Научная статья на тему 'Информационное письмо Администрации города Омска и Департамента здравоохранения № 01-19/2958 от 3 ноября 2009 г. «Об обеспечении защиты персональных данных в муниципальных учреждениях здравоохранения города Омска»'

Информационное письмо Администрации города Омска и Департамента здравоохранения № 01-19/2958 от 3 ноября 2009 г. «Об обеспечении защиты персональных данных в муниципальных учреждениях здравоохранения города Омска» Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
162
30
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы —

ИНФОРМАЦИОННОЕ ПИСЬМО «ОБ ОБЕСПЕЧЕНИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МУНИЦИПАЛЬНЫХ УЧРЕЖДЕНИЯХ ЗДРАВООХРАНЕНИЯ ГОРОДА ОМСКА»

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Информационное письмо Администрации города Омска и Департамента здравоохранения № 01-19/2958 от 3 ноября 2009 г. «Об обеспечении защиты персональных данных в муниципальных учреждениях здравоохранения города Омска»»



интересный документ

АДМИНИСТРАЦИЯ ГОРОДА ОМСКА, ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ

3 ноября 2009 г.

№ 01-19/2958 Главным врачам муниципальных учреждений здравоохранения города Омска

информационное письмо «об обеспечении защиты персональных данных в муниципальных учреждениях здравоохранения города омска»

В целях исполнения Федерального закона № 152-ФЗ «О персональных данных» и в соответствии с Письмом Роскомнадзора от 23.06.2009 года №07-2/6639 напоминаю, что информационные системы персональных данных (ИСПДн), созданные после вступления в действие Федерального закона Российской Федерации от 26.07.2006 № 152-ФЗ «О персональных данных», должны соответствовать требованиям данного закона. Ранее созданные информационные системы должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.

Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Контроль за соблюдением законодательства о персональных данных (далее ПДн) осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).

Информация об основных нормативно-методических документах и требованиях по организации защиты ПДн указана в Приложении № 7.

Для реализации указанных требований муниципальные учреждения здравоохранения города Омска должны выполнить организационные и технические мероприятия по защите ПДн.

Организационные мероприятия:

1. В соответствии с Письмом Департамента здравоохранения Администрации города Омска от 22.12.08 № 01-12/3967 уведомить Управление Роскомнадзора по Омской области об обработке персональных данных в ЛПУ.

2. Подготовить комплект документов по обеспечению информационной безопасности учреждения, включающий в себя:

• положение о защите ПДн в муниципальном учреждении;

• приказ о назначении лица, ответственного за информационную безопасность;

• приказ об организации работы с ПДн работников муниципального учреждения;

• регламент процедур, препятствующих несанкционированному доступу к персональным данным работников муниципального учреждения;

• регламент резервного копирования, восстановления, уничтожения персональных данных;

• инструкцию по организации антивирусной защиты локальной вычислительной сети;

• инструкцию пользователя информационной системы, содержащей персональные данные;

• регламент работы с цифровыми носителями конфиденциальной информации;

• разработать форму анкеты для письменного согласия на обработку ПДн.

3. Ознакомить всех работников учреждения под поспись с Положением о защите ПДн в учреждении.

1енеджер №1

4. Получить письменное согласие от всех пациентов лечебных учреждений на обработку их ПДн.

5. Для физических лиц (организаций), выполняющих охрану зданий лечебных учреждений, включить в трудовой договор (договор об оказании услуг) ответственность за охрану ПДн.

6. Разработать регламент доступа персонала в помещение регистратуры медицинского учреждения (другие места хранения бумажных носителей ПДн).

7. Разработать регламент обращения с амбулаторными картами пациентов (историями болезней) в лечебном учреждении.

8. С 1 января 2010 года изменится порядок работы со всеми информационными системами в лечебных учреждениях города (Мединфо-город, ТМ-рецепт, М-Аптека и другие). Изменения в порядке работы информационных систем, содержащих персональные данные, приведены в Приложении №2.

9. Обработка информации, содержащей ПДн, будет осуществляться только в помещениях, аттестованных на соответствие требованиям по обработке ПДн. Для обеспечения доступа и подготовки к аттестации в кабинетах необходимо выполнить подготовительные действия, указанные в Приложении № 3.

Технические мероприятия:

В связи с изменением порядка работы с информационными системами следует определить необходимое количество отдельных кабинетов и рабочих мест для обработки ПДн.

Для каждого кабинета следует:

1. Приобрести и установить лицензионное программное обеспечение.

2. Рабочие места физически изолировать от общей локальной вычислительной сети (при необходимости организовать автономную ЛВС).

3. Организовать учет электронных носителей информации.

4. Обмен данных с общей локальной вычислительной сетью организовать с помощью учтенных внешних электронных носителей (флэш-карт, дискет).

5. При необходимости передачи информации, содержащей ПДн, по техническим каналам связи применять сертифицированные программные, программно-аппаратные устройства шифрования.

6. Провести аттестацию помещений для обработки ПДн. (Аттестационные испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК России).

7. Ориентировочная стоимость одного рабочего места для обработки ПДн составляет 70 000 рублей.

8. Заключить договоры на обслуживание средств защиты ПДн.

Организационные мероприятия в медицинских учреждениях выполнить до 1 декабря 2009 года.

По техническим мероприятиям:

— в срок до 9 ноября 2009 года предоставить информацию о необходимом количестве отдельных кабинетов и рабочих мест для работы с ПДн, согласно форме Приложения №4;

— в срок до 3 декабря 2009 года представить отчет о ходе выполнения организационно-технических мероприятий по защите персональных данных.

В случае невозможности выполнения технических мероприятий по защите ПДн в учреждении направить в адрес Департамента здравоохранения города Омска и в Министерство здравоохранения Омской области разъяснительные письма с указанием причин.

Для консультации по выполнению организационно-технических мероприятий по защите ПДн обращаться в:

• Сектор по реализации национального проекта ;

• Сектор информационной безопасности МУ «Управление информационно-коммуникационных технологий».

№1

ЗОЮ

Менедже1

Приложение 1: Информация об основных нормативно-методических документах и требованиях по организации защиты персональных данных на 2 л. в 1 экз.

Приложение 2: Изменения в порядке работы информационных систем в лечебном учреждении здравоохранения города Омска на 2 л. в 1 экз.

Приложение 3: Требования к помещению на

1 л. в 1 экз. Приложение 4: Отчет о подготовке к проведению технических мероприятий по защите персональных данных на 1 л. в 1 экз.

Директор Департамента здравоохранения Администрации города Омска

С.В. Добрых

Приложение 1

Информация об основных нормативно-методических документах и требованиях по организации защиты

персональных данных

Законодательством Российской Федерации ответственность за надлежащую защиту персональных данных возлагается на организации, в которых персональные данные обрабатываются. Уполномоченным органом по контролю за соблюдением законодательства о персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также проверки по жалобам и обращениям физических и юридических лиц. Проверки систем защиты персональных данных могут также осуществляться ФСТЭК России или ФСБ России при проведении контроля систем защиты конфиденциальных данных или использования крип-тосредств. При обнаружении неправомерных действий с персональными данными их обработка должна быть прекращена до устранения выявленных нарушений.

Нарушение законодательства о персональных данных в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (статья 24) влечет за собой гражданскую, уголовную, администра-

тивную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность, налагаемую в судебном порядке.

Законодательство о защите персональных данных

Под персональными данными (ПД) понимают любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки.

Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и техни-

1енеджер №1

ческих средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без наличия таких средств.

Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации.

В целях защиты прав граждан на неприкосновенность частной жизни, личной и семейной тайны в последние годы принят ряд законодательных актов. В настоящее время законодательно-нормативная база по персональным данным включает:

— Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (14 глава с изменениями и дополнениями);

— Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

— Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

— Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об

утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

— Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

— Постановление Правительства Российской Федерации от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»;

— Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

— Приказ Россвязькомнадзора от

17.07.2008 № 8 «Об утверждении образца формы уведомления об обработке персональных данных»;

— Приказ Россвязькомнадзора от

18.02.2009 № 42 «О внесении изменений в Приказ Россвязькомнадзора от 17 июля 2008 г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных».

Обеспечение безопасности персональных данных должно осуществляться в соответствии с методическими документами ФСТЭК России (документы ДСП):

— «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года;

— «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;

— «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;

№7 Менедже;

ЭОЮ здравоохранения <

— «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.

Для получения перечисленных документов для служебного пользования можно обратиться во ФСТЭК России.

Использование криптосредств для обеспечения безопасности персональных данных должно осуществляться в соответствии с:

— Приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации»;

— Постановлением Правительства Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

— Методическими рекомендациями по обеспечению с помощью криптосредств безопасно-

сти персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от 21.02.2008 № 149/54-144);

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

— Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от 21.02.2008 № 149/6/6-622).

На основании указанных выше документов всеми организациями и физическими лицами на территории Российской Федерации должен обеспечиваться требуемый уровень безопасности персональных данных (в действующих информационных системах — не позднее 01.01.2010). Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.

Приложение 2

Изменения в порядке работы информационных систем в лечебном учреждении здравоохранения города Омска

В целях исполнения Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» выполняется подготовка к внедрению с 1 января 2010 года новой версии программного комплекса «Мединфо-город» с реализованным механизмом «деперсонализации» данных, а также изменению порядка работы с другими программами, использующими персональные данные.

Указанные действия выполняются в каждом ЛПУ.

1. Процедура формирования в ЛПУ «кода пациента ЛПУ»

Процедура включает в себя: • Формирование в программе «кода пациента ЛПУ».

• Печать бланков «код пациента ЛПУ» по всему приписному населению ЛПУ до 15 декабря 2009 г.

• Выдача бланков «код пациента ЛПУ» физическим лицам с 16 декабря 2009 г.

Бланк «код пациента ЛПУ» печатается в отдельной программе. С 1 января 2010 года бланки формируются в отдельном кабинете (не в регистратуре), сертифицированном по информационной безопасности.

Возможен вариант печати «код пациента ЛПУ» на медицинском полисе или другом документе, удостоверяющем личность.

С 1 января 2010 для работы с программой по формированию «кода пациента ЛПУ»

1енеджер №1

должен постоянно присутствовать специалист (в отдельном кабинете).

При выдаче документа «код пациента ЛПУ» необходимо получить от пациентов письменное согласие на обработку их персональных данных.

2. Обращение пациентов в регистратуру

Поиск данных по пациенту в программе

«Мединфо-город» выполняется только по «коду пациента в ЛПУ». Персональные данные пациента (фамилия, имя, отчество, дата рождения) в программе отсутствуют.

При обращении в регистратуру возможна проверка правильности указываемого «кода пациента ЛПУ» с помощью уточнения даты рождения пациента.

Внешние базы данных (ОМС, Федеральные льготники, Региональные льготники) приведены в соответствие с «кодами пациентов ЛПУ».

3. Выписка рецептов для пациентов

Рецепты формируются в программах:

— ТМ-рецепт (Белгород) СУБД МБ Бя! 2000;

— М-Аптека + ЛПУ (Москва) СУБД СозЬе.

Для защиты персональных данных печать

рецептов из указанных выше программ должна выполнятся только в отдельном кабинете, сертифицированном по информационной безопасности.

На других рабочих местах установка программ по печати рецептов запрещена.

Для существующего объема печати в ЛПУ следует определить количество операторов, выполняющих печать рецептов в отдельном кабинете.

При наличии филиалов в ЛПУ организовать печать рецептов в филиалах в отдельных сертифицированных кабинетах или выполнять печать рецептов только в головном ЛПУ.

4. Работа со специализированными программами комплекса «Мединфо-город» и другими внешними программами для формирования отчетности

Для лечебно-профилактических учреждений (ЛПУ) в состав специализированных программ входят:

— Мединфо-травма

— Мединфо-прививки;

— Мединфо-родовые сертификаты;

— Мединфо-диабет.

Внешние программы:

— «Мониторинг смертности» (Областной МИАЦ);

— «Регистр сахарного диабета» (Москва);

— «Федеральный регистр детей-инвалидов» (Москва);

— «Диспансеризация детей 2007» (Москва);

— «Диспансеризация детей-сирот 2000» (Москва).

Для городских стоматологических поликлиник в состав специализированных программ входят:

— Мединфо-стоматология;

— Льготное зубопротезирование (Областной МИАЦ).

Для родильных домов в состав специализированных программ входят:

— Мединфо-родовые сертификаты.

Вся работа со специализированными программами должна выполняться только в отдельном кабинете, сертифицированном по информационной безопасности.

5. Связь между сертифицированным кабинетом и регистратурой

Для установки связи между сертифицированным кабинетом и регистратурой в ЛПУ должен быть организован механизм обмена данными с помощью внешних электронных носителей.

Требования к помещению

Приложение 3

1. Размещение, специальное оборудование, охрана и режим в помещениях, в которых производится работа с персональными

данными (далее — помещения), должны обеспечивать безопасность ПД и исключать возможность неконтролируемого доступа к ПД.

№1

ЗОЮ

Менедже1

2. Доступ лиц в эти помещения должен быть ограничен и обеспечиваться в соответствии со служебной необходимостью и приказом по учреждению.

3. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, оборудованные надежными замками.

4. На всех окнах помещения должны быть установлены жалюзи, шторы и др.

5. Входная дверь должна быть оборудована кодовым замком, код которого известен только сотрудникам, работающим в этом помещении.

6. По окончании рабочего дня ответственный сотрудник обязан закрыть помещение, сдать помещение под охрану с отметкой в журнале Прием помещений под охрану. При вскрытии помещений должна проверять-

ся целостность замков. В случае нарушения целостности замков ответственный сотрудник обязан немедленно сообщить об этом лицу, ответственному за обеспечение информационной безопасности в учреждении.

7. На дверях и оконных стеклах должны быть установлены датчики охранной сигнализации (при нахождении помещения вне крайних этажей допускается установка датчиков объемной сигнализации). В помещении должна быть установлена система пожарной сигнализации.

8. Для хранения носителей с содержанием ПД, тестовых ключей, нормативной и эксплуатационной документации помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Сейфы должны быть оборудованы приспособлением для их опечатывания либо специальным защитным замком для замочной скважины. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством учреждения.

Приложение 4

Отчет о подготовке к проведению технических мероприятий по защите персональных данных

Наименование кабинета Функционал Номер кабинета Количество рабочих мест

Статистическая отчетность Формирование статистической отчетности. Формирование кода пациента в ЛПУ 212 5

Выписка рецептов Выписка рецептов для пациентов

.ф. Выписка рецептов для пациентов

Филиал XX — выписка рецептов , м ™

г в филиале № XX по адресу

124

14

В таблице приведен образец заполнения информации.

1енеджер №1

i Надоели баннеры? Вы всегда можете отключить рекламу.