Организационно-распорядительные документы в области защиты информации

Практически ни одно медицинское учреждение — государственное, муниципальное или частное, не обходится в своей деятельности без использования компьютеров для обработки персональных данных сотрудников и пациентов.Это влечет за собой необходимость организации обработки и защиты персональных данных (ПДн) в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности персональных данных в информационных системах медицинских учреждений — это не только выполнение требований Федерального закона «О персональных данных» (№ 152_ФЗ), но и комплекс мероприятий по охране врачебной тайны, понятие которой устанавливается «Основами законодательства Российской Федерации об охране здоровья граждан» (№ 5487_1 от 22 июля 2009 г.).В большинстве лечебно профилактических учреждений информационные системы создавались без учета требований по защите персональных данных и врачебной тайны, поэтому перед такими учреждениями здравоохранения встает проблема создания соответствующей всем нормативным требованиям интегрированной системы защиты для уже существующих информационных систем, либо перехода к применению новых информационных систем персональных данных (ИСПДн) с реализованными функциями защиты.

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации.

Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:

· Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);

· “Основы законодательства Российской Федерации об охране здоровья граждан”,... закон РФ № 5487-1 от 22.07.2009 (далее — Основы); в ст. 61 дано определение врачебной тайны как “информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении”;

· федеральный закон “Об информации, информационных технологиях и защите информации” № 149-ФЗ от 27.07.2008, в котором даны определения таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение;

· федеральный закон “О персональных данных” № 152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;

· указ Президента РФ “Об утверждении перечня сведений конфиденциального характера” № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;

· указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”;

· постановление Правительства РФ № 781 от 17.11.2007 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”, в котором определены основные требования к указанным информационным системам (ИС);

· постановление Правительства РФ № 512 от 06.07.2008 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;

· постановление Правительства РФ № 687 от 15.09.2008 “Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;

· совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.

На основании требований регуляторов в лице Федеральной службы в сфере связи, информационных технологий и массовых телекоммуникаций (далее - Роскомнадзор), Федеральной службы безопасности (далее - ФСБ) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК) операторы персональных данных должны привести свои информационные системы персональных данных (далее - ИСПДн) в строгое соответствие с нормативно - правовыми актами Российской Федерации в области защиты персональных данных к 1 июля 2011 года.