Учебно-методический комплекс (стр. 12 )

Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

В законе устанавливаются следующие принципы правового регулирования отношений, возникающих в сфере информации, информационных технологий и защиты информации:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

В зависимости от категории доступа можно выделить общедоступную информацию, а также информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по усмотрению при соблюдении установленных федеральными законами ограничений в отношении ее распространения. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

В то же время обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Ограничение доступа к информации осуществляется в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами, которые устанавливают условия отнесения информации к сведениям, составляющим государственную, коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Отдельным пунктом в законе вынесено положение о том, что порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных ( от 01.01.01 года «О персональных данных»).

В части 3 ст. 11 Закон определяет, что «Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе» (подтверждается ранее принятый Федеральный закон «Об электронной цифровой подписи» №1-ФЗ от 01.01.01 г.).

В статье 13 закона приводится деление всех информационных систем на:

1) государственные – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;

2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

3) иные информационные системы.

Большинство информационных систем, используемых в медицинских учреждениях, относятся к последнему классу. Порядок создания и эксплуатации таких информационных систем определяется их операторами, т. е. учреждениями здравоохранения, в соответствии с требованиями действующего законодательства и определяется характером накапливаемой и обрабатываемой в этих системах информации. При этом должно соблюдаться право пациента на «сохранение в тайне информации о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе и иных сведений, полученных при его обследовании и лечении» (часть 6 статьи 30 «Основ законодательства Российской Федерации об охране здоровья граждан»).

В статье об использовании информационно-телекоммуникационных сетей говорится, что передача информации по ним осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами.

Отдельная статья закона посвящена защите информации. Защита информации – это комплекс правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2.  Безопасность и конфиденциальность медицинской информации.

Безопасность информации связана с такими ее свойствами, как конфиденциальность, доступность, целостность.

Конфиденциальная информация – это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальная информация не подлежит передаче третьим лицам без согласия ее обладателя. Обладателем информации является лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать к ней доступ на основании закона или договора. Применительно к информации, содержащей врачебную тайну, ее обладателем является пациент или его законный представитель.

Доступность – степень возможности получения и использования информации (эти понятие было определено в Федеральном законе).

Под целостностью информации понимается их корректность и непротиворечивость. В информационной безопасности целостность данных означает сохранность данных в том виде, в каком они были созданы.

Действия, приводящие к незаконному овладению конфиденциальной информацией:

Разглашение – умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере.

Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она доверена по техническим каналам. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к заказчику.

Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа информации.

Потенциальные или реально возможные действия по отношению к информационной сфере, приводящие к несанкционированным изменениям свойств информации (конфиденциальность, доступность, целостность), называются угрозами информации.

Можно выделить следующие угрозы информации:

1. Ознакомление – нарушение конфиденциальности при отсутствии изменений самой информации.

2. Модификация – нарушение таких свойств как конфиденциальность, целостность, при этом происходит изменение состава и содержания сведений. Модификация информации не подразумевает ее полного уничтожения.

3. Уничтожение – действия, в результате которых невозможно восстановить целостность самой информации или в результате которых уничтожаются материальные носители информации. При уничтожении нарушается также свойство доступности информации.

4. Блокирование – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя.

Рис.1. Угрозы информации.

Источники информационных угроз могут быть как внутренними, так и внешними. Чаще всего такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты.

Информационные угрозы имеют векторный характер, т. е. всегда преследуют определенные цели и направлены на конкретные объекты.

К наиболее важным объектам обеспечения информационной безопасности в здравоохранении относятся:

− информационные ресурсы медицинских учреждений федерального уровня, научно-исследовательские учреждения и учебные заведения, содержащие специальные сведения и оперативные данные служебного характера;

– медицинские информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

– информационная инфраструктура ЛПУ (информационно-вычислительные сети, пункты управления, узлы и линии связи).

3.  Персональные медицинские данные.

Основные понятия, связанные с персональными данными:

Идентификатор пациента – уникальный символьный или цифровой код, применяемый для обозначения пациента и относящихся к нему данных в определенной учетной системе (системе учета).

Медицинские данные пациента – сведения о физиологических особенностях организма, перенесенных заболеваниях, состоянии здоровья и (или) оказанной пациенту медицинской помощи.

Персонифицированные данные – совокупность сведений, включающая персональные данные пациента, которые позволяют идентифицировать его личность.

Обезличивание данных (деперсонификация) – действия по удалению персональных данных пациента, в результате которого ни при каких условиях невозможно определить принадлежность медицинских данных конкретному физическому лицу и идентифицировать его личность. Обезличенные данные не являются конфиденциальными. Обезличивание данных используется в тех случаях, когда не требуется сопоставление медицинских данных с конкретным пациентом, например, для их статистической обработки, научных и учебных целей и т. д.

Анонимизация данных – использование для обозначения (пометки) медицинских данных (документов), относящихся к некоторому пациенту, его условного имени – криптонима (от греч. "kryptos" – тайный, скрытый и "onyma" – имя), раскрытие которого возможно только самим пациентом. Предполагается, что при использовании криптонима для идентификации пациента его персональные данные в учетной системе не хранятся. Ответственность за раскрытие своего криптонима несет только сам пациент. Анонимные данные не являются конфиденциальными, поэтому согласия пациента на их обработку не требуется. Анонимизация данных используется, в частности, в тех случаях, когда пациент сам организует сбор, накопление и передачу на хранение своих медицинских данных, например, на серверах в сети Интернет (проекты Google Helath и Microsoft HealthVault), а также при анонимном лечении.

Псевдонимизация данных – совокупность организационно-технических мероприятий, процедур и действий по присвоению пациенту специального псевдонима (от греч. "pseudo" – ложный и "onyma" – имя) для передачи, сбора, хранения и обработки его медицинских данных, исключающая возможность его несанкционированного сопоставления с конкретным физическим лицом и идентификацию его личности. Формирование псевдонима и его обратное сопоставление с персональными данными пациента осуществляется с помощью криптографических средств, использование которых жестко регламентировано. Псевдоним никогда не указывается на медицинских и иных документах, содержащих персональные данные пациента; не известен пациенту и поэтому не может быть им раскрыт или передан кому; может быть сопоставлен с персональными данными пациента (дешифрован) только с согласия пациента либо в иных случаях, предусмотренных законодательством; персональный перечень должностных лиц, которым в этих случаях стала известна информация о соответствии псевдонима конкретному пациенту (его персональным данным) строго определен и также известен. Псевдонимизированные данные не содержат персональных данных пациентов и в этом смысле уже не являются конфиденциальными, что позволяет осуществлять их обработку без согласия пациентов (это положение законодательно определено, например, в Великобритании). Псевдонимизация персонифицированных сведений целесообразна при организации "сводных" медицинских баз данных (БД), когда: а) круг пользователей БД достаточно широк (например, органы управления здравоохранением, надзорно-контрольные органы, страховые организации и фонды ОМС, научно-исследовательские учреждения и т. д.); б) случаи, когда в процессе обработки и анализа данных пациента может возникнуть необходимость идентификации его личности или непосредственного контакта с ним, например, должностных лиц надзорно-контрольных органов. Примерами подобных псевдонимизированных БД могут являться специализированные медицинские регистры: доноров, онкологический, диабетический и т. д., которые ведутся в Великобритании, Германии и Австралии.

Отличие псевдонимизации от простого шифрования персональных данных пациента заключаются в жесткой регламентации и централизации процедур использования средств шифрования\дешифрования при присвоении псевдонима и его сопоставлении с персональными данными пациента, что в целом и обеспечивает возможность:

– сбора и интеграции медицинских данных пациента, помеченных его "единым" псевдонимом из многих независимых источников (учреждений);

– получения "открытого" доступа широкого круга пользователей к сводным медицинским базам данных пациентов без какого-либо риска нарушения их конфиденциальности.

Принципиально важным является то, что пользователям псевдонимизированных медицинских БД какие-либо критографические средства для обработки псевдонимов не нужны. При этом значительно снижаются требования к средствам защиты таких баз данных и существенно сокращаются совокупные расходы на их создание и эксплуатацию.

Полицевые данные – совокупность данных, относящихся к некоторому физическому лицу (пациенту). В зависимости от наличия в их составе персональных данных и используемых идентификаторов пациентов, полицевые данные могут быть: а) персонифицированными, б) псевдонимизированными, в) анонимными и г) обезличенными.

Деперсонифицированные данные – анонимные данные, а также данные, полученные в результате псевдонимизации или обезличивания.

Принято разделять "полицевые" медицинские данные, их потоки и хранилища (базы данных) на две категории:

1. Первичные медицинские данные, которые формируются и используются медицинскими работниками непосредственно в процессе оказания медицинской помощи пациенту и ведения электронной медицинской карты в медицинском учреждении. Доступ к персонифицированным "первичным" данным строго ограничен и жестко регламентирован законодательством.

2. Вторичные данные – интегрированные, агрегированные полицевые медицинские данные, формируемые на основе "первичных" данных, поступающих из множества лечебных учреждений. Обычно, такие данные накапливаются в течение продолжительного времени в виде различных "сводных" БД, используемых органами управления для анализа, планирования, выполнения надзорно-контрольных функций, ведения "листов ожидания", а также экспертизы, оплаты (клиринга), эпидемиологических и иных научных исследований и т. д. Пользователи таких БД, как правило, непосредственно не оказывают медицинскую помощь пациентам. Формирование и ведение "сводных" БД в общем случае осуществляется вне медицинских учреждений в специальных центрах сбора и обработки данных. В последнее время наблюдается тенденция ведения "вторичных" баз данных в псевдонимизированном или обезличенном виде. Примерами таких сводных псевдонимизированных БД являются канцер-регистры в Великобритании, Германии и Австралии (см. выше).

Разделение медицинских данных на указанные категории прежде всего обусловлено требованиями законодательства по защите персональных данных. Кроме того, это позволяет существенно снизить риски нарушения конфиденциальности данных пациентов и значительно сократить совокупные расходы на администрирование и эксплуатацию всей системы в целом.

В соответствии с Указом Президента Российской Федерации от 6 марта 1997 г. № 000 «Об утверждении перечня сведений конфиденциального характера» к таковым, в частности относятся персональные данные (ПД). Персональные данные – это:

·  сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность

·  любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

4.  Обработка персональных данных.

Отношения, связанные с обработкой персональных данных регулируются Федеральным законом «О персональных данных» от 01.01.01 г. . Согласно ему «персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Именно эти данные накапливаются в информационных системах медицинских учреждений.

Под обработкой персональных данных подразумевают: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». В соответствии с частью 1 ст. 6 этого закона «обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, когда:

-  обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

-  обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

-  обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-  обработка персональных данных осуществляется в целях научной деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, – в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору_ДМС...) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией _название_ [и территориальным фондом ОМС] с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет (для стационара, пять лет – для поликлиники). Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной _ дата_ и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи. Контактный телефон(ы) _________ и почтовый адрес _________ Подпись субъекта персональных данных __________ " width="589" height="676"/>

Рис. 2. Образец письменного согласия пациента на обработку его персональных данных

В учреждении необходимо наладить учет и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов. Что касается организаций (операторов), осуществляющих обработку ПД, полученных от других операторов, например, территориальных фондов ОМС, то письменное согласие каждого застрахованного лица (субъекта ПД) может быть оформлено при выдаче им полиса ОМС. Таким образом, в системе ОМС каждое застрахованное лицо (или его законный представитель) должно оформить несколько письменных согласий – для каждого оператора.

Напомним, что в соответствии со статьей 61 "Основ законодательства Российской Федерации об охране здоровья граждан", предоставление (то есть передача строго определенному кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается только:

– в целях его обследования и лечения, в случае если он не способен из-за своего состояния выразить свою волю;

– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

– по запросу органов дознания, следствия и суда;

– при оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей;

– при наличии оснований, позволяющих полагать, что вред здоровью причинен в результате противоправных действий;

– в целях проведения военно-врачебной экспертизы.

При организации работы необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов. Во всех случаях, когда это возможно, особенно вне медицинских учреждений, целесообразно передавать и хранить медицинские данные в деперсонифицированном – псевдонимизированном или обезличенном виде (так называемые базы "вторичных" данных). Это позволит снизить потенциальные риски несанкционированного доступа и утечки данных, и в целом сократить совокупные расходы на обеспечение конфиденциальности и защиту персональной информации. Необходимо пересмотреть существующие сегодня полицевые формы отчетности и реестры, представляемые медицинскими учреждениями в страховые компании, фонды ОМС и другие организации, а также нормативно-методические документы, регламентирующие процедуры выполнения надзорно-контрольных функций, медико-экономического контроля и экспертизы качества медицинской помощи, исходя из требований закона "О персональных данных" и принципа разумной достаточности.

При оказании услуг медицинской помощи, предусмотренной программой государственных гарантий гражданам на бесплатную медицинскую помощь, оформление письменного согласия на обработку его ПД должно быть обязательным, за исключением случаев, предусмотренных законодательством РФ, когда такое согласие не обязательно. Кроме того, необходимо узаконить возможность не собирать и не хранить письменные согласия граждан для тех операторов, например, информационных центров (ИЦ), которые обрабатывают только ПД, полученные от других операторов. Достаточно, чтобы согласие для ИЦ было дано при оформлении согласия для оператора – источника "первичных" персонифицированных данных, – представляющего их в ИЦ. Целесообразно в явном виде внести эти условия в соответствующие правовые нормативные акты, законодательно установить четкие требования к организации хранения, обмена и доступа к медицинским данным в электронном виде, в том числе с учетом возможной псевдонимизации данных и их разделением на "первичные" и "вторичные", как это сделано в большинстве стран Европейского союза, США, Канаде, Австралии и других развитых странах.

5.  Организация защиты конфиденциальной информации

Конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах определяет «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства Российской Федерации № 000 от 01.01.01 г. Согласно этому документу информационная система персональных данных – это не только программное средство, работающее с персональными данными, а все компоненты информационной системы предприятия, в котором накапливаются и обрабатываются персональные данные.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей:

·  организационные меры;

·  средства защиты информации (в том числе шифровальные (криптографические) средства;

·  средства предотвращения несанкционированного доступа;

·  средства предотвращения утечки информации по техническим каналам;

·  средства предотвращения программно-технических воздействий на технические средства обработки персональных данных);

·  используемые в информационной системе информационные технологии.

Перечисленные выше меры и средства защиты персональных данных должны использоваться в комплексе и в рамках предприятия (оператора), работающего с персональными данными, должны формировать систему защиты персональных данных. Выпадение из этой системы любого образующего ее звена недопустимо, т. к. ведет к ее уязвимости и разрушению. Информационные системы, работающие с персональными данными, должны размещаться в специально оборудованных и охраняемых помещениях, исключающих возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц и обеспечивающих сохранность носителей персональных данных и средств защиты информации. Лица, доступ которых к персональным данным необходим для выполнения служебных обязанностей, допускаются к соответствующим персональным данным на основании утвержденного списка. Используемые технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. При обработке персональных данных в информационной системе должно быть обеспечено:

-  проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

-  своевременное обнаружение фактов несанкционированного доступа к персональным данным;

-  недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

-  возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-  постоянный контроль за обеспечением уровня защищенности персональных данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

-  определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

-  разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

-  проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

-  установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

-  обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

-  учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

-  учет лиц, допущенных к работе с персональными данными в информационной системе;

-  контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

-  разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

-  описание системы защиты персональных данных.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных – администратор информационной безопасности. Из списка мероприятий по обеспечению безопасности персональных данных ясно следует, что таким должностным лицом должен являться специалист, одинаково хорошо разбирающийся как в вопросах безопасности, так и в информационных технологиях.

Запросы пользователей информационной системы на получение персональных данных, включая официально допущенных лиц, а также факты предоставления персональных данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. Содержание этого журнала должно периодически проверяться администратором информационной безопасности. При обнаружении нарушений порядка предоставления персональных данных доступ пользователей информационной системы должен быть незамедлительно приостановлен до выявления причин нарушений и устранения этих причин.

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15