CC BY
30
интересный документ
АДМИНИСТРАЦИЯ ГОРОДА ОМСКА, ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ
3 ноября 2009 г.
№ 01-19/2958 Главным врачам муниципальных учреждений здравоохранения города Омска
информационное письмо «об обеспечении защиты персональных данных в муниципальных учреждениях здравоохранения города омска»
В целях исполнения Федерального закона № 152-ФЗ «О персональных данных» и в соответствии с Письмом Роскомнадзора от 23.06.2009 года №07-2/6639 напоминаю, что информационные системы персональных данных (ИСПДн), созданные после вступления в действие Федерального закона Российской Федерации от 26.07.2006 № 152-ФЗ «О персональных данных», должны соответствовать требованиям данного закона. Ранее созданные информационные системы должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 года.
Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Контроль за соблюдением законодательства о персональных данных (далее ПДн) осуществляют территориальные органы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).
Информация об основных нормативно-методических документах и требованиях по организации защиты ПДн указана в Приложении № 7.
Для реализации указанных требований муниципальные учреждения здравоохранения города Омска должны выполнить организационные и технические мероприятия по защите ПДн.
Организационные мероприятия:
1. В соответствии с Письмом Департамента здравоохранения Администрации города Омска от 22.12.08 № 01-12/3967 уведомить Управление Роскомнадзора по Омской области об обработке персональных данных в ЛПУ.
2. Подготовить комплект документов по обеспечению информационной безопасности учреждения, включающий в себя:
• положение о защите ПДн в муниципальном учреждении;
• приказ о назначении лица, ответственного за информационную безопасность;
• приказ об организации работы с ПДн работников муниципального учреждения;
• регламент процедур, препятствующих несанкционированному доступу к персональным данным работников муниципального учреждения;
• регламент резервного копирования, восстановления, уничтожения персональных данных;
• инструкцию по организации антивирусной защиты локальной вычислительной сети;
• инструкцию пользователя информационной системы, содержащей персональные данные;
• регламент работы с цифровыми носителями конфиденциальной информации;
• разработать форму анкеты для письменного согласия на обработку ПДн.
3. Ознакомить всех работников учреждения под поспись с Положением о защите ПДн в учреждении.
1енеджер №1
4. Получить письменное согласие от всех пациентов лечебных учреждений на обработку их ПДн.
5. Для физических лиц (организаций), выполняющих охрану зданий лечебных учреждений, включить в трудовой договор (договор об оказании услуг) ответственность за охрану ПДн.
6. Разработать регламент доступа персонала в помещение регистратуры медицинского учреждения (другие места хранения бумажных носителей ПДн).
7. Разработать регламент обращения с амбулаторными картами пациентов (историями болезней) в лечебном учреждении.
8. С 1 января 2010 года изменится порядок работы со всеми информационными системами в лечебных учреждениях города (Мединфо-город, ТМ-рецепт, М-Аптека и другие). Изменения в порядке работы информационных систем, содержащих персональные данные, приведены в Приложении №2.
9. Обработка информации, содержащей ПДн, будет осуществляться только в помещениях, аттестованных на соответствие требованиям по обработке ПДн. Для обеспечения доступа и подготовки к аттестации в кабинетах необходимо выполнить подготовительные действия, указанные в Приложении № 3.
Технические мероприятия:
В связи с изменением порядка работы с информационными системами следует определить необходимое количество отдельных кабинетов и рабочих мест для обработки ПДн.
Для каждого кабинета следует:
1. Приобрести и установить лицензионное программное обеспечение.
2. Рабочие места физически изолировать от общей локальной вычислительной сети (при необходимости организовать автономную ЛВС).
3. Организовать учет электронных носителей информации.
4. Обмен данных с общей локальной вычислительной сетью организовать с помощью учтенных внешних электронных носителей (флэш-карт, дискет).
5. При необходимости передачи информации, содержащей ПДн, по техническим каналам связи применять сертифицированные программные, программно-аппаратные устройства шифрования.
6. Провести аттестацию помещений для обработки ПДн. (Аттестационные испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК России).
7. Ориентировочная стоимость одного рабочего места для обработки ПДн составляет 70 000 рублей.
8. Заключить договоры на обслуживание средств защиты ПДн.
Организационные мероприятия в медицинских учреждениях выполнить до 1 декабря 2009 года.
По техническим мероприятиям:
— в срок до 9 ноября 2009 года предоставить информацию о необходимом количестве отдельных кабинетов и рабочих мест для работы с ПДн, согласно форме Приложения №4;
— в срок до 3 декабря 2009 года представить отчет о ходе выполнения организационно-технических мероприятий по защите персональных данных.
В случае невозможности выполнения технических мероприятий по защите ПДн в учреждении направить в адрес Департамента здравоохранения города Омска и в Министерство здравоохранения Омской области разъяснительные письма с указанием причин.
Для консультации по выполнению организационно-технических мероприятий по защите ПДн обращаться в:
• Сектор по реализации национального проекта ;
• Сектор информационной безопасности МУ «Управление информационно-коммуникационных технологий».
№1
ЗОЮ
Менедже1
Приложение 1: Информация об основных нормативно-методических документах и требованиях по организации защиты персональных данных на 2 л. в 1 экз.
Приложение 2: Изменения в порядке работы информационных систем в лечебном учреждении здравоохранения города Омска на 2 л. в 1 экз.
Приложение 3: Требования к помещению на
1 л. в 1 экз. Приложение 4: Отчет о подготовке к проведению технических мероприятий по защите персональных данных на 1 л. в 1 экз.
Директор Департамента здравоохранения Администрации города Омска
С.В. Добрых
Приложение 1
Информация об основных нормативно-методических документах и требованиях по организации защиты
персональных данных
Законодательством Российской Федерации ответственность за надлежащую защиту персональных данных возлагается на организации, в которых персональные данные обрабатываются. Уполномоченным органом по контролю за соблюдением законодательства о персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит плановые (целевые, комплексные) проверки, а также проверки по жалобам и обращениям физических и юридических лиц. Проверки систем защиты персональных данных могут также осуществляться ФСТЭК России или ФСБ России при проведении контроля систем защиты конфиденциальных данных или использования крип-тосредств. При обнаружении неправомерных действий с персональными данными их обработка должна быть прекращена до устранения выявленных нарушений.
Нарушение законодательства о персональных данных в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (статья 24) влечет за собой гражданскую, уголовную, администра-
тивную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность, налагаемую в судебном порядке.
Законодательство о защите персональных данных
Под персональными данными (ПД) понимают любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки.
Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и техни-
1енеджер №1
ческих средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без наличия таких средств.
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации.
В целях защиты прав граждан на неприкосновенность частной жизни, личной и семейной тайны в последние годы принят ряд законодательных актов. В настоящее время законодательно-нормативная база по персональным данным включает:
— Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (14 глава с изменениями и дополнениями);
— Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об
утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
— Постановление Правительства Российской Федерации от 16.03.2009 № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»;
— Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
— Приказ Россвязькомнадзора от
17.07.2008 № 8 «Об утверждении образца формы уведомления об обработке персональных данных»;
— Приказ Россвязькомнадзора от
18.02.2009 № 42 «О внесении изменений в Приказ Россвязькомнадзора от 17 июля 2008 г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных».
Обеспечение безопасности персональных данных должно осуществляться в соответствии с методическими документами ФСТЭК России (документы ДСП):
— «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года;
— «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;
— «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;
№7 Менедже;
ЭОЮ здравоохранения <
— «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.
Для получения перечисленных документов для служебного пользования можно обратиться во ФСТЭК России.
Использование криптосредств для обеспечения безопасности персональных данных должно осуществляться в соответствии с:
— Приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации»;
— Постановлением Правительства Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;
— Методическими рекомендациями по обеспечению с помощью криптосредств безопасно-
сти персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от 21.02.2008 № 149/54-144);
— Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от 21.02.2008 № 149/6/6-622).
На основании указанных выше документов всеми организациями и физическими лицами на территории Российской Федерации должен обеспечиваться требуемый уровень безопасности персональных данных (в действующих информационных системах — не позднее 01.01.2010). Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.
Приложение 2
Изменения в порядке работы информационных систем в лечебном учреждении здравоохранения города Омска
В целях исполнения Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» выполняется подготовка к внедрению с 1 января 2010 года новой версии программного комплекса «Мединфо-город» с реализованным механизмом «деперсонализации» данных, а также изменению порядка работы с другими программами, использующими персональные данные.
Указанные действия выполняются в каждом ЛПУ.
1. Процедура формирования в ЛПУ «кода пациента ЛПУ»
Процедура включает в себя: • Формирование в программе «кода пациента ЛПУ».
• Печать бланков «код пациента ЛПУ» по всему приписному населению ЛПУ до 15 декабря 2009 г.
• Выдача бланков «код пациента ЛПУ» физическим лицам с 16 декабря 2009 г.
Бланк «код пациента ЛПУ» печатается в отдельной программе. С 1 января 2010 года бланки формируются в отдельном кабинете (не в регистратуре), сертифицированном по информационной безопасности.
Возможен вариант печати «код пациента ЛПУ» на медицинском полисе или другом документе, удостоверяющем личность.
С 1 января 2010 для работы с программой по формированию «кода пациента ЛПУ»
1енеджер №1
должен постоянно присутствовать специалист (в отдельном кабинете).
При выдаче документа «код пациента ЛПУ» необходимо получить от пациентов письменное согласие на обработку их персональных данных.
2. Обращение пациентов в регистратуру
Поиск данных по пациенту в программе
«Мединфо-город» выполняется только по «коду пациента в ЛПУ». Персональные данные пациента (фамилия, имя, отчество, дата рождения) в программе отсутствуют.
При обращении в регистратуру возможна проверка правильности указываемого «кода пациента ЛПУ» с помощью уточнения даты рождения пациента.
Внешние базы данных (ОМС, Федеральные льготники, Региональные льготники) приведены в соответствие с «кодами пациентов ЛПУ».
3. Выписка рецептов для пациентов
Рецепты формируются в программах:
— ТМ-рецепт (Белгород) СУБД МБ Бя! 2000;
— М-Аптека + ЛПУ (Москва) СУБД СозЬе.
Для защиты персональных данных печать
рецептов из указанных выше программ должна выполнятся только в отдельном кабинете, сертифицированном по информационной безопасности.
На других рабочих местах установка программ по печати рецептов запрещена.
Для существующего объема печати в ЛПУ следует определить количество операторов, выполняющих печать рецептов в отдельном кабинете.
При наличии филиалов в ЛПУ организовать печать рецептов в филиалах в отдельных сертифицированных кабинетах или выполнять печать рецептов только в головном ЛПУ.
4. Работа со специализированными программами комплекса «Мединфо-город» и другими внешними программами для формирования отчетности
Для лечебно-профилактических учреждений (ЛПУ) в состав специализированных программ входят:
— Мединфо-травма
— Мединфо-прививки;
— Мединфо-родовые сертификаты;
— Мединфо-диабет.
Внешние программы:
— «Мониторинг смертности» (Областной МИАЦ);
— «Регистр сахарного диабета» (Москва);
— «Федеральный регистр детей-инвалидов» (Москва);
— «Диспансеризация детей 2007» (Москва);
— «Диспансеризация детей-сирот 2000» (Москва).
Для городских стоматологических поликлиник в состав специализированных программ входят:
— Мединфо-стоматология;
— Льготное зубопротезирование (Областной МИАЦ).
Для родильных домов в состав специализированных программ входят:
— Мединфо-родовые сертификаты.
Вся работа со специализированными программами должна выполняться только в отдельном кабинете, сертифицированном по информационной безопасности.
5. Связь между сертифицированным кабинетом и регистратурой
Для установки связи между сертифицированным кабинетом и регистратурой в ЛПУ должен быть организован механизм обмена данными с помощью внешних электронных носителей.
Требования к помещению
Приложение 3
1. Размещение, специальное оборудование, охрана и режим в помещениях, в которых производится работа с персональными
данными (далее — помещения), должны обеспечивать безопасность ПД и исключать возможность неконтролируемого доступа к ПД.
№1
ЗОЮ
Менедже1
2. Доступ лиц в эти помещения должен быть ограничен и обеспечиваться в соответствии со служебной необходимостью и приказом по учреждению.
3. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, оборудованные надежными замками.
4. На всех окнах помещения должны быть установлены жалюзи, шторы и др.
5. Входная дверь должна быть оборудована кодовым замком, код которого известен только сотрудникам, работающим в этом помещении.
6. По окончании рабочего дня ответственный сотрудник обязан закрыть помещение, сдать помещение под охрану с отметкой в журнале Прием помещений под охрану. При вскрытии помещений должна проверять-
ся целостность замков. В случае нарушения целостности замков ответственный сотрудник обязан немедленно сообщить об этом лицу, ответственному за обеспечение информационной безопасности в учреждении.
7. На дверях и оконных стеклах должны быть установлены датчики охранной сигнализации (при нахождении помещения вне крайних этажей допускается установка датчиков объемной сигнализации). В помещении должна быть установлена система пожарной сигнализации.
8. Для хранения носителей с содержанием ПД, тестовых ключей, нормативной и эксплуатационной документации помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Сейфы должны быть оборудованы приспособлением для их опечатывания либо специальным защитным замком для замочной скважины. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством учреждения.
Приложение 4
Отчет о подготовке к проведению технических мероприятий по защите персональных данных
Наименование кабинета Функционал Номер кабинета Количество рабочих мест
Статистическая отчетность Формирование статистической отчетности. Формирование кода пациента в ЛПУ 212 5
Выписка рецептов Выписка рецептов для пациентов
.ф. Выписка рецептов для пациентов
Филиал XX — выписка рецептов , м ™
г в филиале № XX по адресу
124
14
В таблице приведен образец заполнения информации.
1енеджер №1
