Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Защита персональных данных в медицинских учреждениях
Ребята подскажите какие особенности есть при обработке ПДн в медицинских учреждениях))
Специальные категории - состояние здоровья
Я просто не сталкивался ещё с защитой Пдн в мед учреждениях и хочется поподробней всё разузнать прежде чем общаться с заказчиком
Цитата
Юрий Филинов пишет:
Я просто не сталкивался ещё с защитой Пдн в мед учреждениях и хочется поподробней всё разузнать прежде чем общаться с заказчиком
Всё как обычно - кадры, бухгалтерия, МИС (одна или несколько).
Лучше узнавать у самого заказчика, какие у него системы.

здесь посмотрите, может что-то полезное найдете
http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=667
Изменено: Сергей - 24.04.2013 07:02:37
У нас что то вроде медицинского учреждения... :D , санаторий.
Я уже 2 года пытаюсь понять что и как тут по этим ПДн...пока что не очень. :D

Как вы думайте электрокардиограмму и снимок УЗИ включать в ПДн? И что это за ПДн будут? О состоянии здоровья или биометрические.

И как кто, отдельные документы содержащие ПДн на компьютерах хранит (не входящие в базы данных)?

Шифрованную папку специальную для них создавать что ли? Например тем же средством Windows зашифровать данную папку...прокатит такое при проверке, если винда не имеет лицензии ФСТЭК?
Цитата
Дмитрий пишет:
Как вы думайте электрокардиограмму и снимок УЗИ включать в ПДн? И что это за ПДн будут? О состоянии здоровья или биометрические.
Интересно, как Вы по электрокардиограмме или снимку УЗИ сможете идентифицировать человека??? :)
А шифровать сертифицированным ПО типа secret disk'a.
Secret disk...дороговато. :D У нас есть средство от НСД Аура (Сертифицированная) возможно, там есть данный функционал.

По ЭКГ и по УЗИ.... так в ИСПДн обрабатывающих эти ПДн...и все остальные данные об обладателе имеются (ФИО, место жительства, диагноз, проводимая операция, сопутствующие заболевания.)

Если бы они отдельно от этих данных хранились, тогда бы конечно нельзя было бы их соотнести с субъектом, а так это уже не обезличенные ПДн.
Так же не знаю как быть со старыми базами содержащими ПДн.....
Можно ли их скинуть на съемный носитель и сдать в архив организации....и защищать их уже согласно ПП 687?

Например: у нас есть программа Парус 7, я ее скидываю на флешку, (не шифрую, не паролирую), заношу данный носитель в журнал как содержащий ПДн, и отдаю на ответственное хранение бухгалтеру (которая хранит ее в сейфе), или сдаю в архив организации. После этого удаляю ее базы с компьютеров.

Соответственно в состав ИСПДн я уже данную программу с ее базами не включаю.
Цитата
Дмитрий пишет:
Так же не знаю как быть со старыми базами содержащими ПДн.....
Можно ли их скинуть на съемный носитель и сдать в архив организации....и защищать их уже согласно ПП 687?

Например: у нас есть программа Парус 7, я ее скидываю на флешку, (не шифрую, не паролирую), заношу данный носитель в журнал как содержащий ПДн, и отдаю на ответственное хранение бухгалтеру (которая хранит ее в сейфе), или сдаю в архив организации. После этого удаляю ее базы с компьютеров.

Соответственно в состав ИСПДн я уже данную программу с ее базами не включаю
Ну, а в чем тогда проблема, скопировать базу на учтенный носитель и отдать на хранение ответственному в сейф и все.
Цитата
Dmitriy пишет:
Ну, а в чем тогда проблема, скопировать базу на учтенный носитель и отдать на хранение ответственному в сейф и все.
Может там отдельные требования какие то к таким ПДн есть....может их шифровать надо и паролировать.
К тому же подпадают ли полные бекапы Баз данных содержащих ПДн и помещенные на съемные носители под ПП 687....как то сомнительно...я думаю этот указ только для ПДн хранящихся на бумаге.

Вот что меня и смущает. :D
Разработайте такую инструкцию
ИНСТРУКЦИЯ о порядке учета и хранения съемных носителей конфиденциальной информации
и в помощь вам Федеральный закон № 149-ФЗ от 27.07.2006 года «Об информации, информационных технологиях и о защите информации», ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»
Цитата
Дмитрий пишет:
Может там отдельные требования какие то к таким ПДн есть....может их шифровать надо и паролировать.
К тому же подпадают ли полные бекапы Баз данных содержащих ПДн и помещенные на съемные носители под ПП 687....как то сомнительно...я думаю этот указ только для ПДн хранящихся на бумаге.

Вот что меня и смущает. :D
Хех. пТак это все от нежелания относить простые файлы к ИСПДн. Ведь если обратиться к СОИСО и разделу требования по защите машинных носителей станет много проще.
Например можно сразу увидеть, что требования к шифрованию есть, но они рекомендательные.
Я копирую всю базу данных а не отдельные ее файлы, при желании, воткнув флешку в любой ПК, можно запустить эту базу данных и сделать все что угодно с ПДн которые хранятся в ней.

Есть у нас база 1С 7.7 такая, скидываешь ее на флешку вместе с дистрибутивом программы и можешь работать с ней на любом ПК.
Да не суть важно файлы, базы. Зачем 687 ПП, если требования к носителям в СОИСО.
Хитростей там нет: просто надо определить
- сколько, где, что за носители и что на них.
- кто имеет доступ к носителям.
- кто и как удаляет ПДн с них.
- по желанию там шифрование, пароли, сейфы.

Да и модель угроз никто не отменял.
Цитата
Владимирович пишет:
сколько, где, что за носители и что на них.
Мы завели "Журнал учета носителей информации ООО , содержащих ПДн".....это все там надо указывать?
Например поля "что находиться на данном носителе" там нет.
Или какой то акт надо делать куда будет вписано что хранится на данном носителе???
Цитата
Дмитрий пишет:
Мы завели "Журнал учета носителей информации ООО , содержащих ПДн".....это все там надо указывать?
Например поля "что находиться на данном носителе" там нет.
Или какой то акт надо делать куда будет вписано что хранится на данном носителе???
Тут логика простая, если мы учитываем носители - значит на них есть что-то ценное.
Это "что-то" должно быть определено. А вот дальше уже полет фантазии. "Журнал учета носителей информации ООО , содержащих ПДн" - почему же ничего нет, минимум есть - понятно, что носители содержат ПДн.

Спускаться ниже, детализировать стоит в том случае, если носители хранятся в разных местах, разные люди имеют доступ или им свойственны разные угрозы. Т.е. должна быть предпосылка к подобному разделению.

Но опять же если мы говорим о РКН - можно вообще обойтись и без журнала учета.
Носители содержащие ПДн у нас хранятся у разных пользователей и в разных местах, в инструкции прописано что их выдает сис.админ, регистрирует в журнале при выдаче, и в последующем они находятся у человека которому они выданы, а он должен хранить их в сейфе или в запираемом шкафу.

Что находиться на данном носителе мы нигде не регистрируем.
Нужно ли в данном случае регистрировать что за базы и ПДн находятся на данных носителях?
Совсем не давно узнал, что наша МСЧ (мед сан часть).
Самое приятное в том, что у них нет компьютерной техники (только в составе оборудования), все хранится на бумаге. Помещения закрываются и есть сигнализация. Вроде как все хорошо и городить лишнего не имеет смысла.
Вопрос все ли так радужно как я это представляю???
Да...вам повезло! Сделайте все что от вас требует ПП 687 и все....будет вам счастье.
Страницы: 1
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку