четверг, 16 декабря 2010 г.

Обучение. Вебинар Информзащиты - особенности обеспечение безопасности ПДн Медицинских учреждений

Сегодня участвовал в этом вебинаре.
Ключевые моменты:
  • ЛПУ - это операторы ПДн
  • Есть примеры что ЛПУ проверяет Роскомнадзор. Возбуждены дела об административном нарушении.
  • Чаще всего в ЛПУ обрабатываются специальные категории ПДн. Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн. В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций. В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.
  • Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58, противоречат ПП и т.п.
  • Дальше пошло описание подхода Информзащиты к защите ПДн без всякой привязки к медицинским учреждениям.
  • Необходимо получение лицензии для всех ЛПУ. Рекомендуют использовать услуги лицензиатов. Спорное утверждение что эксплуатация СЗПДн не относится к технической защите.
  • Далее было краткое описание СЗИ Кода безопасности без какой-либо привязки к медицинским учреждениям
В части вопросы-ответы было интереснее:
1) Необходимость передачи ПДн специальной категории по телефону при вызове скорой помощи - можно использовать робота-автоотвечик, предупреждающего позвонившего. Придется ставить Call-центр.
2) При передаче данных в ОМС, согласие не требуется, так как необходимость определена законом. Но при этот 44 статья определяет максимальный перечень передаваемых ПДн. Если он будет большим - то требуется согласие.
3) Методические рекомендации - потому и рекомендации что их не обязательно выполнять, но при желании можно руководствоваться.
4) При работе с тонких клиентов - достаточно обеспечить невозможность несанкционированного личного доступа к терминалу и этого достаточно (момент спорный, зависит от того насколько тонкий клиент)
5) Передача ФИО - это передача обезличенных данных (спорный момент, в ряде случаев по ФИО можно однозначно определить субъекта)
6) Передача номера паспорта - это передача обезличенных данных
7) В терминальных решениях - мы ставим на сервер терминалов и на серверах приложений - клиентов СЗИ.
8) ФИО + дата рождения + мед данные - это необезличенные данные 1-ой категории.
9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда


Удивила фраза Михаила Емельянникова "я не работаю с МИАЦ и не работаю с поликлиниками, я не могу сказать как у них делается подключение".



1 комментарий:

toparenko комментирует...

>Есть примеры что ЛПУ проверяет Роскомнадзор. Возбуждены дела об административном нарушении

Динамику проверок см. http://a-datum.ru/forum/viewforum.php?f=43
План проверок РКН на 11 год - http://www.rsoc.ru/plan-and-reports/contolplan/
План проверок ФСТЭК - http://community.livejournal.com/personal_data/217771.html

>Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн

См. в блоге Вашей землячки - http://dementeeva.blogspot.com/2010/12/blog-post.html

>В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций

Внимательно смотрите часть 4 ст.6 ЗоПД

>В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.

Посмотрите эту тему - http://bankir.ru/dom/showthread.php?t=102454

>Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58

Естественно противоречат т.к. готовились еще до его выхода по 4-книжию ФСТЭК (2 документа из которого отменены)

>Спорное утверждение что эксплуатация СЗПДн не относится к технической защите

См. http://www.gosbook.ru/node/8464

>9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда

1. Не исключены, но должны согласовываться с прокуратурой. Имеются случаи совместных проверок Роскомнадзора и прокуратуры
2. Есть еще такой законопроект - http://community.livejournal.com/personal_data/217510.html