ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Булаев Михаил Александрович консультант-аналитик ОАО «ЭЛВИС-ПЛЮС» 25 июня 2009 г. О понятии «персональные данные» (ПДн) Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. (Ст. 2 ФЗ № 152-2006 г.) Обработка специальных категорий ПДн, касающихся … состояния здоровья … допускается только в следующих случаях: обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну. (Ст. 10 ФЗ № 152-2006 г.) Пример обработки ПДн в МИС Национальный стандарт РФ ГОСТ Р 52636-2006 «Электронная история болезни. Общие положения»: Электронная история болезни: информационная система, предназначенная для ведения, хранения на электронных носителях, поиска и выдачи по информационным запросам (в том числе и по электронным каналам связи) персональных медицинских записей. Персональная медицинская запись: любая запись, сделанная конкретным медицинским работником в отношении конкретного пациента. О проблеме обеспечения безопасности ПДн Формирование информационного общества Стремительное развитие ИТ, внедрение ИС во все жизненно важные сферы, включая сферу здравоохранения Проблема обеспечения безопасности персональных данных Деструктивное воздействие на ИС и обрабатываемые ИР, нарушение прав и свобод граждан Формирование новой системы угроз Угрозы безопасности ПДн в МИС Нарушение конфиденциальности Угроза нарушения неприкосновенности частной жизни, личной и семейной тайны Угроза разглашения и неправомерного использования персональных данных (информации об обстоятельствах частной жизни граждан) Нарушение целостности (модификация) Угроза жизни и здоровью пациента в из-за искажения данных Угроза мошенничества для страховой медицины Нарушение доступности Угроза жизни и здоровью пациента из-за блокирования данных Угроза утраты информации Требования ФЗ 2006 г. №152-ФЗ «О персональных данных» 1. Операторами и третьими лицами, получающими доступ к ПДн, должна обеспечиваться конфиденциальность таких данных (за исключением случая их обезличивания или в отношении общедоступных ПДн). (ст. 7) 1. Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий. 2. Правительство РФ устанавливает требования к обеспечению безопасности ПДн при их обработке в ИСПДн. 3. Контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИСПДн. (ст. 19) Анализ состава медицинских ИС Ф армакол огия 9% С правочники 3% С траховая мед иц ина 2% Управл ение зд равоохранением 13% О рганизац ионноэкономические 11% С ред ства обучения 6% Т ел емед иц ина 5% О бработка изображ ений 6% Компл ексны е МИС 8% Л ечебнод иагностические 37% 1. Все медучреждения в соответствии с ФЗ №152-ФЗ являются операторами персональных данных. 2. Обработка ПДн может осуществляться в более чем 50% МИС Сроки реализации требований Федерального закона «О персональных данных» После дня вступления в силу Федерального закона (27.01.2007г.) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом. Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. (ст. 25) Ответственность за нарушение требований ФЗ «О персональных данных» КоАП РФ Ст. 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Административный штраф - от пяти до десяти тыс. рублей. Ст. 19.7. Непредставление сведений (информации). Административный штраф - от трех до пяти тыс. рублей. Ст. 19.5. Невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства Административный штраф - от десяти до двадцати тыс. рублей. УК РФ Ст. 137. Нарушение неприкосновенности частной жизни Штраф - до двухсот тысяч рублей или лишение свободы на срок до четырёх лет. Система подзаконных актов Сегодня практически завершено формирование системы подзаконных нормативных актов, устанавливающих порядок реализации требований ФЗ «О персональных данных» при обработке ПДн (около 20 документов) Постановление Правительства РФ от 17.11.2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн». № Документы уполномоченных федеральных органов: Порядок проведения классификации ИСПДн. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. ФСБ России – 2 документа; ФСТЭК России – 4 документа; Документы Роскомнадзора. Пути реализации требований ФЗ «О персональных данных» в МИС Мероприятия по обеспечению безопасности ПДн включают в себя: а) определение угроз безопасности ПДн и формирование на их основе модели угроз и классификацию МИС как ИСПДн; б) разработку СЗПДн; в) проверку готовности СЗИ к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию СЗИ; д) обучение лиц, использующих СЗИ, правилам работы с ними; е) учет применяемых СЗИ, и документации к ним, носителей ПДн; ж) учет лиц, допущенных к работе с ПДн в ИСПДн; з) контроль за соблюдением условий использования СЗИ; и) реагирование на нарушение режима защиты ПДн; к) описание системы защиты ПДн. (Пост. Правительства РФ № 781-2007 г.) Обязанности операторов (1) Оператор персональных данных обязан: провести инвентаризацию ИР, обрабатываемых в ИС и определить перечень обрабатываемых ПДн; урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.); оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн; разработать модель угроз обследования ИСПДн); провести классификацию соответствующего акта; (на основании ИСПДн с результатов оформлением Обязанности операторов (2) Оператор персональных данных обязан: получить при необходимости (для операторов ИСПДн 1 и 2 класса) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504); определить требования по защите ПДн при их обработке в ИСПДн в соответствии с присвоенным классом и результатами моделирования угроз; осуществить проектирование Системы защиты персональных данных (СЗПДн); реализовать проект на создание СЗПДн; провести оценку соответствия ИСПДн безопасности согласно присвоенному классу; требованиям организовать эксплуатацию ИСПДн в соответствии с требованиями безопасности и контроль соблюдения использования СЗИ. Парадигма защиты персональных данных в МИС Требуемый уровень безопасности персональных данных при их обработке в ИС медучреждений достигается обеспечением: Локализации персональных данных Счётности субъектов и объектов ИС медучреждений Доверенности конфигурации и настроек ИС Целостности всех элементов ИС Подконтрольности всех действий субъектов Документированности всех событий в ИС медучреждений Правовые Методы защиты ПДн правовое урегулирование вопросов сбора, обработки и предоставления ПДн нормативно-правовой контроль нелегитимных действий Организационно-административные регламентация порядка допуска персонала к обработке ПДн и использования ПДн контроль за деятельностью персонала медучреждений порядок взаимодействия пользователей и администраторов МИС Технические (аппаратно-программные и др. ) идентификация и аутентификация пользователей разграничение и контроль доступа к ПДн обеспечение целостности ПДн регистрация событий безопасности защита каналов передачи ПДн Мероприятия по обеспечению безопасности ПДн должны сочетать в себе реализацию правовых, организационных и технических мер защиты, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других. Архитектура СЗПДн Мероприятия по обеспечению безопасности ПДн определяются на основе РД ФСТЭК России ФСБ России и реализуются в рамках следующих подсистем СЗПДн: управления доступом регистрации и учёта обеспечения целостности антивирусной защиты криптографической защиты (при необходимости) обнаружения вторжений (при необходимости) защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов) Конкретный состав мероприятий по защите ПДн в рамках каждой подсистемы определяется в зависимости от класса ИСПДн и результатов моделирования угроз, а также результатов обследования ИСПДн. Пути минимизации затрат на создание СЗПДн (снижения уровня тех. требований) максимальное использование возможностей уже имеющихся в ИС средств защиты информации, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России; сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, минимизирующее возможность одновременной обработки ПДн из разных систем; обезличивание части ИСПДн (переход на необщеизвестные идентификаторы (номера медкарт, номера лицевых счетов и т.п.); разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента (ИСПДн) и снижения требований к части из них; организация терминального доступа к ИСПДн; исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях вне ИСПДн. Пример реализации СЗПДн в МИС Выводы Необходимость защиты персональных данных в медицинских ИС – обязанность всех медицинских учреждений как операторов ПДн, вытекающая из требований ФЗ «О персональных данных». Для снижения затрат на создание СЗПДн целесообразно: закладывать требования по защите ПДн на этапе разработки ТЗ на МИС; встраивать механизмы защиты в прикладное ПО МИС. Создание систем обеспечения безопасности информации (СОБИ) – сложный и специфический вид деятельности, по этой причине для создания СЗПДн в МИС целесообразно привлекать специализированные организации, имеющие соответствующий опыт и квалифицированный персонал. Спасибо за внимание ! 124460, МОСКВА, Зеленоград, Центральный проспект, 11 тел. 777-42-90, 531-4633, 531-8863 факс 531-2403 e-mail: info@elvis.ru http://www.elvis.ru