Golos Ptic (golosptic) wrote,
Golos Ptic
golosptic

Персональные данные против медицинской информатики-2

Подписанное Медведевым постановление правительства 1119 формулирует требования к медицинским учреждениям по ПД следующим образом:


5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
...

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

...

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;



...

3. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.



Если я правильно понял содержание постановления в этой его части, то оно звучит как "Поликлиники, переходите на opensource ОС - скинем на один требуемый уровень защищённости".

Ну, во всяком случае это - чуть более человечно, чем предыдущий вариант.
Если в развитие этого постановления окажутся недействующими требования по контролю утечек через ЭМИ, то я скажу, что, кажется, оне там как-то осознали, что требования контроля не должны парализовывать деятельность контролируемых информационных систем и организаций.
Subscribe

  • (no subject)

  • (no subject)

    Написал большой текст про специалистов по вакцинам. Стер. Не хочу быть специалистом по блоггерам.

  • Всеволоду Емелину посвящается

    Как хорошо, наслаждаясь свободой мысли, Хлебая баланду из миски Выражать солидарность Борцам за нашу и вашу свободу Вышедшим на улицы в Минске…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 20 comments

  • (no subject)

  • (no subject)

    Написал большой текст про специалистов по вакцинам. Стер. Не хочу быть специалистом по блоггерам.

  • Всеволоду Емелину посвящается

    Как хорошо, наслаждаясь свободой мысли, Хлебая баланду из миски Выражать солидарность Борцам за нашу и вашу свободу Вышедшим на улицы в Минске…