Защита персональных данных в медорганизации: как обеспечить безопасность > Все о вирусах
Все о вирусах    

Защита персональных данных в медорганизации: как обеспечить безопасность

Защита персональных данных в медорганизации: как обеспечить безопасность

Бизнес и госструктуры ежедневно имеют дело с огромными объемами персональных данных: они «знают» наши имена и фамилии, даты рождения и адреса, семейное положение и социальный статус. Однако особенно остро вопрос информационной безопасности встает перед медицинскими учреждениями. Ведь они собирают и хранят персональные данные, крайне чувствительные для любого человека, – результаты лабораторных и инструментальных исследований, диагнозы, истории болезней.

Руководитель отдела продаж компании «Нетрика Интеграция» Руслан Харлашин рассказывает, как обеспечивается безопасность персональных данных в частных и государственных медицинских учреждениях и каким образом этот вопрос регулируется в нашей стране.

Что говорит закон?

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», где они представлены как «информация ограниченного доступа». В ФЗ уточнено, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных». Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

ФСБ России выпустила приказ № 378 от 10.07.2014, в котором описаны меры обеспечения безопасности персональных данных при использовании средств криптографической защиты информации.

Освежил законодательство в области персональных данных и Минздрав, выпустив Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».
Особенности работы с персональными данными в медицине

Работа с медицинскими ПД отличается рядом особенностей. Клиники обязаны хранить данные о здоровье каждого пациента в виде медкарты, и разглашать их запрещено при любых условиях. Поэтому здесь остро встает проблема возможных утечек информации.

Именно здравоохранение лидирует в антирейтинге утечек данных. По результатам исследования «СёрчИнформ», с проблемой столкнулись почти две трети медучреждений – и около 50% из них стараются не раскрывать факт инцидента. При этом личную информацию потеряли 42% организаций.

Необходимый уровень защиты ПД важно обеспечивать на каждом этапе их обработки, что оказывается непростой задачей в процессе сбора и записи сведений, их систематизации и хранения в базе, уточнения деталей и, наконец, уничтожения информации, потерявшей актуальность.

В медучреждениях могут обpaбатываться персональные данные двух типов. Первый – это простые данные: скажем, ФИО; информация о дате и месте рождения; антропологические показатели (рост и вес), фотографии человека; место жительства и контактные данные, в том числе номер телефона и адрес электронной почты.

Второй тип – персональные данные специальной категории. К этой группе относятся сведения о состоянии здоровья пациента, информация о причинах обращения за медицинской помощью, диагноз и особенности лечения. Именно эти специальные сведения и объединяются под широко известным термином «врачебная тайна», сохранность которой регулируется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».
Скрытая угроза

Поликлиники и больницы ежедневно обpaбатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет. Из-за этого на плечах врачей, медсестер, администраторов лежит более высокая нагрузка: им приходится вручную заполнять направления, искать бумаги с результатами лабораторных исследований. Данные, представленные в бумажном виде, легче потерять; кроме того, высокая загруженность повышает риск ошибок из-за невнимательности или спешки.

Но и с ростом уровня цифровизации риски утечек ПД не исчезают. Например, в медучреждениях, где уже установлены МИС или СЭД, данные могут пропадать из-за технических сбоев.

Также нельзя забывать о еще одной распространенной проблеме – человеческом факторе. Иногда сотрудники, которые отвечают за безопасность данных в информационных системах, не обладают нужными компетенциями или демонстрируют безответственное отношение к вопросу. Но чаще всего проблемы возникают по вине «рядовых» специалистов: согласно исследованию Infowatch, на долю сотрудников приходится более половины потерь данных – и около 80% из них возникают без злого умысла, из-за ошибок и халатности.

Зачастую проблемы возникают из-за отсутствия налаженного взаимодействия между медучреждениями и разработчиками. Поставщики могут предлагать информационные системы и программное обеспечение, предполагая, что клиника самостоятельно позаботится о защите данных, а у организации на этот счет может быть другое мнение. В результате злоумышленникам даже не приходится ничего взламывать: конфиденциальная информация хранится в открытом доступе. По этой причине произошла одна из крупнейших утечек медицинских персональных данных, в результате которой из-за использования устаревших серверов в сеть попали КТ- и МРТ-снимки 24 млн человек из 590 архивов. По данным Infowatch, почти 20% медицинских данных «утекает» не в результате внешнего воздействия.
Груз ответственности

Последствия таких утечек могут оказаться очень серьезными для клиники и ответственных за инцидент сотрудников. Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

Разумеется, ответственность несут и злоумышленники: как хакеры, так и сотрудники клиник, копирующие и распространяющие информацию о пациентах. Незаконный сбор и распространение сведений о частной жизни, составляющих личную и семейную тайну, могут наказываться штрафом до 200 тыс. руб. или лишением свободы на срок до двух лет (четырех – если будет доказано, что для этого использовалось служебное положение).

Ответственность придется понести не только за прямые нарушения безопасности, но и за невозможность предоставить данные, в том числе и из-за неисправности информационных систем. Например, если оператор не предоставляет пациенту информацию, которая касается его персональных данных, он может получить штраф до 40 тыс. руб.
Пять уровней безопасности

Чтобы обезопасить личные данные пациентов, а вместе с тем себя и своих специалистов, медучреждениям необходимо построить прочную систему защиты. Первым этапом здесь становится моделирование угроз, которые рассматриваются применительно к действующей информационной системе обработки персональных данных (ИСПД) – как правило, это МИС.

Затем, в соответствии с приказом ФСТЭК России № 21, нужно определить состав и содержание организационных и технических мер, которые позволят обеспечить безопасность данных. Они должны работать на всех уровнях информационной системы: МИС, автоматизированных рабочих мест, каналов передачи данных, СУБД, виртуальной инфраструктуры.

На уровне МИС могут применяться встроенные механизмы безопасности и различные дополнительные средства защиты от несанкционированного доступа, например, антивирусные комплексы, системы предотвращения вторжений, межсетевые экраны и системы предотвращения утечек данных.

Широкий список инструментов применяется и на уровне автоматизированных рабочих мест. Для защиты используются сертифицированные операционные системы, а также антивирусы, системы для предотвращения вторжений и межсетевые экраны.

Недавно появились новые решения – автоматизированные рабочие места, в которые встроен сертифицированный модуль доверенной загрузки (МДЗ). Они помогают защищать средства вычислительной техники от несанкционированного доступа, а также контролируют целостность программной и аппаратной конфигурации устройств, на которых установлен этот модуль – еще до начала загрузки его операционной системы. Один из примеров – инструмент Numa Arce (ИТ.СДЗ.УБ4.ПЗ), реализованный в виде EFI-модуля, который работает на уровне BIOS материнской платы.

На уровне каналов передачи данных, помимо уже упомянутых инструментов, могут использоваться криптографические шлюзы. На рынке такие продукты представлены как в виде программно-аппаратных комплексов, так и в программном исполнении. Для СУБД используются специальные системы защиты. А что касается виртуальной инфраструктуры, то здесь безопасность могут обеспечивать даже доверенные защищенные гипервизоры.
Пошаговая инструкция

В общем виде проект по построению системы защиты персональных данных состоит из нескольких этапов.

Сбор данных о существующих информационных системах персональных данных (ИСПД).
Моделирование угроз безопасности.
Определение уровней защищенности.
Разработка технического задания.
Проектирование система защиты персональных данных (СЗПД).
Разработка организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
Поставка средств защиты информации, их установка и настройка.
Аттестация информационных систем персональных данных по требованиям безопасности информации (опционально).

Ошибки могут возникать на любом из указанных этапов. Например, если организация неверно определит угрозы, появляется риск утечек ПД. А если специалисты медучреждения посчитают, что информационной системе требуется более высокий уровень защищенности, чем нужен на самом деле, придется применять избыточные меры и устанавливать лишние средства защиты. Это может привести к многократному росту стоимости внедрения и обслуживания системы.

)



Отзывы (через Facebook):

Оставить отзыв с помощью аккаунта FaceBook:


Ответ неверный: почему отличаются результаты тестов на антитела к SARS-CoV-2 Эксперты рассказали, как минимизировать вероятность ошибки при сдаче анализа

Ответ неверный: почему отличаются результаты тестов на антитела к SARS-CoV-2 Эксперты рассказали, как минимизировать вероятность ошибки при сдаче анализаОтвет неверный: почему отличаются результаты тестов на антитела к SARS-CoV-2 Эксперты рассказали, как минимизировать вероятность ошибки при сдаче анализа...

03 12 2021 9:34:53

Укладывать детей спать пораньше: какая от этого польза?

Укладывать детей спать пораньше: какая от этого польза?Укладывать детей спать пораньше: какая от этого польза?...

02 12 2021 1:32:53

О подтвержденных случаях новой коронавирусной инфекции COVID-2019 в России

О подтвержденных случаях новой коронавирусной инфекции COVID-2019 в РоссииО подтвержденных случаях новой коронавирусной инфекции COVID-2019 в России...

01 12 2021 10:49:34

Цитатник по итогам пленарного заседания «Развитие конкуренции в цифровую эпоху» VI Конференции по конкуренции под эгидой БРИКС

Цитатник по итогам пленарного заседания «Развитие конкуренции в цифровую эпоху» VI Конференции по конкуренции под эгидой БРИКСЦитатник по итогам пленарного заседания «Развитие конкуренции в цифровую эпоху» VI Конференции по конкуренции под эгидой БРИКС...

30 11 2021 2:49:41

Сделай сам: на Synergy Digital Forum научат эффективно продвигать себя в интернете

Сделай сам: на Synergy Digital Forum научат эффективно продвигать себя в интернетеСделай сам: на Synergy Digital Forum научат эффективно продвигать себя в интернете...

29 11 2021 7:56:21

Отсечь лишнее

Отсечь лишнееОтсечь лишнее...

28 11 2021 15:37:47

Олег Рукодайный: главное - создавать условия!

Олег Рукодайный: главное - создавать условия!Олег Рукодайный: главное - создавать условия!...

27 11 2021 4:58:47

Юристы подготовили инструкции по отстаиванию своих прав в суде для медработников

Юристы подготовили инструкции по отстаиванию своих прав в суде для медработниковЮристы подготовили инструкции по отстаиванию своих прав в суде для медработников...

26 11 2021 1:10:19

Джером Кейс: инноватор, предприниматель, сенатор

Джером Кейс: инноватор, предприниматель, сенаторДжером Кейс: инноватор, предприниматель, сенатор...

25 11 2021 4:57:18

«РУСПРОЕКТ»: Первый в России полностью виртуальный офис проектных работ

«РУСПРОЕКТ»: Первый в России полностью виртуальный офис проектных работ«РУСПРОЕКТ»: Первый в России полностью виртуальный офис проектных работ...

24 11 2021 15:21:45

Красная икра: можно ли ее есть кормящим мамам, беременным и малышам

Красная икра: можно ли ее есть кормящим мамам, беременным и малышамКрасная икра: можно ли ее есть кормящим мамам, беременным и малышам...

23 11 2021 2:39:22

«Мы вытягивали пациентов с 90-процентным поражением легких»

«Мы вытягивали пациентов с 90-процентным поражением легких»«Мы вытягивали пациентов с 90-процентным поражением легких»...

22 11 2021 12:35:22

Oнкoлoг-нонконфомист Томас Ходжкин и «его» лимфома

Oнкoлoг-нонконфомист Томас Ходжкин и «его» лимфомаOнкoлoг-нонконфомист Томас Ходжкин и «его» лимфома...

21 11 2021 1:30:10

«Все заживет!»

«Все заживет!»«Все заживет!»...

20 11 2021 11:43:40

О тестировании на новую коронавирусную инфекцию в регионах Российской Федерации

О тестировании на новую коронавирусную инфекцию в регионах Российской ФедерацииО тестировании на новую коронавирусную инфекцию в регионах Российской Федерации...

19 11 2021 14:45:20

О подтвержденных случаях новой коронавирусной инфекции COVID-2019 в России

О подтвержденных случаях новой коронавирусной инфекции COVID-2019 в РоссииО подтвержденных случаях новой коронавирусной инфекции COVID-2019 в России...

18 11 2021 1:48:31

Беременность по типу телосложения: почему худым рожать легче

Беременность по типу телосложения: почему худым рожать легчеБеременность по типу телосложения: почему худым рожать легче...

17 11 2021 21:57:17

Информационный бюллетень о ситуации и принимаемых мерах по недопущению распространения заболеваний, вызванных новым коронавирусом

Информационный бюллетень о ситуации и принимаемых мерах по недопущению распространения заболеваний, вызванных новым коронавирусомИнформационный бюллетень о ситуации и принимаемых мерах по недопущению распространения заболеваний, вызванных новым коронавирусом...

16 11 2021 11:36:57

Как лечат запор, и как не нужно его лечить

Как лечат запор, и как не нужно его лечитьКак лечат запор, и как не нужно его лечить...

15 11 2021 22:37:36

Утверждена первая «дорожная карта» по эталонному регулированию ЖКХ

Утверждена первая «дорожная карта» по эталонному регулированию ЖКХУтверждена первая «дорожная карта» по эталонному регулированию ЖКХ...

14 11 2021 20:58:25

«Я постоянно тренирую терпение и чувство юмора». Чулпан Хаматова — о возрасте, роли Раисы Горбачевой и кризисе благотворительности

«Я постоянно тренирую терпение и чувство юмора». Чулпан Хаматова — о возрасте, роли Раисы Горбачевой и кризисе благотворительности«Я постоянно тренирую терпение и чувство юмора». Чулпан Хаматова — о возрасте, роли Раисы Горбачевой и кризисе благотворительности...

13 11 2021 4:27:19

Дисбактериоз - гроза менеджеров

Дисбактериоз - гроза менеджеровДисбактериоз - гроза менеджеров...

12 11 2021 8:12:21

Нужно ли на самом деле есть за двоих во время беременности

Нужно ли на самом деле есть за двоих во время беременностиНужно ли на самом деле есть за двоих во время беременности...

11 11 2021 4:23:24

Мутации в ДНК: влияют ли особенности генов на COVID-19

Мутации в ДНК: влияют ли особенности генов на COVID-19Мутации в ДНК: влияют ли особенности генов на COVID-19...

10 11 2021 15:32:22

Гимнастика, лекарства или операция: как эффективно избавиться от храпа

Гимнастика, лекарства или операция: как эффективно избавиться от храпаГимнастика, лекарства или операция: как эффективно избавиться от храпа...

09 11 2021 0:30:42

Золотая маска: в 2020-м изделие вошло в топ-10 продаваемых товаров В начале пандемии объем продаж этих средств индивидуальной защиты вырос почти на 1200%

Золотая маска: в 2020-м изделие вошло в топ-10 продаваемых товаров В начале пандемии объем продаж этих средств индивидуальной защиты вырос почти на 1200%Золотая маска: в 2020-м изделие вошло в топ-10 продаваемых товаров В начале пандемии объем продаж этих средств индивидуальной защиты вырос почти на 1200%...

08 11 2021 20:57:19

Для успеха нужен диалог с пациентом

Для успеха нужен диалог с пациентомДля успеха нужен диалог с пациентом...

07 11 2021 18:26:25

Аллергия на пыльцу. Что нужно знать про АСИТ и другие методы лечения

Аллергия на пыльцу. Что нужно знать про АСИТ и другие методы леченияАллергия на пыльцу. Что нужно знать про АСИТ и другие методы лечения...

06 11 2021 6:40:24

Подписана Дорожная карта по содействию развитию конкуренции в Республике Мордовия

Подписана Дорожная карта по содействию развитию конкуренции в Республике МордовияПодписана Дорожная карта по содействию развитию конкуренции в Республике Мордовия...

05 11 2021 20:56:22

Андрей Цыганов: При исполнении Нацплана ФАС – не контроль и надзор, а помощь и взаимодействие

Андрей Цыганов: При исполнении Нацплана ФАС – не контроль и надзор, а помощь и взаимодействиеАндрей Цыганов: При исполнении Нацплана ФАС – не контроль и надзор, а помощь и взаимодействие...

04 11 2021 13:38:25

«Петровакс»: инвестиции, которые работают

«Петровакс»: инвестиции, которые работают«Петровакс»: инвестиции, которые работают...

03 11 2021 13:28:52

Анатолий Голомолзин: О сочетании защиты и конкуренции, и потребителей

Анатолий Голомолзин: О сочетании защиты и конкуренции, и потребителейАнатолий Голомолзин: О сочетании защиты и конкуренции, и потребителей...

02 11 2021 21:27:30

Современные технологии помогают в выполнении нацпроекта "Здравоохранение"

Современные технологии помогают в выполнении нацпроекта "Здравоохранение"Современные технологии помогают в выполнении нацпроекта "Здравоохранение"...

01 11 2021 0:25:31

Минздравом России внесены изменения в нормативные правовые акты, регламентирующие процедуру государственной регистрации медицинских изделий

Минздравом России внесены изменения в нормативные правовые акты, регламентирующие процедуру государственной регистрации медицинских изделийМинздравом России внесены изменения в нормативные правовые акты, регламентирующие процедуру государственной регистрации медицинских изделий...

31 10 2021 15:28:48

«СТЕРИПАК СЕРВИС»: Рост производства медицинских изделий в России определяется развитием производственной инфраструктуры

«СТЕРИПАК СЕРВИС»: Рост производства медицинских изделий в России определяется развитием производственной инфраструктуры«СТЕРИПАК СЕРВИС»: Рост производства медицинских изделий в России определяется развитием производственной инфраструктуры...

30 10 2021 5:24:56

Губернатор посетил Видновский перинатальный центр и проверил строящуюся Бутовскую школу №2

Губернатор посетил Видновский перинатальный центр и проверил строящуюся Бутовскую школу №2Губернатор посетил Видновский перинатальный центр и проверил строящуюся Бутовскую школу №2...

29 10 2021 22:53:39

«В этой области мировая медицина зашла в тупик» Зачем иностранцы приезжают лечиться в Россию?

«В этой области мировая медицина зашла в тупик» Зачем иностранцы приезжают лечиться в Россию?«В этой области мировая медицина зашла в тупик» Зачем иностранцы приезжают лечиться в Россию?...

28 10 2021 12:33:37

Почему группы крови родителей и детей могут быть разными

Почему группы крови родителей и детей могут быть разнымиПочему группы крови родителей и детей могут быть разными...

27 10 2021 11:47:11

Инновации ради жизни

Инновации ради жизниИнновации ради жизни...

26 10 2021 19:23:10

Вакцинацию от COVID-19 включили в Национальный календарь прививок. Она станет обязательной?

Вакцинацию от COVID-19 включили в Национальный календарь прививок. Она станет обязательной?Вакцинацию от COVID-19 включили в Национальный календарь прививок. Она станет обязательной?...

25 10 2021 15:24:51

Информационный бюллетень о ситуации и принимаемых мерах по недопущению распространения заболеваний, вызванных новым коронавирусом

Информационный бюллетень о ситуации и принимаемых мерах по недопущению распространения заболеваний, вызванных новым коронавирусомИнформационный бюллетень о ситуации и принимаемых мерах по недопущению распространения заболеваний, вызванных новым коронавирусом...

24 10 2021 16:21:13

Обзор изменений налогового законодательства. Март 2020 года.

Обзор изменений налогового законодательства. Март 2020 года.Обзор изменений налогового законодательства. Март 2020 года....

23 10 2021 18:59:30

Корановирус на Сейшеллах. Статистика и онлайн карта короновируса на Сейшеллах

Корановирус на Сейшеллах. Статистика и онлайн карта короновируса на СейшеллахСтатистика коронавируса на Сейшеллах: онлайн карта распространения в реальном времени, число заболевших коронавирусом. Ситуация с коронавирусом на Сейшеллах на сегодня....

22 10 2021 19:38:34

Paк молочной железы может формировать «спящие клетки» после лечения медикаментами

Paк молочной железы может формировать «спящие клетки» после лечения медикаментамиPaк молочной железы может формировать «спящие клетки» после лечения медикаментами...

21 10 2021 15:44:43

Праздник весны и красоты: парки приглашают отметить 8 Марта

Праздник весны и красоты: парки приглашают отметить 8 МартаПраздник весны и красоты: парки приглашают отметить 8 Марта...

20 10 2021 11:39:49

Система маркировки обеспечивает движение лекарств

Система маркировки обеспечивает движение лекарствСистема маркировки обеспечивает движение лекарств...

19 10 2021 18:18:54

Как понять заключение по электрокардиограмме: наикратчайший путеводитель по ЭКГ

Как понять заключение по электрокардиограмме: наикратчайший путеводитель по ЭКГКак понять заключение по электрокардиограмме: наикратчайший путеводитель по ЭКГ...

18 10 2021 1:41:56

Ботинки, тапки или гoлые лапки: в чем ребенок должен ходить дома

Ботинки, тапки или гoлые лапки: в чем ребенок должен ходить домаБотинки, тапки или гoлые лапки: в чем ребенок должен ходить дома...

17 10 2021 20:17:35

О Всемирном дне борьбы с пневмонией

О Всемирном дне борьбы с пневмониейО Всемирном дне борьбы с пневмонией...

16 10 2021 5:14:53

На заводе «Новые перевязочные материалы» начали производить продукцию под новыми брендами

На заводе «Новые перевязочные материалы» начали производить продукцию под новыми брендами На заводе «Новые перевязочные материалы» начали производить продукцию под новыми брендами ...

15 10 2021 8:33:49

Еще:
Заболевания -1 :: Заболевания -2 :: Заболевания -3 :: Заболевания -4 :: Заболевания -5 :: Заболевания -6 :: Заболевания -7 :: Заболевания -8 :: Заболевания -9 :: Заболевания -10 :: Заболевания -11 :: Заболевания -12 :: Заболевания -13 :: Заболевания -14 :: Заболевания -15 :: Заболевания -16 :: Заболевания -17 ::