Во всяком случае, на сайте ведомства доступны следующие интересные документы:
- "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости" (.doc, 4.09 Мб)
http://www.minzdravsoc.ru/docs/mzsr/informatics/5/Metodicheskie_rekomendatcii.doc
- "Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости" (.doc, 4.61 Мб)
http://www.minzdravsoc.ru/docs/mzsr/informatics/5/Metodika_sostavleniya_CHMU_v_uchrezhdeniyah_Minzdravsotcrazvitiya.doc
- Приложения (.rar, 710 Кб)
http://www.minzdravsoc.ru/docs/mzsr/informatics/5/Prilozheniya.rar
- "Модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ)" (.pdf, 228 Кб)
http://www.minzdravsoc.ru/docs/mzsr/informatics/4/Modely_ugroz_MIS_LPU_2009.pdf
Источник: сайт InformationSecurity.ru
http://information-security.ru/forum.php?sub=4234&from=-1
Одни чиновники насочиняли требований, чтобы без помощи фирм, в бизнесе которых сами так или иначе принимают участие, нельзя было эти требования выполнить. Не важно, что для этого всю страну придется поставить ... в трудное положение. Другие, не имея ни средств, ни способностей выполнить драконовские требования (много ли найдется лечебных учреждений, способных получить лицензию ФСТЭК на ТЗКИ и сертифицировать свои информационные системы), идут на подлог (ну никак ИСПДн, содержащая сведения 1-й категории, не может быть отнесена к классу К3). В дураках традиционно остается народ.
ОтветитьУдалитьP.S. Думаю, пора заказать Церетели памятник скорбящего Виктора Степановича Черномырдина, два петровских размера, чтоб на постаменте было высечено "Хотели как лучше..." и поставить на Красной Площади...
Сначала нужно определитья, что такое состояние здровья. Косвенно определение сотсояния здоровья можно взять из ст. 31 Основ 5487-1 22.07.1993, но тогда очень много ИСПДн уйдет из специального класса, да и противоречит это Конвенции, так как там данные просто о зоровье (любые сведения о здоровье человека).
ОтветитьУдалитьТак что ввиду такой неразберихи любой класс является правомерным.
Анонимный>> Сначала нужно определитья, что такое состояние здровья
ОтветитьУдалитьДумаю, не в определениях дело – все более-менее понимают, что такое информация о здоровье.
Главная проблема здесь вполне традиционная: «заставь дурака богу молиться…». Первоначально перегнули палку в одну сторону – решили все специальные ПД защищать крепче гостайны. Затем в последние пять минут сообразили, что так, чего доброго, медицина встанет, и что такая защита стоит дорого и при этом часто не очень-то нужна.
Теперь, чтобы с деятельностью медучреждений не было проблем, перегибают в другую сторону: на основе анализа рисков говорят, что риски незначительны, и достаточно минимальной защиты.
Опираться на анализ рисков, на оценку возможного ущерба от раскрытия ПД – это IMHO правильно, только анализ этот должен быть честный, а не «под результат». Ясно ведь, что раскрытие данных о здоровье может сказаться на возможности получения страховки, кредита, работы; сделать людей объектом целевой рекламы определенных лекарств и услуг и т.д., и «незначительным» тут ущерб не будет.
Я уж не говорю о том, что в составе данных, имеющихся в лечебных учреждениях, присутствуют и многие «обычные» персональные данные…
У них в примере К3 - это "Регистратура". А в Регистратуре не должно быть данных о состоянии здоровья (по крайней мере у нас так).Приходит пациент, его ищут по базе застрахованных (там ФИО+полис)распечатывают Талон амбулаторного пациента добавляют туда адрес. Откуда там состояние здоровья...
ОтветитьУдалить