Особенности обработки и защиты
ПДн в медицине.
Практика выполнения требований
Прозоров Андрей, CISM
Руководитель экспертного направления
Компания Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2015-08

solarsecurity.ru +7 (499) 755-07-70
ПДн или Врачебная тайна?
Была идея четко разделить…
2
Федеральный закон от 21.11.2011 N 323-ФЗ
"Об основах охраны здоровья граждан в РФ"
Статья 13. Соблюдение врачебной тайны
1. Сведения о факте обращения гражданина за
оказанием медицинской помощи, состоянии его
здоровья и диагнозе, иные сведения, полученные при
его медицинском обследовании и лечении, составляют
врачебную тайну.
2. Не допускается разглашение сведений, составляющих
врачебную тайну, в том числе после смерти человека,
лицами, которым они стали известны при обучении,
исполнении трудовых, должностных, служебных и иных
обязанностей, за исключением случаев, установленных
частями 3 и 4 настоящей статьи.
ПДн сотрудников
(152-ФЗ)
Врачебная тайна
пациентов
(323-ФЗ)

solarsecurity.ru +7 (499) 755-07-70 3
Тема не взлетела и
замерзла…

solarsecurity.ru +7 (499) 755-07-70
Явные особенности обработки и
защиты ПДн в медицине
4
1. ПДн сотрудников и ПДн пациентов (врачебная тайна)
2. Специальные категории ПДн (письменное согласие не нужно)
3. Сложная обработка ПДн
4. Много 3х лиц (страховые компании, аутсорсинг и пр.)
5. Телемедицина и трансграничная передача ПДн (бывает)
6. Не только Приказ №21, но и №17 (ЕМИАС, ЕГИСЗ и пр.)
7. Много самописного ПО
8. ИБ (да и ИТ) обычно не в приоритете, ограниченные бюджеты
9. ИБ это не только К, но еще Ц и Д
10. ПДн на медицинском оборудовании

solarsecurity.ru +7 (499) 755-07-70
УЗ ПДн
5
ИСПДн-С
специальные
ИСПДн-Б
биометрические
ИСПДн-И
иные
ИСПДн-О
общедоступные
ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа
(без НДВ)
3 3 4 4
АУ 2 типа
(НДВ ПО)
2 2 3 3
АУ 1 типа
(НДВ ОС)
1 1 1 2
ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа
(без НДВ)
2 3 3 4
АУ 2 типа
(НДВ ПО)
1 2 2 2
АУ 1 типа
(НДВ ОС)
1 1 1 2

solarsecurity.ru +7 (499) 755-07-70
Методические рекомендации 2009 года
(устарели)
6
 Методические рекомендации по
составлению Частной модели угроз
безопасности ПДн при их обработке
в ИСПДн учреждений
здравоохранения, социальной
сферы, труда и занятости
 Методические рекомендации для
организации защиты информации
при обработке ПДн в учреждениях
здравоохранения, социальной
сферы, труда и занятости
 Приложения (26 шаблонов)
http://www.rosminzdrav.ru/documents/75
70-rekomendatsii-ot-24-dekabrya-2009-g

solarsecurity.ru +7 (499) 755-07-70
Методические рекомендации и Модель
угроз обновлялись в 2013 году…
7
«Текст настоящего документа
представляет собой редакцию
Методических рекомендаций для
организации защиты информации при
обработке персональных данных в
учреждениях здравоохранения,
социальной сферы, труда и занятости
проведенную подгруппой «Методология
информационной безопасности в сфере
здравоохранения» Экспертного совета
Минздрава России по вопросам
использования ИКТ в системе
здравоохранения в период май-август
2013 года»

solarsecurity.ru +7 (499) 755-07-70
Обновление НПА
8
2013 2015
• Обновление 152-ФЗ (ст.18.1 и 19)
• ПП 1119 (уровни защищенности)
• ПП 211 (меры для гос.органов)
• Приказ ФСТЭК России №21
• Приказ ФСТЭК России №17
• Разъяснения РКН про
биометрические ПДн и обработку
ПДн работников
Отмена:
• ПП 781
• Приказ ФСТЭК России №58
• 242-ФЗ
• Методический документ. Меры
защиты информации в ГосИС
• База угроз и уязвимостей от ФСТЭК
России
• Проект МУ от ФСТЭК России
• РКН про обезличивание
• Приказ ФСБ России №378
• Методические рекомендации ФСБ
России по разработке МУ ПДн
Актуальный перечень НПА: http://80na20.blogspot.ru/p/blog-page_17.html

solarsecurity.ru +7 (499) 755-07-70
Общий перечень мероприятий
9

solarsecurity.ru +7 (499) 755-07-70
Перечень шаблонов документов
10

solarsecurity.ru +7 (499) 755-07-70 11
Тема не взлетела и
замерзла…

solarsecurity.ru +7 (499) 755-07-70
На что обратить внимание (РКН)
12

solarsecurity.ru +7 (499) 755-07-70
Разъяснения по 242-ФЗ
13
http://www.minsvyaz.ru/ru/personaldata http://pd-info.ru

solarsecurity.ru +7 (499) 755-07-70
Отчет РКН за 2014 год
14
 В 2014 году проведено 28 849 (в 2013 г. - 24 743) мероприятий
государственного контроля (надзора), из них 69,6 % плановых
 2 705 плановых проверок (в 2013 г. - 3 040)
 6 928 внеплановых проверок (в 2013 г. - 6 814)
 17 044 плановых мероприятия систематического наблюдения, в том
числе в отношении неопределенного круга лиц в сфере ПДн (в 2013 г.
- 13 242)
 1 783 внеплановых мероприятия систематического наблюдения, в том
числе в отношении неопределенного круга лиц в сфере ПДн (в 2013 г.
- 1 197)
 Кол-во операторов ПДн (под контролем) - 314 697
 Кол-во обращений граждан - 20 132, из низ 2 296 запрос
разъяснений, остальные - жалобы (обоснованы в 10%)
 Кол-во предписаний об устранении нарушений - 684

solarsecurity.ru +7 (499) 755-07-70
РКН реагирует на информацию
об утечках ПДн
15

solarsecurity.ru +7 (499) 755-07-70
Каналы утечки
16
JSOC

solarsecurity.ru +7 (499) 755-07-70
Типовые нарушения при обработке ПДн
(мнение РКН)
17
1. Непринятие мер или несоблюдение условий, обеспечивающих
сохранность ПДн и исключающих несанкционированный к ним
доступ
2. Обработка ПДн без согласия субъекта ПДн либо несоответствие
содержания письменного согласия субъекта на обработку его ПДн
требованиям ФЗ
3. Нарушение требований конфиденциальности при обработке ПДн
4. Обработка ПДн субъекта по достижению цели обработки
5. Неуведомление уполномоченного органа об
осуществлении деятельности по обработке ПДн

solarsecurity.ru +7 (499) 755-07-70 18
Штрафы по ПДн
не увеличили…

solarsecurity.ru +7 (499) 755-07-70
Приказы 21, 17, 31
19
Общая таблица мер -
bit.ly/1iHgGTc
Имеет смысл
ориентироваться на
расширенный набор…

solarsecurity.ru +7 (499) 755-07-70
Меры защиты ПДн
20
I. Идентификация и аутентификация
субъектов доступа и объектов
доступа (ИАФ)
II. Управление доступом субъектов
доступа к объектам доступа (УПД)
III. Ограничение программной среды
(ОПС)
IV. Защита машинных носителей
персональных данных (ЗНИ)
V. Регистрация событий
безопасности (РСБ)
VI. Антивирусная защита (АВЗ)
VII. Обнаружение вторжений (СОВ)
VIII. Контроль (анализ)
защищенности персональных данных
(АНЗ)
IX. Обеспечение целостности
информационной системы и
персональных данных (ОЦЛ)
X. Обеспечение доступности
персональных данных (ОДТ)
XI. Защита среды виртуализации
(ЗСВ)
XII. Защита технических средств
(ЗТС)
XIII. Защита информационной
системы, ее средств, систем связи и
передачи данных (3ИС)
XIV. Выявление инцидентов и
реагирование на них (ИНЦ)
XV. Управление конфигурацией
информационной системы и системы
защиты персональных данных (УКФ)

solarsecurity.ru +7 (499) 755-07-70
Простые рекомендации (медицина)
21
1. Минимум сбора ПДн
2. Строгий контроль доступа
3. Внимание на «бумажную безопасность», особенно на
обработку ПДн
4. «Играйте» с МУ
5. Подумайте про DLP (контроль хранения и передачи ПДн)
6. А может аутсорсинг ИБ?
 Мониторинг событий
 Администрирование СЗИ
 Анализ уязвимостей
 Анализ кода приложений
7. Подумайте об обезличивании ПДн

Спасибо за внимание!
Прозоров Андрей, CISM
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
Моя почта: a.prozorov@solarsecurity.ru