Обучение. Вебинар Информзащиты - особенности обеспечение безопасности ПДн Медицинских учреждений
Сегодня участвовал в этом вебинаре.
Ключевые моменты:
- ЛПУ - это операторы ПДн
- Есть примеры что ЛПУ проверяет Роскомнадзор. Возбуждены дела об административном нарушении.
- Чаще всего в ЛПУ обрабатываются специальные категории ПДн. Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн. В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций. В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.
- Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58, противоречат ПП и т.п.
- Дальше пошло описание подхода Информзащиты к защите ПДн без всякой привязки к медицинским учреждениям.
- Необходимо получение лицензии для всех ЛПУ. Рекомендуют использовать услуги лицензиатов. Спорное утверждение что эксплуатация СЗПДн не относится к технической защите.
- Далее было краткое описание СЗИ Кода безопасности без какой-либо привязки к медицинским учреждениям
В части вопросы-ответы было интереснее:
1) Необходимость передачи ПДн специальной категории по телефону при вызове скорой помощи - можно использовать робота-автоотвечик, предупреждающего позвонившего. Придется ставить Call-центр.
2) При передаче данных в ОМС, согласие не требуется, так как необходимость определена законом. Но при этот 44 статья определяет максимальный перечень передаваемых ПДн. Если он будет большим - то требуется согласие.
3) Методические рекомендации - потому и рекомендации что их не обязательно выполнять, но при желании можно руководствоваться.
4) При работе с тонких клиентов - достаточно обеспечить невозможность несанкционированного личного доступа к терминалу и этого достаточно (момент спорный, зависит от того насколько тонкий клиент)
5) Передача ФИО - это передача обезличенных данных (спорный момент, в ряде случаев по ФИО можно однозначно определить субъекта)
6) Передача номера паспорта - это передача обезличенных данных
7) В терминальных решениях - мы ставим на сервер терминалов и на серверах приложений - клиентов СЗИ.
8) ФИО + дата рождения + мед данные - это необезличенные данные 1-ой категории.
9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда
Удивила фраза Михаила Емельянникова "я не работаю с МИАЦ и не работаю с поликлиниками, я не могу сказать как у них делается подключение".
Комментарии
Динамику проверок см. http://a-datum.ru/forum/viewforum.php?f=43
План проверок РКН на 11 год - http://www.rsoc.ru/plan-and-reports/contolplan/
План проверок ФСТЭК - http://community.livejournal.com/personal_data/217771.html
>Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн
См. в блоге Вашей землячки - http://dementeeva.blogspot.com/2010/12/blog-post.html
>В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций
Внимательно смотрите часть 4 ст.6 ЗоПД
>В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.
Посмотрите эту тему - http://bankir.ru/dom/showthread.php?t=102454
>Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58
Естественно противоречат т.к. готовились еще до его выхода по 4-книжию ФСТЭК (2 документа из которого отменены)
>Спорное утверждение что эксплуатация СЗПДн не относится к технической защите
См. http://www.gosbook.ru/node/8464
>9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда
1. Не исключены, но должны согласовываться с прокуратурой. Имеются случаи совместных проверок Роскомнадзора и прокуратуры
2. Есть еще такой законопроект - http://community.livejournal.com/personal_data/217510.html