ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ №152-ФЗ
о персональных данных для МИС
О защите медицинских информационных систем
В наше время вопрос о защите персональных данных встает достаточно остро перед каждой компанией.
Информационные системы несовершенны и должны учитывать множество факторов, чтобы была обеспечена полноценная защита информации. Особую важность имеют данные, которые предоставляются сфере здравоохранения, ведь среди них диагнозы, истории болезней и другая личная информация.
Именно для сохранения безопасности персональных данных, в том числе, медицинских и существует Федеральный закон №152-ФЗ «О персональных данных», который подкрепляется требованиями Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Информационные системы несовершенны и должны учитывать множество факторов, чтобы была обеспечена полноценная защита информации. Особую важность имеют данные, которые предоставляются сфере здравоохранения, ведь среди них диагнозы, истории болезней и другая личная информация.
Именно для сохранения безопасности персональных данных, в том числе, медицинских и существует Федеральный закон №152-ФЗ «О персональных данных», который подкрепляется требованиями Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации».
О чем говорят законы?
Основным законом о защите персональных данных является Федеральный закон №152-ФЗ «О персональных данных». В нем сформулированы строгие правила сбора, хранения и использования личной информации для защиты прав, личной жизни и свободы гражданина.
При этом, информационные системы медицинских и фармацевтических организаций (МИС) дополнительно регулируются требованиями Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Согласно законам, для обеспечения безопасности данных сфера здравоохранения должна использовать строго обозначенные программы и технические средства защиты. Такие средства должны быть сертифицированы ФСТЭК, соответствовать требованиям безопасности и ограничивать доступ к врачебной тайне, чтобы избежать утечки, изменения или уничтожения данных.
При этом, информационные системы медицинских и фармацевтических организаций (МИС) дополнительно регулируются требованиями Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Согласно законам, для обеспечения безопасности данных сфера здравоохранения должна использовать строго обозначенные программы и технические средства защиты. Такие средства должны быть сертифицированы ФСТЭК, соответствовать требованиям безопасности и ограничивать доступ к врачебной тайне, чтобы избежать утечки, изменения или уничтожения данных.
Чем грозит невыполнение требований?
Если медицинская организация не сможет принять необходимые меры для соблюдения законов, то ее действия повлекут за собой серьезные последствия:
Репутационные риски
Конечно, при утечке персональной информации страдает репутация учреждения. В данном случае организация может потерять доверие не только клиентов, но и партнеров, поставщиков и сотрудников, что сильно затруднит дальнейшую деятельность.
Гражданские иски
Сам по себе факт нарушения законодательства позволяет потерпевшему обратиться в суд для защиты своих прав, что и делают работники и клиенты организаций. Это приводит к финансовым и репутационным потерям.
Санкции и штрафы
Государственные органы, контролирующие безопасность медицинских персональных данных, могут наложить на организацию санкции, которые повлекут за собой сложности в продолжении деятельности учреждения. Например, ограничение или полный запрет на сбор и обработку личных сведений, приостановление или аннулирование лицензии на основную деятельность компании. Помимо этого, может быть наложен штраф, размер которого определяется Кодексом об административных правонарушениях.
Административная или уголовная ответственность
При определенных обстоятельствах, за нарушение закона о защите информации может грозить административная и даже уголовная ответственность как для руководителя, так и для организации в целом.
Репутационные риски
Конечно, при утечке персональной информации страдает репутация учреждения. В данном случае организация может потерять доверие не только клиентов, но и партнеров, поставщиков и сотрудников, что сильно затруднит дальнейшую деятельность.
Гражданские иски
Сам по себе факт нарушения законодательства позволяет потерпевшему обратиться в суд для защиты своих прав, что и делают работники и клиенты организаций. Это приводит к финансовым и репутационным потерям.
Санкции и штрафы
Государственные органы, контролирующие безопасность медицинских персональных данных, могут наложить на организацию санкции, которые повлекут за собой сложности в продолжении деятельности учреждения. Например, ограничение или полный запрет на сбор и обработку личных сведений, приостановление или аннулирование лицензии на основную деятельность компании. Помимо этого, может быть наложен штраф, размер которого определяется Кодексом об административных правонарушениях.
Административная или уголовная ответственность
При определенных обстоятельствах, за нарушение закона о защите информации может грозить административная и даже уголовная ответственность как для руководителя, так и для организации в целом.
Особенности работы с персональными данными в медицине
Мало кто знает, но даже при таких серьезных рисках сфера здравоохранения занимает лидирующее место в статистике по утечке данных. Исследование, проведенное компанией SearchInform, показало, что утечка данных происходила как минимум у 42% медицинских и фармацевтических организаций, 50% из них старательно пытаются скрыть факт утечки. Защита МИС хоть и является серьезной необходимостью, однако далеко не каждая организация в состоянии ее обеспечить.
Стоит отметить, что пациенту, по его запросу, учреждение должно предоставить информацию о целях сбора данных, сроках хранения и обработки, способах использования личных данных, а также другие сведения, которые отражены в Федеральном законе 152-ФЗ.
Важно уточнить, что для работы с данными организация обязана получить письменное или электронное согласие пациента на необходимые действия по обработке данных.
Стоит отметить, что пациенту, по его запросу, учреждение должно предоставить информацию о целях сбора данных, сроках хранения и обработки, способах использования личных данных, а также другие сведения, которые отражены в Федеральном законе 152-ФЗ.
Важно уточнить, что для работы с данными организация обязана получить письменное или электронное согласие пациента на необходимые действия по обработке данных.
Какие данные хранятся в МИС?
Данные, которые находятся на серверах медицинских учреждений, условно делятся на два вида:
Простые данные
Это ФИО, рост, вес, возраст, место жительства и рождения, фотографии (вся информация, что присутствует в паспорте и других документах). И, конечно же, контактные данные пациента или работника.
Персональные данные особой категории
К этому типу информации относят более серьезные сведения о личности, которые подходят под определение врачебной тайны. Это причины обращения за медицинской помощью, диагноз, а также детальные особенности лечения. Такая информация дополнительно охраняется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».
Простые данные
Это ФИО, рост, вес, возраст, место жительства и рождения, фотографии (вся информация, что присутствует в паспорте и других документах). И, конечно же, контактные данные пациента или работника.
Персональные данные особой категории
К этому типу информации относят более серьезные сведения о личности, которые подходят под определение врачебной тайны. Это причины обращения за медицинской помощью, диагноз, а также детальные особенности лечения. Такая информация дополнительно охраняется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».
Как избежать утечки данных?
Чтобы обеспечить защиту информации в соответствии с Федеральными законами, медицинские учреждения должны смоделировать все возможные ситуации, при которых имеющаяся информационная система может перестать функционировать должным образом.
После тщательного анализа уязвимостей, определяются организационные и технические меры для обеспечения безопасности медицинских персональных данных. Эти меры должны распространяться на каждый уровень информационной системы, для этого используется специальное программное и техническое оборудование.
Защита МИС обязательно должна быть организована при помощи специальных антивирусных комплексов, межсетевых экранов и других средств, предотвращающих утечки данных и несанкционированные доступы, которые должны соответствовать требованиям:
После тщательного анализа уязвимостей, определяются организационные и технические меры для обеспечения безопасности медицинских персональных данных. Эти меры должны распространяться на каждый уровень информационной системы, для этого используется специальное программное и техническое оборудование.
Защита МИС обязательно должна быть организована при помощи специальных антивирусных комплексов, межсетевых экранов и других средств, предотвращающих утечки данных и несанкционированные доступы, которые должны соответствовать требованиям:
- Уровень автоматизированных рабочих мест дополнительно охраняется при помощи специальных сертифицированных операционных систем.
- Каналы передачи данных должны быть защищены программно-аппаратными комплексами, например, криптографическими шлюзами.
- Системы управления базами данных должны быть оборудованы определенными сертифицированными системами защиты.
- Для обеспечения безопасности виртуальной инфраструктуры необходимо использовать доверенный гипервизор.
Сертифицированные средства защиты информации для выполнения №152-ФЗ:
Антивирусная защита: Kaspersky, Dr.Web, Eset Nod32.
Средства межсетевого экранирования: UserGate, Код Безопасности — Континент АПКШ, Infotecs — VipNet Coordinator.
Средства от несанкционированного доступа: Конфидент Dallas Lock 8.0-K, Код Безопасности — SecretNetStudio.
Сканер уязвимости: PT xSpider, Red Check.
Антивирусная защита: Kaspersky, Dr.Web, Eset Nod32.
Средства межсетевого экранирования: UserGate, Код Безопасности — Континент АПКШ, Infotecs — VipNet Coordinator.
Средства от несанкционированного доступа: Конфидент Dallas Lock 8.0-K, Код Безопасности — SecretNetStudio.
Сканер уязвимости: PT xSpider, Red Check.
Этапы обеспечения защиты персональных данных в медицинской сфере
Рассмотрим, какие же действия должны совершить учреждения, чтобы была организована правильная защита информации. Для этого существует специальная пошаговая инструкция.
Для начала нужно собрать данные об информационных системах, хранящих персональные записи клиентов и работников, после чего перейти к моделированию и прогнозированию угроз безопасности, а также определить и обозначить обязательные уровни защиты.
Только после детального анализа угроз, разрабатывается техническое задание, на основе которого создается проект системы защиты данных на всех обозначенных уровнях. Помимо этого, должна быть составлена и внедрена организационно-распорядительная документация, контролирующая процесс обработки и защиты личной информации.
Для начала нужно собрать данные об информационных системах, хранящих персональные записи клиентов и работников, после чего перейти к моделированию и прогнозированию угроз безопасности, а также определить и обозначить обязательные уровни защиты.
Только после детального анализа угроз, разрабатывается техническое задание, на основе которого создается проект системы защиты данных на всех обозначенных уровнях. Помимо этого, должна быть составлена и внедрена организационно-распорядительная документация, контролирующая процесс обработки и защиты личной информации.
Когда подготовительные этапы завершены, организация заказывает, устанавливает и настраивает программное и техническое оборудование, после чего медицинская информационная система проходит аттестацию для определения соответствию требованиям безопасности
Но даже такой подход к обеспечению защиты МИС, не исключает возникновения технических ошибок, а также влияния человеческого фактора. Неверное определение угроз или некорректная настройка программного обеспечения часто приводит к утечке данных из информационных систем.
При самостоятельной настройке системы существует большой риск возникновения проблем, связанных с конфигурацией оборудования и формированием баз данных.
Именно поэтому на всех этапах проектной деятельности рекомендуется взаимодействовать со специалистами, которые помогут не только провести подготовительные работы, установку и настройку оборудования, но и грамотно подойдут к вопросу эффективного использования бюджета с учетом всех требований и ограничений.
При самостоятельной настройке системы существует большой риск возникновения проблем, связанных с конфигурацией оборудования и формированием баз данных.
Именно поэтому на всех этапах проектной деятельности рекомендуется взаимодействовать со специалистами, которые помогут не только провести подготовительные работы, установку и настройку оборудования, но и грамотно подойдут к вопросу эффективного использования бюджета с учетом всех требований и ограничений.
Остались вопросы?
Оставьте заявку на консультацию. Наш специалист свяжется с вами в ближайшее время