Что такое пдн в медицине
Биометрические персональные данные
Осуществляя операции с ПДн, компании и предприниматели часто сталкиваются с необходимостью правильной обработки и защиты биометрических персональных данных. Это случается, прежде всего, из-за непонимания сути биометрии и незнания законодательных аспектов регулирования на международном уровне и в пределах РФ. По мере интеграции новых технологий сбора, хранения, распространения, уничтожения, изменения личной информации проблема становится все более серьезной и актуальной не только для больших фирм, но и для среднего и малого бизнеса. Чтобы минимизировать риск штрафных санкций от Роскомнадзора, ухудшения деловой репутации и судебных разбирательств, необходимо разобраться:
Что относится к биометрическим данным человека в соответствии с ФЗ-152?
Для того чтобы идентифицировать гражданина, можно использовать различные способы и источники информации. Что такое биометрические ПДн? Это совокупность сведений о человеке, которые касаются его физиологических и поведенческих отличий, и на основании которых возможно подтвердить личность, управлять и контролировать доступ (например, к банковской ячейке, помещениям с ограниченным входом и т.д.). Полный список представлен в Федеральном Законе № 152. Он включает:
Вопреки расхожему мнению видеоизображения и фотографии (в том числе те, которые присутствуют в паспорте, личном деле работника или служебном пропуске и т.п.) не являются биометрическими персональными данными, т.к. они не используются для установления личности, а только лишь подтверждают их принадлежность конкретному субъекту, чья личность уже определена.
Что касается УЗИ, КТ, МРТ, рентгеновских снимков, находящихся в медицинской карте субъекта, то они переходят в категорию биометрических только при использовании следственными органами в целях определения личности нарушителя, свидетеля, пострадавшего по административному, гражданскому или криминальному делу. Таким образом, выделение таких ПДн носит условный характер, а правила использования, хранения и совершения других операций напрямую зависят от целей оператора. Помимо идентификации биометрия выполняет функцию верификации. Уникальность данных позволяет с максимальной точностью установить, является ли человек именно тем, кем себя называет — даже у однояйцевых близнецов радужная оболочка глаз отличается, также как и дактилоскопические данные.
Что такое биометрические персональные данные в Интернете?
Закон не выделяет такие ПДн в отдельную группу, соответственно, в их отношении действуют все требования в плане обработки и защиты, что предусмотрены в ФЗ-152. При обнаружении факта несанкционированного использования субъект имеет полное право:
Важные нюансы обработки биометрических персональных данных
Основное условие легального проведения операций, связанных с идентификацией по ПДн работников, клиентов, бизнес-партнеров — наличие письменного разрешения владельца. Без него обрабатывать информацию запрещено. Впрочем, закон о защите персональных данных позволяет не получать на биометрию согласие в письменном виде, если:
Среди других исключений, касающихся обработки персональных данных, которые могут быть использованы в качестве биометрических, стоит отметить:
ФЗ-152 указывает на необходимость хранения и обработки ПДн в том объеме и в течение того количества времени, которое требуется для достижения поставленных целей. Особенного внимания заслуживает организация процессов, связанных с обработкой биометрических данных работников. Например, запрещено хранить на предприятии копию паспорта сотрудника, но в личном деле фотография должна присутствовать, поскольку не предназначена для идентификации человека, ведь личность уже подтверждена.
Какие российские и международные нормы защищают биометрические персональные данные?
Несмотря на активную работу в направлении обеспечения безопасности данной категории ПДн, далеко не все моменты проработаны как на федеральном, так и на международном уровне. Основополагающими регулирующими документами являются:
Правила защиты биометрических персональных данных прописаны также в стандартах ISO 17799 и ISO 15489.
Детальную информацию о законодательстве в области биометрических персональных данных, а также рекомендации относительно создания эффективной системы их защиты согласно установленным в РФ требованиям можно получить у консультантов нашего специализированного Центра. Эксперты помогут не только разобраться в юридических особенностях, но и своевременно внести изменения в процессы обработки ПДн.
Перинатальное поражение центральной нервной системы
За последние годы резко возросло число детей с недостатками внимания и памяти, повышенной отвлекаемостью и умственной утомляемостью, с дефектами речи. У многих из таких детей обнаруживаются нарушения социальной адаптации, нарушение письма и чтения, различные дисфункции желудочно-кишечного тракта, дефекты осанки. Об этом свидетельствует практика работы детских неврологов, воспитателей и педагогов дошкольных учреждений и начальных классов школ.
Когда надо обращаться к детскому неврологу, чтобы предотвратить подобные нарушения нервной системы у детей?
Существующая система диспансеризации детей в возрасте до одного года предусматривает осмотры детским неврологом через 3 месяца, что позволяет выявлять нарушение в развитии ребёнка и проводить соответствующие коррекционные мероприятия.
В дальнейшем большая ответственность ложится на родителей. Если Вы замечаете какие-либо отклонения в двигательном, психическом, речевом развитии у вашего ребёнка, не ждите, пока «всё пройдёт само по себе», обращайтесь к врачам нашего медицинского центра, специализирующихся на восстановлении адаптационных механизмах вашего ребёнка.
Когда родителям на приёме невролог говорит: «У Вашего ребёнка перинатальное поражение центральной нервной системы», сразу возникает вопрос: «С чем это связано и что грозит ребёнку в дальнейшей жизни? Что нам теперь делать?»
По своему происхождению и течению все поражения головного мозга перинатального периода условно можно разделить на:
Причины развития заболеваний
Необходимо обратить внимание на то, что в первом триместре внутриутробной жизни закладываются все основные элементы нервной системы будущего ребёнка, а формирование плацентарного барьера начинается лишь с третьего месяца беременности.
Эти повреждения плода на данной стадии его развития генерализованные, но в первую очередь страдает центральная нервная система. В последующем, когда плацента уже сформировалась и достаточно эффективен плацентарный барьер, воздействия неблагоприятных факторов уже не приводит к формированию пороков развития плода, но могут вызвать преждевременное рождение, функциональную незрелость ребёнка и внутриутробную гипотрофию.
Следует заметить, что первые шесть пунктов из восьми выше перечисленых причин заболевания относятся собственно к периоду зачатия и вынашивания беременности, где главную роль играет будущая мать.
Основные варианты последствий перинатального поражения центральной нервной системы
У детей с последствиями перинатального поражения головного мозга и оставленными родителями без внимания в более старшем возрасте часто отмечаются различные нарушения поведения, невротические проявления, синдром гиперактивности, нарушения вегетативно-висцеральных функций, астенический синдромом, частая школьная дезадаптация и т.д.
Необходимо заметить, что при своевременной диагностике в раннем детском возрасте имеющиеся нарушения нервной системы в подавляющем большинстве случаев могут быть практически полностью устранены коррекционными мероприятиями, а дети в дальнейшем жить полноценной жизнью.
С началом же занятий в школе процесс дезадаптации с проявлениями нарушений высших функций головного мозга, соматических и вегетативных симптомов, сопровождающих минимальную мозговую дисфункцию, нарастает лавинообразно.
Диагностика перинатальных поражений центральной нервной системы
Диагноз перинатального поражения головного мозга может быть поставлен только на основании клинических данных, данные различных методов исследования носят лишь вспомогательный характер и бывают необходимы не для постановки самого диагноза, а для уточнения характера и локализации поражения, оценки динамики заболевания и эффективности лечения.
Зачастую у одного ребёнка встречаются сразу несколько видов перинатального поражения центральной нервной системы. В связи с этим важно провести комплексное обследование ребёнка.
В последние годы произошло значительное улучшение диагностических возможностей детских медицинских учреждений. Появились дополнительные методы исследования в диагностике перинатальных поражений центральной нервной системы:
Следует отметить, что нет необходимости в применении сразу всех методов дополнительной диагностики. Конкретные методы исследований у Вашего ребёнка определит специалист нашего центра на основании данных неврологического статуса на момент осмотра.
Лечение последствий перинатального поражения центральной нервной системы
Поражения головного мозга в перинатальный период являются основной причиной инвалидизации и дезадаптации детей.
Лечение острого периода перинатальных поражений центральной нервной системы проводится в стационаре, под постоянным контролем врача.
В большинстве случаев, у одного ребёнка с последствиями перинатального поражения центральной нервной системы чаще всего отмечается сочетание нескольких синдромов заболевания, лечение должно быть комплексным под контролем врача-невролога, при участии психолога, остеопата, эндокринолога, мануального терапевта, логопеда, ортопеда, педагога-дефектолога.
Собрать воедино всех специалистов и диагностическо-лабораторные методы исследования непростая задача. А бегать с малышом по разным клиникам, неподъемная работа и для родителей и для ребёнка.
Поэтому в Отделении медицинской реабилитации для детей с нарушением функции центральной нервной системы медицинского центра «ЮгМедТранс» в городе Ростов-на-Дону имеются дневной стационар, где проводится диагностика и лечение детей с последствиями перинатального поражения центральной нервной системы с задержкой речевого, психического, двигательного развития, синдромом дефицита внимания, гиперактивности и др.
Для каждого ребёнка составляется индивидуальная программа обследования, медикаментозного, физиотерапевтического лечения, массажа, лечебной физкультуры, проводится консультация медицинского психолога, логопеда.
После окончания курса лечения в стационаре ребёнок и его родители получают рекомендации для продолжения лечения амбулаторно до следующего курса стационарного лечения. Таким образом, под контролем врача-невролога, остеопата и психолога проводится лечение и наблюдение за течением заболевания в динамике.
Родители должны помнить, что чем раньше начинается лечение детей с последствиями перинатального поражения центральной нервной системы, тем больше шансов у ребёнка жить полноценной жизнью.
Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся
Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.
Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.
Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?
1. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок выполнения организационных и технических мер по защите персональных данный и сведений обрабатываемых в информационных системах МО рекомендуется включить следующие документы:
— Приказ об организации работ по защите ПДн на предприятии (в том числе, при необходимости, об организации криптографической защиты информации).
— Приказ о назначении комиссии по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.
— Акты определения требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.-
— Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн.
— Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
— Приказ о назначении ответственного пользователя СКЗИ.
— Приказ об утверждении перечня лиц допущенных к работе с СКЗИ.
— Приказ о назначении ответственных за выявление инцидентов и реагирования на них.
— Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
— Приказ о назначении комиссии по уничтожению ключевых документов.
— Модель угроз безопасности информации.
— Положение по организации и проведению работ по обеспечению безопасности информации, включающее в том числе:
2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:
— Порядок оформления допуска (доступа) к обработке ПДн.
— Форма согласия на обработку персональных данных.
— Форма заявки на доступ к обработке ПДн.
— Форма обязательства служащего прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
— Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
— Форма акта об уничтожении ключевых документов.
— Перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации и сроки их хранения.
— Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (отдельно, либо в составе «Положение об организации режима обеспечения безопасности помещений»).
— Инструкции персоналу:
При этом стоит помнить, что согласно
Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)
… 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), примеч. например, врачи в нашем случае, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).
ТК РФ Статье 22. Основные права и обязанности работодателя
… Работодатель обязан:
… знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;
В итоге такая бумажная работа, а точнее её отсутствие частично или полностью, может привести к проблемам с Роскомнадзором. Одним из самых ярких случаев является плановая выездная проверка в отношении Департамента здравоохранения Ивановской области 1 декабря 2011 года. По окончании проверки выданы 14 предписаний. О том, что отсутствовало и было нарушено подробнее по ссылке 37.rkn.gov.ru/news/news31219.htm
Что нужно сделать в медицинских организациях (далее — МО) для обеспечения безопасности наших персональных данных?
Руководителям МО приказом по МО определить (назначить) должностное лицо, ответственное за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах МО.
Кто им будет? Точного ответа нет, но если в МО отсутствует служба информационной безопасности, ответственным, возможно, будет назначен системный администратор. Далее довольно сухой и сложночитаемый текст, но если назначили вас, наберитесь терпения.
Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, нужно определить:
– перечень и состав подлежащей защите информации ограниченного доступа, не составляющей государственную тайну, обрабатываемой в информационных системах МО, в том числе обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) на рабочих местах сотрудников МО;
– перечень информационных систем МО, в которых ведется обработка ПДн (далее – информационные системы персональных данных, ИСПДн);
– перечень государственных и/или муниципальных информационных систем МО, в которых ведется обработка иной информации (не персональные данные) ограниченного доступа, не составляющей государственную тайну – сведений конфиденциального характера (далее – государственные информационные системы, ГИС);
– границы контролируемых зон (в виде схем периметров охраняемых территорий и/или зданий и помещений) с описанием режимов (порядка и правил) доступа;
– данные о сетевой инфраструктуре МО (схемы связи, характеристики сетевого оборудования, параметры подключений к внешним сетям, в т.ч. общедоступным сетям провайдеров (операторов связи) и сети Интернет);
– состав программного обеспечения и программно-технических средств информационных систем МО, задействованных в обработке ПДн;
– перечень и типы актуальных угроз, потенциальных нарушителей безопасности ПДн, обрабатываемых в информационных системах МО, в соответствии с [1] и [2].
1. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, для повышения начального уровня защищенности объекта, определить (при необходимости) мероприятия по модернизации сетевой структуры и/или внесению изменений в технологии и порядок обработки и доступа к подлежащей защите информации, обрабатываемой в информационных системах МО.
2. Руководителям МО приказом по МО определить (назначить) комиссию по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО и по классификации государственных и муниципальных информационных систем. Мероприятия по определению требуемых уровней защищенности ПДн, обрабатываемых в информационных системах МО и классификации государственных и муниципальных информационных систем, в соответствии с [3] и [4].
3. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, определить базовый набор мер по обеспечению в информационных системах МО требуемых уровней защищенности, в соответствии с [4] и [5].
4. Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, разработать план мероприятий по реализации базовых мер по защите информации и проведению работ по созданию системы защиты ПДн (далее – план мероприятий), в соответствии с [4] и [5], включающий в т.ч. расчет-оценку затрат на реализацию мероприятий.
5. Сотрудникам, ответственным безопасности ПДн в МО, на основании плана мероприятий организовать подготовку технического задания на создание системы защиты ПДн МО.
6. До начала работ по созданию системы защиты информации организовать и провести следующие мероприятия:
— определить и утвердить приказом по МО перечень лиц, допущенных к обработке ПДн в МО;
— определить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
— определить правила рассмотрения запросов субъектов персональных данных или их представителей;
— определить правила работы с обезличенными данными;
— утвердить перечень должностей работников МО, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
— провести мероприятия по учету, хранению и организации эксплуатации средств криптографической защиты информации (СКЗИ). Прим. Данные мероприятия проводятся в МО, имеющих программные и/или программно–технические СКЗИ.
7. В целях достижения результатов, при выполнении работ первичных мероприятий по обеспечению безопасности ПДн при их обработке в информационных системах МО, допускается привлечение на договорной основе юридических лиц, имеющих соответствующие лицензии на осуществление деятельности по конкретным видам работ в соответствии с Федеральный законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».
1. Техническое задание на создание системы защиты ПДн (СЗ ПДн) должно содержать требования к следующим мероприятиям по созданию СЗ ПДн:
– формирование требований к СЗ ПДн, обрабатываемых в информационных системах ПДн;
– разработка (проектирование) СЗ ПДн;
– внедрение СЗ ПДн;
– оценка эффективности (аттестация) принимаемых мер по защите ПДн и ввод ее в действие;
– обеспечение защиты информации в ходе эксплуатации СЗ ПДн;
– обеспечение защиты информации при выводе из эксплуатации СЗ ПДн или после принятия решения об окончании обработки информации.
2. Рекомендации по формированию требований к СЗ ПДн.
2.1. Техническое задание на создание СЗ ПДн должно отображать необходимый состав требований, сформированный с учетом [6] и [7] и в том числе:
– определение требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО (далее — классификация информационной системы);
– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
– определение требований к СЗ ПДн.
3. Рекомендации по разработке (проектированию) СЗ ПДн.
3.1. При проектировании СЗ ПДн, должны быть выполнены следующие мероприятия:
– определены типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
– определены методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
– выбраны меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
– определены виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
– определена структура СЗ ПДн, включая состав (количество) и места размещения ее элементов;
– осуществлен выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности информационной системы;
– определены параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
– определены меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
3.2. Результаты проектирования СЗ ПДн должны отображаться в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на СЗ ПДн, разрабатываемой с учетом [8].
Проектная документация должна содержать в том числе:
– анализ процесса обработки информации в проектируемой системе;
– описания информационных потоков и сетевой структуры объекта;
– анализ информационных ресурсов, требующих защиты. Перечни защищаемой информации;
– модель угроз информационной безопасности;
– классификация проектируемой системы по требованиям безопасности информации
– перечень требований по информационной безопасности для объектов защиты проектируемой системы
– описание технических решений по реализации подсистем информационной безопасности (подсистему защиты от НСД, подсистему антивирусной защиты, подсистему криптографической защиты, подсистему межсетевого экранирования, подсистему анализа защищенности, подсистему резервного копирования, подсистему обнаружения вторжений);
– сводный перечень средств защиты информации
– комплекс организационных мероприятий, с указанием перечня необходимой организационно-распорядительной документации (ОРД);
– комплект шаблонов ОРД.
3.3. При проектировании СЗ ПДн должна быть разработана эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом [7], [8] и [9] и должна, в том числе, содержать описание:
– структуры системы защиты информации информационной системы;
– состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
– правил эксплуатации системы защиты информации информационной системы.
4. Рекомендации по внедрению СЗ ПДн.
4.1. Внедрение СЗ ПДн рекомендуется осуществлять в следующем порядке:
– установка и настройка средств защиты информации СЗ ПДн;
– разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации ходе ее эксплуатации СЗПДн (далее — ОРД);
– внедрение организационных мер защиты информации;
– проведение предварительных испытаний СЗ ПДн;
– проведение опытной эксплуатации СЗ ПДн;
– проведение анализа уязвимостей и принятие мер защиты информации по их устранению;
– проведение приемочных испытаний СЗ ПДн.
5. Рекомендации по проведению оценки соответствия (аттестации) ИСПДн и ввод ее в действие
5.1. Оценка соответствия (аттестация) ИСПДн должна проводиться в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии ИСПДн требованиям о защите информации и оценка соответствия (аттестат соответствия) в случае положительных результатов аттестационных испытаний.
Повторная оценка соответствия (аттестация) ИСПДн должна осуществляться в случае окончания срока действия аттестата соответствия или повышения уровня защищенности ПДн, обрабатываемых в информационных системах МО. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании СЗ ПДн, должны проводиться дополнительные испытания в рамках действующей оценки соответствия (аттестата соответствия).
5.2. Ввод в действие ИСПДн должен осуществляться в соответствии с [9] и законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом оценки соответствия (аттестата соответствия).
6. Рекомендации по обеспечению защиты информации в ходе эксплуатации ИСПДн.
6.1 Обеспечение защиты информации в ходе эксплуатации ИСПДн должно осуществляться оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе должно включать в себя:
– управление (администрирование) системой защиты информации информационной системы;
– выявление инцидентов и реагирование на них;
– управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
– контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
7. Рекомендации по обеспечению защиты информации при выводе из ИСПДн эксплуатации мы или после принятия решения об окончании обработки информации
7.1. Обеспечение защиты информации при выводе из эксплуатации ИСПДн или после принятия решения об окончании обработки информации должно осуществляется оператором в соответствии с эксплуатационной документацией на СЗ ПДн и организационно-распорядительными документами по защите информации и в том числе включать в себя:
– архивирование информации, содержащейся в информационной системе;
– уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
Немного технической части
На данный момент лечебно-профилактическими учреждениями (ЛПУ) используется Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). В каждом ЛПУ своя БД, она синхронизируется с общей БД, находящейся в ЦОД (МИАЦ). Все это происходит по защищенным с помощью ПАК ViPNet каналам. ПАК ViPNet были разосланы по всей РФ для организации подключения к этой системе.
Многие подробности можно найти на сайте portal.egisz.rosminzdrav.ru/materials
Подводя итоги «базовой информатизации», бывший директор ИТ-департамента министерства Роман Ивакин отмечал, что удалось обеспечить «достаточно высокий уровень развития инфраструктуры».
«Что касается подключения ЛПУ к интернету, то, по нашим данным, эта задача выполнена на 100% на уровне юридических лиц. Частично неохваченными остались, может быть, их локальные подразделения, например ФАПы (фельдшерско-акушерские пункты). Но не надо забывать о том, что таких объектов более 40 тыс., а работы по подключению фактически начались только в июне 2012 года. Для сравнения: на подключение 52 тыс. школ к сети ушло около 1,5 лет».