W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО.

Содержание

Слайд 2

Что такое персональных данные

Персональные данные(ПДн) — любая информация, относящаяся к прямо или косвенно определенному

Что такое персональных данные Персональные данные(ПДн) — любая информация, относящаяся к прямо
или определяемому физическому лицу (субъекту персональных данных); с персональными данными связаны следующие понятия:
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Слайд 3

Действия с персональными данными

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением

Действия с персональными данными блокирование персональных данных — временное прекращение обработки персональных
случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Слайд 4

Пример простейшей МИС

Вспомогательные подразделения

ИТ

Справочники

Пример простейшей МИС Вспомогательные подразделения ИТ Справочники

Слайд 5

Информация пациента. Виды тайн.

Личная тайна – охраняется основным законом Конституцией (ст.23,24).
Врачебная (в

Информация пациента. Виды тайн. Личная тайна – охраняется основным законом Конституцией (ст.23,24).
Семейном кодексе – медицинская) тайна – Основы законодательства Российской Федерации об охране здоровья граждан (ст.61, 35).
Персональные данные. С одной стороны, это – специфические требования №152-ФЗ, с другой стороны Закон дает только инструмент защиты прав и свобод человека и гражданина, в правовом отношении это – личная тайна, доверенная (т.е. переданная) врачу и охраняемая Основным законом РФ (Конституцией).

Слайд 6

Виды тайн, обрабатываемых в МИС

Виды тайн, обрабатываемых в МИС

Слайд 7

Информация ограниченного доступа. Пациент

Информация ограниченного доступа. Пациент

Слайд 8

Информация о сотруднике ЛПУ

Информация о сотруднике ЛПУ

Слайд 9

Соотношение требований по защите

Соотношение требований по защите

Слайд 10

Задачи обеспечения безопасности

Ограничить циркуляцию информации в открытом виде только точками шифрования и

Задачи обеспечения безопасности Ограничить циркуляцию информации в открытом виде только точками шифрования
расшифрования;
Использовать надежные решения по управлению ключами, соответствующие национальным стандартам;
Использовать длины ключей и криптографические алгоритмы, соответствующие национальным стандартам;
Защитить устройства, выполняющие криптографические операции, от физической и логической компрометации.

Слайд 11

Информация ?? Данные

Шифрование/электронная подпись

Потребитель информации

Хранилище данных

Управление
Ключами и шифрованием

Администратор
безопасности

Управление
данными

Администратор
СУБД

Информация ?? Данные Шифрование/электронная подпись Потребитель информации Хранилище данных Управление Ключами и

Слайд 12

Защита ПДн в МИС

Защита ПДн в МИС

Слайд 13

Облака: возможности и проблемы

Всю информацию контролирует и хранит провайдер
Сняты ограничения по размещению

Облака: возможности и проблемы Всю информацию контролирует и хранит провайдер Сняты ограничения
информации
Экономия за счет масштаба
Привлекательность для преступников и конкурентов
Изменения в ИТ процессах
Физическая безопасность обеспечивается провайдером
Провайдер юридически независим
Проблемы хранения персональных данных и иной важной информации
Проблемы проведения расследования киберпреступлений

Слайд 14

Безопасность «облачных вычислений»

Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml

Безопасность «облачных вычислений» Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml

Слайд 15

Кто отвечает за безопасность «облака»

Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml

Кто отвечает за безопасность «облака» Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml

Слайд 16

Какие облака могут быть построены?

Федеральный уровень

Региональный уровень

Область

Район

ЛПУ

Какие облака могут быть построены? Федеральный уровень Региональный уровень Область Район ЛПУ

Слайд 17

Метод защиты ПДн в «Облаках»

Метод защиты ПДн в «Облаках»

Слайд 18

Выполнение требований регуляторов…

Обезличивание всей необходимой информации
Применение сертифицированных СЗИ
Управление информационной безопасностью в контролируемой

Выполнение требований регуляторов… Обезличивание всей необходимой информации Применение сертифицированных СЗИ Управление информационной
зоне

… и реальные результаты защиты

Обезличенная информация неинтересна для киберпреступников и конкурентов на стороне хостера
Расследование инцидентов НСД – полностью под контролем Обладателя ПДн
Обработка персональных данных и иной важной информации – только под контролем Обладателя ПДн

Слайд 19

Крипто БД: сертифицированное СКЗИ

Крипто БД: сертифицированное СКЗИ

Слайд 20

Проблемы защиты персональных данных в организациях здравоохранения

Проблемы защиты персональных данных в организациях здравоохранения

Слайд 21

За последние 2 года изменилось/появилось 6 законов
149-ФЗ «Об информации, информационных технологиях

За последние 2 года изменилось/появилось 6 законов 149-ФЗ «Об информации, информационных технологиях
и защите информации» - ред. 06.04.2011,
210-ФЗ «Об организации предоставления гос.услуг» - 27.07.2010,
99-ФЗ «О лицензировании…» - ред.04.05.2010,
152-ФЗ «О персональных данных» - ред.25.07.2011,
326-ФЗ «Об обязательном медицинском страховании»- 29.11.2010,
323-ФЗ «Об основах охраны здоровья…» - 21.11.2011г.
Опубликовано несколько Постановлений Правительства (№ 313 от 16.04.2012г. Об утверждении Положения о лицензировании…, №79 от 03.02.12 О лицензировании…, №171 от 03.03.12 по разработке и пр-ву СЗ конф.инф)
Изменились многие понятия (ст.18, 19, 84, 92,… 323-ФЗ «Об основах охраны здоровья…»

1. Нормативная база изменяется

Слайд 22

2. Методические материалы и некоторые вспомогательные материалы, подготовленные Минздравсоцразвития РФ за период

2. Методические материалы и некоторые вспомогательные материалы, подготовленные Минздравсоцразвития РФ за период
2009-2011гг, устаревают и требуют постоянного обновления. Ощущаются явные проблемы с организацией процесса защиты персональных данных в центре и в регионах.
3. Проблемы финансирования. Бюджеты в регионы выделяются, защищаются в Минздраве, а насколько эффективно они реально используются – очень большой вопрос.
4. Пока остаются неясными перспективы развития информатизации отрасли и построения систем защиты информации.

Проблемы

Слайд 23

5. Продолжается кадровый голод и неясности по использованию специалистов по защите информации

5. Продолжается кадровый голод и неясности по использованию специалистов по защите информации
в организациях здравоохранения.
6. Проблемы реальной, а не «бумажной», защищенности Пдн. Насколько реально защищаются ПДн пациентов и медицинского персонала?
7. Проблемы интеграции МИС и систем защиты. Интероперабельность, стандартизация
8. Один из нерешенных вопросов для пациентов. Как будет организован доступ к электронной медицинской карте?
9. Один из нерешенных вопросов для всех граждан. Самые развитые виды МИС - медицинские системы, разработанные для отчетности и управления. Пока на рынке нет МИС для удобства процесса лечения пациентов.

Проблемы (продолжение)

Имя файла: W-w-w.-a-l-a-d-d-i-n.-r-uw-w-w.-a-l-a-d-d-i-n-–-r-d.-r-u-Современные-подходы-к-защите-персональных-данных-в-медицинских-организациях-Сабанов-А.Г.,-ЗАО..pptx
Количество просмотров: 270
Количество скачиваний: 0