июля 05

Две важных ссылки по персональным данным

Персональные данные, Проверки регуляторов 32 Коммент. »

Если Вам понравился блог, вы можете подписаться на RSS ленту. Благодарю за визит!

Помимо долгожданного «Письма шестерых», сегодня наткнутся на очередное письмо ФСТЭК, адресованное Минздравсоцразвития. В нем обосновывается необходимость ОБЯЗАТЕЛЬНОГО получения лицензии на ТЗКИ, в случае если учреждения здравоохранения ведут мероприятия по технической защите персональных данных для СОБСТВЕННЫХ нужд.

Очевидно, что это мнение ФСТЭК распространяется не только на учреждения здравоохранения…

И вновь покой нам только снится…

Post to Twitter

8399 . 3120

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , ,

мая 13

Мошенничество с использованием сведений о состоянии здоровья

Персональные данные Добавить комментарий »

Очевидно, что утечка сведений о состоянии здоровья это очень серьезно. Однако реальных примеров мошенничества с использованием медицинских персональных данных немного, да и большинство из них носят бытовой оттенок. Например, соседка в сплетнях узнала группы крови членов семьи из 16-й квартиры. У мамы и папы – 1(00), а у ребенка 2(А). Понятно, что один из родителей таковым не является и…

Факты серьезного криминала из-за утечки сведений о состоянии здоровья встречаются редко. Но сегодня коллега прислал ссылку на историю, с описанной схемой мошенничества, которая, как мне кажется, сработает на многих.

Суть в следующем. Через несколько дней после сдачи анализа крови пациенту звонят и представляются сотрудником поликлиники, соединяют с участковым врачом, который сообщает пациенту, что у него лейкемия второй степени. После чего говорит, что сейчас переключит на онколога, который запишет на лечение, НО «Он будет вас посылать на Каширку. Ни в коем случае не соглашайтесь! На Каширке вас замучают химиотерапией и доведут до четвертой степени. Просите направить вас в ЦКБ! Только в ЦКБ! Там новейшая аппаратура. Там вас поставят на ноги». После этих слов пациента соединяют с онкологом, который естественно предлагает приехать на Каширку. Пациент начинает умолять отправить его в ЦКБ. И тут выясняется, что место в ЦКБ обойдется дорого. Человек соглашается на любые деньги, после чего «добрый» онколог радостно сообщает, что «в ЦКБ есть одно место. Правда, на него претендовали еще два человека, но одна пациентка сегодня скончалась, а вторая может немножко подождать, у нее не такой тяжелый случай». Стоит лечение в ЦКБ 400 тыс.руб. и деньги нужно передать социальному работнику срочно, а именно через час. Дальше дело понятное. У выхода из метро социальный работник дает несколько бумаг на подпись, забирает деньги и исчезает.

P.S. Что интересно, используется стандартный прием «передача клиента». Обратите внимание, разговор ведется в несколько этапов и каждый этап с новым человеком. Этот прием очень часто используется в продажах. Например, если сталкивались с оформлением бесплатных кредиток в магазинах или на улице. Они действуют именно так. Один с вами заводит разговор, и тут же «передает» вас другому человеку, который начинает свою беседу со слов: «Какую кредитную карту вы хотели?» Человек теряется и начинает выбирать, хотя никакую кредитку он еще 5 секунд назад не хотел.

Post to Twitter

9787 . 3887

Другие записи

Автор: Царев Евгений | Метки: , , , , , , ,

Янв 28

Методические рекомендации Минздрава по защите персональных данных

Инновации, Персональные данные 4 Коммент. »

персональные данные медицинаБолее вдумчиво прочитал Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Теперь для меня стала очевидной недооценка этих документов.

Все материалы есть на сайте Минздравсоцразвития в открытом доступе. Чтобы оценить качество и содержание, необходимо, конечно, потратить довольно много времени, но вот всеобъемлемость можно оценить беглым взглядом по содержанию. Предлагаю вниманию существенные разделы содержания документов.

Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости

1 Общие положения
2 Методология формирования модели угроз
3 Описание ИСПДн
3.1 Определение условий создания и использования персональных данных
3.2 Описание форм представления персональных данных
3.3 Описание структуры ИСПДн
3.4 Определение характеристик безопасности
4 Пользователи ИСПДн
5 Типы ИСПДн
5.1 Характеристики ИСПДн
5.2 Типизация ИСПДн
6 Уровень исходной защищенности
7 Вероятность реализации угроз безопасности
7.1 Классификация угроз безопасности
7.2 Классификация нарушителей
7.3 Классификация уязвимостей ИСПДн
7.4 Перечень возможных УБПДн
7.5 Определение вероятности реализации УБПДн
8 Реализуемость угроз
9 Оценка опасности угроз
10 Определение актуальности угроз в ИСПДн
Приложение 1 Обобщенная модель угроз для Автономной ИС I типа
Приложение 2 Обобщенная модель угроз для Автономной ИС II типа
Приложение 3 Обобщенная модель угроз для Автономной ИС III типа
Приложение 4 Обобщенная модель угроз для Автономной ИС IV типа
Приложение 5 Обобщенная модель угроз для Автономной ИС V типа
Приложение 6 Обобщенная модель угроз для Автономной ИС VI типа
Приложение 7 Обобщенная модель угроз для ЛИС I типа
Приложение 8 Обобщенная модель угроз для ЛИС II типа
Приложение 9 Обобщенная модель угроз для Распределенной ИС I типа
Приложение 10 Обобщенная модель угроз для Распределенной ИС II типа

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

1 Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн
2 Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 «О персональных данных»
3 Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений
4 Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя
5 Рекомендации по выполнению организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
5.1 Рекомендации по разработке Положения о защите персональных данных
5.2 Рекомендации по разработке Положения о подразделении по защите информации
5.3 Рекомендации по разработке Приказ о назначении ответственных лиц за обработку ПДн
5.4 Рекомендации по разработке Концепции информационной безопасности
5.5 Рекомендации по разработке Политики информационной безопасности
5.6 Рекомендации по разработке Перечня персональных данных, подлежащих защите
5.7 Рекомендации по разработке Приказа о проведении внутренней проверки
5.8 Рекомендации по разработке Отчета о результатах проведения внутренней проверки
5.9 Рекомендации по разработке Акта классификации информационной системы персональных данных
5.10 Рекомендации по разработке Положения о разграничении прав доступа к обрабатываемым персональным данным
5.11 Рекомендации по разработке Модели угроз безопасности персональных данных
5.12 Рекомендации по разработке Плана мероприятий по обеспечению защиты ПДн
5.13 Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
5.14 Рекомендации по разработке Плана внутренних проверок
5.15 Рекомендации по разработке Журнала по учету мероприятий по контролю состояния защиты ПДн
5.16 Рекомендации по разработке Журнала учета обращений субъектов ПДн о выполнении их законных прав 63
5.17 Рекомендации по разработке Инструкции администратора ИСПДн
5.18 Рекомендации по разработке Инструкции пользователя ИСПДн
5.19 Рекомендации по разработке Инструкции администратора безопасности ИСПДн
5.20 Рекомендации по разработке Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
5.21 Рекомендации по разработке Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
5.22 Рекомендации по разработке Технического задания на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения
5.23 Рекомендации по разработке Эскизного проекта на создание системы обеспечения безопасности информации объекта
5.24 Рекомендации по разработке Положения об Электронном журнале обращений пользователей информационной системы к ПДн
5.25 Рекомендации по разработке уведомления в территориальный орган Россвязькомнадзора
6 Рекомендации по выполнению технических мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
6.1 Обязательные технические мероприятия
6.2 Технические мероприятия, выполняемые, при выделении дополнительного финансирования
7 Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений
7.1 Рекомендации по применению программно- аппаратных средств для подсистемы управления доступом
7.2 Рекомендации по применению программно- аппаратных средств для подсистемы защиты от программно математических воздействий (ПМВ)
7.3 Рекомендации по применению программно- аппаратных средств для подсистемы регистрации и учета
7.4 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения целостности
7.5 Рекомендации по применению программно- аппаратных средств для подсистемы контроля отсутствия недекларированных возможностей (НДВ)
7.6 Рекомендации по применению программно- аппаратных средств для подсистемы антивирусной защиты
7.7 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения безопасного межсетевого взаимодействия ИСПДн
7.8 Рекомендации по применению программно- аппаратных средств для подсистемы анализа защищенности
7.9 Рекомендации по применению программно- аппаратных средств для подсистемы обнаружения вторжений
8 Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений

Ну и пакет с приложениями:

  • Положение о защите персональных данных в информационных системах персональных данных  (проект приказа)
  • Положение о подразделении по защите персональных данных в информационных системах персональных данных (проект приказа)
  • Приказ о назначении ответственных за обработку персональных данных в информационных системах персональных данных (проект приказа)
  • Концепция информационной безопасности информационных систем персональных данных
  • Политика информационной безопасности информационных систем персональных данных
  • Перечень персональных данных, подлежащих защите в информационных системах персональных данных
  • Приказ о проведении внутренней проверки информационных систем персональных данных  (проект приказа)
  • Отчет о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных
  • Акт классификации информационной системы персональных данных
  • Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных
  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
  • План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных
  • Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных
  • План внутренних проверок режима защиты персональных данных в ИСПД
  • Журнал по учету мероприятий по контролю обеспечения защиты персональных данных в ИСПД
  • Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД
  • Инструкция администратора ИСПД
  • Инструкция пользователя информационной системы персональных данных
  • Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
  • Инструкция администратора безопасности при использовании ресурсов объекта вычислительной техники
  • Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
  • Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
  • Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники
  • Типовой Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники
  • Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа)
  • Уведомление об обработке персональных данных
  • Рекомендации по заполнению Уведомления об обработке

Вывод

В заключение этого длинного поста, хочется напомнить, что цель методических документов ФСТЭК заключалась в разъяснении как нужно защищать персональные данные. На этом фоне Методические рекомендации Минздрава можно классифицировать как «разъяснения на разъяснения ФСТЭК». После прочтения этих документов должно стать понятнее, что же написано в документах ФСТЭК России.

Post to Twitter

22212 . 10561

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , ,

Окт 29

Нормативные акты по защите персональных данных в регионах

Персональные данные 3 Коммент. »

Персональные данные в регионахОдной из современных проблем в области защиты персональных данных является отсутствие регламентирующих документов на уровне Министерств и ведомств и ниже. Сложилась ситуация когда есть закон, Постановления правительства, а вот документов более низкого уровня не существовало. Постепенно ситуация меняется и начинают появляться некие зачатки отраслевых стандартов.

К этой теме Алексей Ефремов, доцент Центрального филиала Российской академии правосудия прислал несколько интересных ссылок на документы.

Например, вышел приказ Министерства образования и науки Республики Татарстан “О типовых документах по защите персональных данных в образовательных учреждениях Республики Татарстан“.

Стоит сказать, что в части защиты персональных данных Татарстан всегда был одним из лидеров. Вот и в этот раз в рамках приказа Министерства предлагаются шаблоны следующих документов для образовательных учреждений:

  • Типовое положение об обработке и защите персональных данных
  • Лист ознакомлений с Положением об обработке и защите персональных данных
  • Заявление-согласие субъекта на обработку его персональных данных
  • Заявление-согласие субъекта на обработку персональных данных подопечного
  • Отзыв согласия на обработку персональных данных
  • Заявление-согласие субъекта на получение его персональных данных у третьей стороны
  • Заявление-согласие субъекта на передачу его персональных данных третьей стороне
  • Соглашение о неразглашении персональных данных субъекта
  • Журнал учета передачи персональных данных
  • Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных
  • Типовой должностной регламент специалиста по обеспечению безопасности персональных данных
  • Типовой план мероприятий по защите персональных данных

Также появились разъясняющие документы в других регионах:

В Администрации Смоленской области разработали единое положение и шаблоны для всех органов исполнительной власти и подведомственных учреждений.

Калининградское министерство здравоохранения сделали приказ О порядке регистрации согласия граждан на обработку персональных данных.

Post to Twitter

26175 . 11822

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , , ,

Окт 14

День 7. Написание основных документов.

Персональные данные 25 Коммент. »

Документы по защите персональных данныхНе секрет, что проверки Роскомнадзора ориентируются, в основном, на проверку существующей документации касающейся обработки персональных данных.

Также проверяется организационная часть защиты персональных данных. Например, если на столе секретаря в страховой компании будут лежать на виду у всех посетителей заключение по факту обращения в медицинское учреждение застрахованного лица (сам такое встречал), то это явное нарушение статьи 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Если с явными нарушениями бороться достаточно просто, то с подготовкой необходимой документации иногда возникают сложности. Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает:

    • Модели угроз безопасности персональных данных для каждой ИСПДн;
    • Акты классификации ИСПДн; (можно взять здесь)
    • Положение о защите персональных данных;
    • Положение о назначении подразделения по защите персональных данных;
    • Должностные регламенты лиц, ответственных за защиту персональных данных;
    • Схема организации ИСПДн;
    • Копия договора об оказании услуг (если есть);
    • Копия трудового договора с сотрудниками;
    • Письменное согласие субъектов персональных данных;
    • Приказ с перечнем лиц, допущенных к обработке персональных данных;
    • Документы учета обращений граждан (субъектов персональных данных) о выполнении их законных прав;
    • Приказ о назначении лиц, ответственных за ведение и периодическую проверку содержания журнала обращений;
    • Приказ о ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска на территорию;
    • Копия уведомления об обработке персональных данных (если уведомление до проверки не будет подано, то это 100%-е нарушение статьи 19.7 КоАП РФ Непредставление сведений…).

      Вопрос минимальной достаточности остается открытым, т.к. иногда запрашиваемый пакет документов составляет 5-7 документов, а иногда несколько десятков. В открытом доступе также можно найти еще 2 списка документов:

      Рекомендую их просмотреть, на предмет актуальности конкретно для вас.

      Post to Twitter

      24541 . 10495

      Другие записи

      Автор: Царев Евгений | Метки: , , , , , , , , , , , , , , , , , , , , ,

      Назад