Персональные данные — под персональную защиту

16.10.2013

Как обеспечить соответствие требованиям российского законодательства в области защиты персональных данных в медицинской организации? Сегодня этот серьезный вопрос приобрел особую актуальность в связи с внесением в ФЗ-152 новых поправок и вступлением его в полную силу с января 2011 года.

Основными регуляторами вопросов защиты персональных данных (ПД) выступают: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор); Федеральная служба по техническому и экспортному контролю (ФСТЭК России); Федеральная служба безопасности (ФСБ России).

Российский аналитический центр «Securit Analytics» опубликовал данные утечки персональных данных за 2010 г., в которых медицина заняла первое место в рейтинге краж ПД (28,8%) в России. В сравнение промышленность заняла только 0,8%. Что еще раз подтверждает актуальность данной проблемы именно в медицинских учреждениях. Под утечкой информации в данном отчете понимаются инциденты, в результате которых доступ к конфиденциальным данным получили люди, изначально не имеющие на это прав. Виновниками инцидента могут быть сотрудники, подрядчики или никак не связанные с организацией злоумышленники, а каналом утечки могут служить USB-устройства, электронная почта, интернетпейджеры, публичные веб сервисы, ноутбуки или резервные копии данных. Что касается распределения утечек по типам организаций, то, как мы видим, показатели за 2010 год значительно изменились по сравнению с данными за 2009 год. Так, в 2010 году наблюдался рост доли инцидентов в медицинских организациях за счет снижения показателей других категорий.

Доля случаев в медицинских организациях выросла сразу на 11,4%, переместившись с третьего места по итогам 2009 года на первое. Государственные организации, лидировавшие по этому показателю годом ранее, теперь оказались на втором месте с долей в размере 19,6%. Снизились также доли образовательного и финансового секторов.

Тенденцию роста утечек информации в медицинской сфере можно объяснить тем, что личные данные клиентов медицинских организаций представляют немалый интерес для злоумышленников, тогда как охраняется такая информация, как правило, значительно хуже, чем данные финансовых и государственных компаний. Невыполнение требований по защите персональных данных грозит не только штрафами для юридических лиц и должностных лиц, но и потерей репутации, и приостановлением деятельности на срок до 90 суток

Следует обратить внимание, что утечка данных не всегда является результатом злого умысла. История хранит немало примеров, когда конфиденциальные данные утекали по нелепой случайности или банальной человеческой ошибке. Так, в марте 2005 года информация о 4,5 тыс. больных СПИДом пациентов медицинского учреждения в Палм-Бич, штат Флорида (США), и еще о 2 тыс. людей, тест на наличие ВИЧ у которых оказался положительным, была разослана не по тем адресам электронной почты. Как оказалось, сотрудник, обрабатывающий статистику в министерстве здравоохранения округа, настолько «заработался», что отправил конфиденциальные файлы нескольким сотням получателей, не имевших права доступа к подобной информации. В ноябре 2011 года представители организации «Sutter Health», которая объединяет несколько медицинских учреждений в США, заявили об утечке личных данных пациентов двух подразделений организации. В результате данного инцидента оказались скомпрометированными данные более 4,2 миллиона пациентов. Таким образом, при оценке актуальности внутренних угроз следует учитывать не только формальную кражу чувствительных документов, но и халатность сотрудников.

Некоторые действия по защите персональных данных может выполнять непосредственно само медицинское учреждение:

  • назначить и обучить ответственного;
  • выполнить часть обследования;
  • доработать внутреннюю документацию.

Работа по защите должна вестись комплексно, и большое значение имеет квалификация и опыт подрядчика. Программу по защите ПД можно разделить на несколько этапов.

  1. Предпроектная стадия – оценка обстановки и выбор оптимальной стратегии обеспечения безопасности персональных данных в медицинской организации:
    • сбор информации о процессах обработки персональных данных;
    • разработка вариантов защиты персональных данных и оценка этих вариантов с точки зрения рисков, которые несет организаци;
    • разработка модели угроз,технического задания и технического проекта под выбранный вариант защиты;
    • разработка организационно распорядительной документации регламентирующий процесс сбора, хранения и обработки персональных данных.
  2. Проектирование системы защиты ПД и внедрение:
    • поставка средств защиты согласно спецификации первого этапа;
    • внедрение и выдача актов установки средств защиты;
    • выдача пакета документов по итогам проведенной оценки уровня защищенности информационных систем заказчика.
  3. Модернизация документации и системы защиты в связи с изменениями процессов сбора и обработки персональных данных у медицинской организации или в связи с изменением законодательства.

Необходимо учитывать, что обеспечение защиты персональных данных — это многоуровневый процесс, затрагивающий оптимизацию бизнес-процессов компании, внедрение технических средств защиты информации, а также эффективное организационное управление информационной безопасностью.

График-утечек.png

— Основная задача — добиться сбалансированного подхода к защите персональных данных в клинике в каждом конкретном случае, — говорит Евгений Чанышев, генеральный директор московской компании «Инфозащита». — Где-то достаточно удалить избыточные данные, где-то ограничить количество пользователей, которые с ними работают. В некоторых случаях необходимо максимально использовать существующую систему защиты клиники, в других наилучшим решением будет возложить риски на третьих лиц.

В качестве примера руководитель специализированной организации привел крупную сетевую клинику, в которой были реализованы требования, относящиеся к специфике филиалов этой сети. В результате тщательного анализа были выявлены «слабые места» в системе хранения ПД пациентов. Конфиденциальность сведений могла быть нарушена в результате угрозы утечки информации по техническим каналам (утечка акустической (речевой) информации; утечка видовой информации; утечка информации по каналу «Побочные Электро-магнитные излучения и наводки»). Существовала также угроза несанкционированного доступа к ПД, обрабатываемым на автоматизированном рабочем месте.

Истории болезней, которые накапливались в клинике продолжительное время (согласно требованию Минздрава), требовали построения грамотно спроектированной системы защиты. Кроме того, клиника передает третьим лицам (государственным учреждениям, исследовательским институтам и лабораториям, юридическим организациям) большой объем информации о пациентах, и это потребовало серьезной проработки договорных взаимоотношений, требований к партнерам, получающим доступ и обрабатывающих персональные данные пациентов данной клиники. В рамках проекта была построена сбалансированная система защиты с учетом имеющихся средств защиты и требований по обеспечению безопасности, как самой информации, так и бизнес-процессов.