'

W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО.

Понравилась презентация – покажи это...





Слайд 0

Современные подходы к защите персональных данных в медицинских организациях Сабанов А.Г., ЗАО «Аладдин Р.Д.» Москва, 07.06.2012г.


Слайд 1

Что такое персональных данные Персональные данные(ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); с персональными данными связаны следующие понятия: оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники; распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 2


Слайд 2

Действия с персональными данными блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 3


Слайд 3

Пример простейшей МИС 4 Вспомогательные подразделения   ИТ Справочники


Слайд 4

Информация пациента. Виды тайн. 5 Личная тайна – охраняется основным законом Конституцией (ст.23,24). Врачебная (в Семейном кодексе – медицинская) тайна – Основы законодательства Российской Федерации об охране здоровья граждан (ст.61, 35). Персональные данные. С одной стороны, это – специфические требования №152-ФЗ, с другой стороны Закон дает только инструмент защиты прав и свобод человека и гражданина, в правовом отношении это – личная тайна, доверенная (т.е. переданная) врачу и охраняемая Основным законом РФ (Конституцией).


Слайд 5

Виды тайн, обрабатываемых в МИС 6


Слайд 6

Информация ограниченного доступа. Пациент 7


Слайд 7

Информация о сотруднике ЛПУ 8


Слайд 8

9 Соотношение требований по защите


Слайд 9

Задачи обеспечения безопасности Ограничить циркуляцию информации в открытом виде только точками шифрования и расшифрования; Использовать надежные решения по управлению ключами, соответствующие национальным стандартам; Использовать длины ключей и криптографические алгоритмы, соответствующие национальным стандартам; Защитить устройства, выполняющие криптографические операции, от физической и логической компрометации. 10


Слайд 10

Информация ?? Данные 11 Шифрование/электронная подпись Потребитель информации Хранилище данных Управление Ключами и шифрованием Администратор безопасности Управление данными Администратор СУБД


Слайд 11

Защита ПДн в МИС 12


Слайд 12

13 Облака: возможности и проблемы Всю информацию контролирует и хранит провайдер Сняты ограничения по размещению информации Экономия за счет масштаба Привлекательность для преступников и конкурентов Изменения в ИТ процессах Физическая безопасность обеспечивается провайдером Провайдер юридически независим Проблемы хранения персональных данных и иной важной информации Проблемы проведения расследования киберпреступлений


Слайд 13

Безопасность «облачных вычислений» 14 Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml


Слайд 14

Кто отвечает за безопасность «облака» 15 Источник: http://www.cnews.ru/reviews/free/security2011/articles/articles3.shtml


Слайд 15

Какие облака могут быть построены? 16 Федеральный уровень Региональный уровень Область Район ЛПУ


Слайд 16

Метод защиты ПДн в «Облаках» 17


Слайд 17

Выполнение требований регуляторов… Обезличивание всей необходимой информации Применение сертифицированных СЗИ Управление информационной безопасностью в контролируемой зоне 18 … и реальные результаты защиты Обезличенная информация неинтересна для киберпреступников и конкурентов на стороне хостера Расследование инцидентов НСД – полностью под контролем Обладателя ПДн Обработка персональных данных и иной важной информации – только под контролем Обладателя ПДн


Слайд 18

Крипто БД: сертифицированное СКЗИ 19


Слайд 19

Проблемы защиты персональных данных в организациях здравоохранения 20


Слайд 20

За последние 2 года изменилось/появилось 6 законов 149-ФЗ «Об информации, информационных технологиях и защите информации» - ред. 06.04.2011, 210-ФЗ «Об организации предоставления гос.услуг» - 27.07.2010, 99-ФЗ «О лицензировании…» - ред.04.05.2010, 152-ФЗ «О персональных данных» - ред.25.07.2011, 326-ФЗ «Об обязательном медицинском страховании»- 29.11.2010, 323-ФЗ «Об основах охраны здоровья…» - 21.11.2011г. Опубликовано несколько Постановлений Правительства (№ 313 от 16.04.2012г. Об утверждении Положения о лицензировании…, №79 от 03.02.12 О лицензировании…, №171 от 03.03.12 по разработке и пр-ву СЗ конф.инф) Изменились многие понятия (ст.18, 19, 84, 92,… 323-ФЗ «Об основах охраны здоровья…» 1. Нормативная база изменяется 21


Слайд 21

2. Методические материалы и некоторые вспомогательные материалы, подготовленные Минздравсоцразвития РФ за период 2009-2011гг, устаревают и требуют постоянного обновления. Ощущаются явные проблемы с организацией процесса защиты персональных данных в центре и в регионах. 3. Проблемы финансирования. Бюджеты в регионы выделяются, защищаются в Минздраве, а насколько эффективно они реально используются – очень большой вопрос. 4. Пока остаются неясными перспективы развития информатизации отрасли и построения систем защиты информации. 22 Проблемы


Слайд 22

5. Продолжается кадровый голод и неясности по использованию специалистов по защите информации в организациях здравоохранения. 6. Проблемы реальной, а не «бумажной», защищенности Пдн. Насколько реально защищаются ПДн пациентов и медицинского персонала? 7. Проблемы интеграции МИС и систем защиты. Интероперабельность, стандартизация 8. Один из нерешенных вопросов для пациентов. Как будет организован доступ к электронной медицинской карте? 9. Один из нерешенных вопросов для всех граждан. Самые развитые виды МИС - медицинские системы, разработанные для отчетности и управления. Пока на рынке нет МИС для удобства процесса лечения пациентов. 23 Проблемы (продолжение)


Слайд 23

Спасибо за внимание! 24 a.sabanov@aladdin-rd.ru


×

HTML:





Ссылка: