пятница, 15 января 2010 г.

Персональная информация о здоровье: А нужно ли её защищать?

14 января 2010 года на сайте InformationSecurity.ru пользователь Сергей сообщил о том, что «Минздравсоцразвития РФ согласовал типовую модель угроз с ФСТЭК, в соответствии с которой ИСПДн, обрабатывающие сведения о состоянии здоровья классифицируются по классу К3 специальная»  (т.е. требующие минимальных усилий по защите персональных данных).

Во всяком случае, на сайте ведомства  доступны следующие интересные документы:
В выводах в конце последнего документа сказано: «нарушение безопасности персональных данных, обрабатываемых в медицинской информационной системе, может привести к незначительным негативным последствиям для субъектов персональных данных». Вот так...

Источник: сайт InformationSecurity.ru
http://information-security.ru/forum.php?sub=4234&from=-1

4 комментария:

  1. Одни чиновники насочиняли требований, чтобы без помощи фирм, в бизнесе которых сами так или иначе принимают участие, нельзя было эти требования выполнить. Не важно, что для этого всю страну придется поставить ... в трудное положение. Другие, не имея ни средств, ни способностей выполнить драконовские требования (много ли найдется лечебных учреждений, способных получить лицензию ФСТЭК на ТЗКИ и сертифицировать свои информационные системы), идут на подлог (ну никак ИСПДн, содержащая сведения 1-й категории, не может быть отнесена к классу К3). В дураках традиционно остается народ.
    P.S. Думаю, пора заказать Церетели памятник скорбящего Виктора Степановича Черномырдина, два петровских размера, чтоб на постаменте было высечено "Хотели как лучше..." и поставить на Красной Площади...

    ОтветитьУдалить
  2. Сначала нужно определитья, что такое состояние здровья. Косвенно определение сотсояния здоровья можно взять из ст. 31 Основ 5487-1 22.07.1993, но тогда очень много ИСПДн уйдет из специального класса, да и противоречит это Конвенции, так как там данные просто о зоровье (любые сведения о здоровье человека).
    Так что ввиду такой неразберихи любой класс является правомерным.

    ОтветитьУдалить
  3. Анонимный>> Сначала нужно определитья, что такое состояние здровья

    Думаю, не в определениях дело – все более-менее понимают, что такое информация о здоровье.

    Главная проблема здесь вполне традиционная: «заставь дурака богу молиться…». Первоначально перегнули палку в одну сторону – решили все специальные ПД защищать крепче гостайны. Затем в последние пять минут сообразили, что так, чего доброго, медицина встанет, и что такая защита стоит дорого и при этом часто не очень-то нужна.

    Теперь, чтобы с деятельностью медучреждений не было проблем, перегибают в другую сторону: на основе анализа рисков говорят, что риски незначительны, и достаточно минимальной защиты.

    Опираться на анализ рисков, на оценку возможного ущерба от раскрытия ПД – это IMHO правильно, только анализ этот должен быть честный, а не «под результат». Ясно ведь, что раскрытие данных о здоровье может сказаться на возможности получения страховки, кредита, работы; сделать людей объектом целевой рекламы определенных лекарств и услуг и т.д., и «незначительным» тут ущерб не будет.

    Я уж не говорю о том, что в составе данных, имеющихся в лечебных учреждениях, присутствуют и многие «обычные» персональные данные…

    ОтветитьУдалить
  4. Анонимный3 июня 2010 г., 11:05

    У них в примере К3 - это "Регистратура". А в Регистратуре не должно быть данных о состоянии здоровья (по крайней мере у нас так).Приходит пациент, его ищут по базе застрахованных (там ФИО+полис)распечатывают Талон амбулаторного пациента добавляют туда адрес. Откуда там состояние здоровья...

    ОтветитьУдалить