CC BY
45ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ - П РДЧ
АБОРАТОРИЯ
НФОРМАЦИОННЫХ
ЕХНОЛОГИИ
КОНЦЕПЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МЕДИЦИНСКИХ ОРГАНИЗАЦИЯХ
С. В. Орешенков, А. В. Курбесов
Аннотация. Статья описывает актуальность и порядок законодательного регулирования, комплекс организационных и технических мер защиты персональных данных в медицинских организациях, состав направлений по защите информа-
ции от несанкционированного доступа и требований к средствам защиты и их поставщикам.
Ключевые слова: защита персональных данных, противодействие НСД, 152-ФЗ, криптографическая защита.
THE CONCEPTION OF PROTECTION OF PERSONAL DATA IN MEDICAL ORGANIZATIONS
S. Oreshenkov, A. Kurbesov
Annotation. The article describes relevance and order of legislative regulation, complex of organizational and technical measures of protection of personal data in medical organizations,
the composition of directions on protection of the information from non-authorized access and requirements to the means of protection and their suppliers.
Keywords: protection of personal data, counteraction of the non-authorized access, 152 federal law, cryptographic protection.
В современных условиях все большую актуальность приобретает вопрос защиты персональных данных в медицинских информационных системах. Негативными последствиями от владения злоумышленником персональными данными о субъекте из медицинского учреждения могут быть как манипуляции финансовых мошенников с использованием Ф. И. О., возраста и контактных данных, так и злонамеренное распространение сведений о заболеваниях субъекта, что может нанести ущерб репутации гражданина.
Федеральный закон РФ №152-ФЗ и Постановление Правительства РФ №1119 являются основополагающими актами, регламентирующими состав мер по защите персональных данных. КоАП и Уголовный кодекс РФ, в случае отнесения медицинских информационных систем к критическим объектам, устанавливают «карательные» меры воздействия к нарушителям порядка обеспечения защиты персональных данных.
Как следует из указанных документов, оператор персональных данных должен выполнить комплекс мер — организационных и технических.
Максимально уязвимым и требующим внимания участком организационных мер является персонал. Наиболее высоким потенциалом для совершения противоправных действий обладают должностные лица уровня системного администратора, располагающие паролями, исчерпывающим объемом сведений об информационной системе и мерах ее защиты. Другим аспектом проблемы слабой реализации организационных мер является выбор мест размещения компонентов информационных систем, доступных для широкого круга лиц.
Технические меры по защите информации можно разделить на два основных блока:
• меры по защите информации
от несанкционированного доступа (НСД);
• меры по защите информации от утечки по каналам
побочных электромагнитных излучений и наводок
(ПЭМИН).
Каналы утечки за счет ПЭМИН признаны Минздравом РФ неактуальными в связи с высокой затратностью добычи информации подобным способом. ФСТЭК РФ подтверждает позицию министерства.
Актуальным остается блок защиты от НСД, которая ведется по ряду направлений, состав которых определяется характеристиками информационной системы.
Меры по защите информации от НСД
Для всех информационных систем При наличии т.н. «Интернета» При обмене защищаемой информацией с удаленными подразделениями посред-ствомт.н. «Интернета»
Противодействие НСД Антивирусная защита Межсетевое экранирование Обнаружение атак (вторжений) Криптографическая защита
Основные положения порядка подбора технических средств защиты регламентированы Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 11.02.2013 №17, Приказом ФСТЭК от 18.02.2013 №21, Приказом ФСБ РФ от 10.07.2014 №378.
К первоочередным требованиям к поставщикам средств защиты персональных данных, предусмотренным указанными нормативными актами, можно отнести наличие действующих сертификатов соответствия ФСТЭК РФ или ФСБ РФ и гарантированное обеспечение всего комплекса мер по защите с учетом параметров информационной системы оператора персональных данных. Реализация мер по защите персональных данных подтверждается путем аттестационных испытаний с выдачей Аттестата соответствия.
Концепция защиты информации в медицинской организации включает в себя следующие аспекты:
• работа с персоналом — должностными лицами, располагающими наивысшим потенциалом для нарушений;
• грамотный выбор поставщика средств защиты информации, оказывающего услуги в соответствии с действующим законодательством;
• выполнение организационных требований
по размещению и оборудованию компонентов информационных систем;
• выполнение требований по защите информации по техническим каналам;
• проведение аттестации и своевременный контроль актуальности Аттестата соответствия.
АВТОРСКАЯ СПРАВКА
Орешенков Сергей Викторович — начальник отдела информационной безопасности ООО «Лаборатория ИТ».
Курбесов Александр Валерьянович — кандидат экономических наук, доцент кафедры информационных систем и прикладной информатики РГЭУ (РИНХ), г. Ростов-на-Дону.
www.akvarel2002.ru
