные. С одной стороны, это – специфические требования №152-ФЗ, с другой стороны Закон дает только инструмент защиты прав и свобод человека и гражданина, в правовом отношении это – личная тайна, доверенная (т.е. переданная) врачу и охраняемая Основным законом РФ (Конституцией).

Слайд 6

Виды тайн, обрабатываемых в МИС

Слайд 7

Информация ограниченного доступа. Пациент

Слайд 8

Информация о сотруднике ЛПУ

Слайд 9

Соотношение требований по защите

Слайд 10

Задачи обеспечения безопасности
Ограничить циркуляцию информации в открытом виде только точками шифрования и

расшифрования;
Использовать надежные решения по управлению ключами, соответствующие национальным стандартам;
Использовать длины ключей и криптографические алгоритмы, соответствующие национальным стандартам;
Защитить устройства, выполняющие криптографические операции, от физической и логической компрометации.

Слайд 11

Информация ?? Данные
Шифрование/электронная подпись
Потребитель информации
Хранилище данных
Управление
Ключами и шифрованием
Администратор
безопасности
Управление
данными
Администратор
СУБД

Слайд 12

Защита ПДн в МИС

Слайд 13

Облака: возможности и проблемы
Всю информацию контролирует и хранит провайдер
Сняты ограничения по размещению

информации
Экономия за счет масштаба
Привлекательность для преступников и конкурентов
Изменения в ИТ процессах
Физическая безопасность обеспечивается провайдером
Провайдер юридически независим
Проблемы хранения персональных данных и иной важной информации
Проблемы проведения расследования киберпреступлений

Слайд 14

Безопасность «облачных вычислений»
Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml

Слайд 15

Кто отвечает за безопасность «облака»
Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml

Слайд 16

Какие облака могут быть построены?
Федеральный уровень
Региональный уровень
Область
Район
ЛПУ

Слайд 17

Метод защиты ПДн в «Облаках»

Слайд 18

Выполнение требований регуляторов…
Обезличивание всей необходимой информации
Применение сертифицированных СЗИ
Управление информационной безопасностью в контролируемой

зоне

… и реальные результаты защиты

Обезличенная информация неинтересна для киберпреступников и конкурентов на стороне хостера
Расследование инцидентов НСД – полностью под контролем Обладателя ПДн
Обработка персональных данных и иной важной информации – только под контролем Обладателя ПДн

Слайд 19

Крипто БД: сертифицированное СКЗИ

Слайд 20

Проблемы защиты персональных данных в организациях здравоохранения

Слайд 21

За последние 2 года изменилось/появилось 6 законов
149-ФЗ «Об информации, информационных технологиях

и защите информации» - ред. 06.04.2011,
210-ФЗ «Об организации предоставления гос.услуг» - 27.07.2010,
99-ФЗ «О лицензировании…» - ред.04.05.2010,
152-ФЗ «О персональных данных» - ред.25.07.2011,
326-ФЗ «Об обязательном медицинском страховании»- 29.11.2010,
323-ФЗ «Об основах охраны здоровья…» - 21.11.2011г.
Опубликовано несколько Постановлений Правительства (№ 313 от 16.04.2012г. Об утверждении Положения о лицензировании…, №79 от 03.02.12 О лицензировании…, №171 от 03.03.12 по разработке и пр-ву СЗ конф.инф)
Изменились многие понятия (ст.18, 19, 84, 92,… 323-ФЗ «Об основах охраны здоровья…»

1. Нормативная база изменяется

Слайд 22

2. Методические материалы и некоторые вспомогательные материалы, подготовленные Минздравсоцразвития РФ за период

2009-2011гг, устаревают и требуют постоянного обновления. Ощущаются явные проблемы с организацией процесса защиты персональных данных в центре и в регионах.
3. Проблемы финансирования. Бюджеты в регионы выделяются, защищаются в Минздраве, а насколько эффективно они реально используются – очень большой вопрос.
4. Пока остаются неясными перспективы развития информатизации отрасли и построения систем защиты информации.

Проблемы

Слайд 23

5. Продолжается кадровый голод и неясности по использованию специалистов по защите информации

в организациях здравоохранения.
6. Проблемы реальной, а не «бумажной», защищенности Пдн. Насколько реально защищаются ПДн пациентов и медицинского персонала?
7. Проблемы интеграции МИС и систем защиты. Интероперабельность, стандартизация
8. Один из нерешенных вопросов для пациентов. Как будет организован доступ к электронной медицинской карте?
9. Один из нерешенных вопросов для всех граждан. Самые развитые виды МИС - медицинские системы, разработанные для отчетности и управления. Пока на рынке нет МИС для удобства процесса лечения пациентов.

Проблемы (продолжение)

W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО.

Содержание

Что такое персональных данныеПерсональные данные(ПДн) — любая информация, относящаяся к прямо или косвенно определенному

Действия с персональными даннымиблокирование персональных данных — временное прекращение обработки персональных данных (за исключением

Пример простейшей МИСВспомогательные подразделенияИТСправочники

Информация пациента. Виды тайн.Личная тайна – охраняется основным законом Конституцией (ст.23,24).Врачебная (в