Основы кибербезопасности и защиты...

Основы кибербезопасности и защиты персональных данных

в здравоохранении

профессор, д.т.н. Столбов Андрей Павлович

зима-весна 2017 г.

www.hsha.ru

27.3.7.ОПД-О

Цель лекции

Дать общее представление об обеспечении кибербезопасности медицинской деятельности

Изучить правовые основы и принципы организации автоматизированной обработки и защиты персональных данных и врачебной тайны в медицинских учреждениях

Ознакомить с общими принципами "информационной гигиены" и правилами безопасного поведения в сети Интернет

2

"Сетевая революция"

Новая парадигма информационной безопасности -> кибербезопасность

ЗАЩИТА

От "вредоносной" информацииИнформации отнеправомерного доступа

("тайна")

Человека Техники

Проблема надежной аутентификации в сети -> eID, BiometricsID, Digital Signature

глобальные коммуникации

социальные сети !! распространение

контента и ПО по сети поиск контента в сети "Облачные" сервисы беспроводные сети Big Data etc

Dr. Google !? -> доверие к Интернет-сайтам – COM(2002) 667, eEurope 2002: Quality Criteria for Health related websites + Health On Net Foundation, www.hon.ch !!

DDoS-атаки !!

Право "быть

забытым" ?!

Удобство vs Безопасность ?!

3

От блокирования доступа к информации

для

"Интернет вещей"

Невозможность "приватности" ?!

Проблемы кибербезопасности (КБ) в здравоохранении

■ "Сетевая революция" -> широкое применение компьютеров и Интернет в медицинской практике, науке и образовании

"Цифровизация" медицинских технологий Digital Medical Device + Software as a Medical Device -> in silico

Рост количества атак на компьютерные системы, интенсивная разработка и применение новых способов кибервоздействия

315 тысяч новых вирусов в день в 2015 (Kaspersky_Lab, 2016)

100% ежегодный рост числа DDoS-атак в РФ (Qrator_Labs, 2016)

750% рост числа атак "шифровальщиками" за 2016 (Trend Micro)

DICOM-серверы в открытом доступе: США – 24%, РФ – 44%www.auntminnie.com, март 2016

США: 42 успешных атаки на медтехнику и ИС в 2015 (16% всех успешных атак в США), в 57% клиник есть специалисты по КБ

CERT-US, HITRUST, Ponemon Institute, май 2016

NIS Directive EU 2016/1148 -> CSIRT, тестирование ИС всех клиник

ГосСОПКА -> Национальный центр по компьютерным инцидентам (ФСБ России)

FinCERT – Центробанк России, www.cbr.ru (центр компетенции и мониторинга ИБ)

4

Конституция Российской Федерации, 12.12.1993 г. – ст. 23, 24неприкосновенность частной жизни, личная и семейная тайна

Конвенция Совета Европы от 28.01.1981 г. "О защите физических лиц при автоматизированной обработке персональных данных", протокол EST № 108 (ред. от 15.06.1999 г.)Ратифицирована законом № 160-ФЗ от 19.12.2005 г. Протокол EST № 181 от 08.11.2001 г. Россия не ратифицировала

О персональных данных, № 152-ФЗ от 27.07.2006 г.(в ред. закона № 261-ФЗ от 25.07.2011 г., ... от 21.07.2014 г.)

Об информации, информационных технологиях и о защите информации, № 149-ФЗ от 27.07.2006 г.

Об актах гражданского состояния, № 143-ФЗ от 15.11.1997 г.Гражданский кодекс РФ, № 51-ФЗ от 30.11.1994 г. (статьи 152.х)Трудовой кодекс РФ, № 197-ФЗ от 30.12.2001 г.

ст. 86-90 -> защита персональных данных работникаО связи, № 126-ФЗ от 07.07.2003 г.

ст. 63 – тайна связи, ст. 64 – розыскные мероприятияОб организации предоставления государственных и муниципальных

услуг, № 210-ФЗ от 27.07.2010 г.5

О праве граждан РФ на свободу передвижения, выбор места пребывания и жительства в пределах РФ, № 5242-1 от 25.06.1993 г.

О государственной геномной регистрации в РФ, № 242-ФЗ от 03.12.2008 г.

О физической культуре и спорте в РФ, № 329-ФЗ от 04.12.2007 г.Об образовании в РФ, № 273-ФЗ от 29.12.2012 г.Об основах охраны здоровья граждан в РФ, № 323-ФЗ от 21.11.2011 г.Об обязательном медицинском страховании в РФ,

№ 326-ФЗ от 29.11.2010 г.О психиатрической помощи и гарантиях прав граждан при её

оказании, № 3185-1 от 02.07.1992 г.О донорстве крови и ее компонентов, № 125-ФЗ от 20.07.2012 г.О предупреждении распространения в РФ заболевания, вызываемого

вирусом иммунодефицита человека, № 38-ФЗ от 30.03.1995 г.О предупреждении распространения туберкулеза в РФ,

№ 77-ФЗ от 18.06.2001 г.О трансплантации органов и(или) тканей человека,

№ 4180-1 от 22.12.1992 г.О коммерческой тайне, № 98-ФЗ от 29.07.2004 г.

<...>6

Указы Президента Российской ФедерацииОб утверждении перечня сведений конфиденциального характера,

№ 188 от 06.03.1997 г. (в ред. от 23.09.2005 г.)О мерах по обеспечению информационной безопасности РФ при

использовании информационно-телекоммуникационных сетей международного информационного обмена, № 351 от 17.03.2008 г.

О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, № 31с от 15.01.2013 г.

Стратегия национальной безопасности РФ, № 683 от 31.12.2015 г.

Доктрина информационной безопасности РФ, № 546 от 05.12.2016 г.

Уполномоченные органы (регуляторы) по защите информации Федеральная служба по техническому и экспортному контролю (ФСТЭК) -> техническая защита информации

Федеральная служба безопасности (ФСБ) -> использование шифровальных средств

Уполномоченный орган по защите прав субъектов персональных данных -> Роскомнадзор (www.rkn.gov.ru) [закон № 152-ФЗ, ст. 23]

7

Информация – сведения (сообщения, данные) независимо от формы их представления

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам

(пациент !!, врач, медицинская организация, аптека)

Доступ к информации – возможность получения информации и её использования

Распространение информации – действия, направленные на получение информации неопределенным кругом лиц ->публикация (в СМИ, в сети Интернет, "на заборе")

Предоставление (передача) информации – действия, направленные на получение информации определенным кругом лиц или её передачу определенному кругу лиц

Конфиденциальность – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не распространять и не передавать её третьим лицам без согласия её обладателя [закон № 149-ФЗ]

8

Общедоступная информация -> распространяется свободно= безвозмездно, без регистрации, без Ф.И.О. и т.д. !?

Информация ограниченного доступа -> предоставление, доступ ограничены в соответствии с федеральными законами

[закон № 149-ФЗ]Раскрытие информации – обеспечение доступа неограниченного

круга лиц к определенной информации (независимо от цели ее получения) в соответствии с процедурой, гарантирующей нахождение и получение указанной информации (сведений)

Стандарт раскрытия информации – перечень сведений, подлежащих обязательной публикации (раскрытию)

Разглашение информации ограниченного доступа – действия или бездействие, в результате которых документированные сведения, отнесенные к информации ограниченного доступа, стали известны в любой форме (устной, письменной или иной, в том числе с помощью технических средств) лицам, не имеющим прав на получение этих сведений -> доступ, ознакомление, перехват, кража, утечка

9

5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и(или) по решению суда.

7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе -> хранить тайну пожизненно !!!

8. Запрещается требовать от гражданина (физического лица)предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами.

[ст. 9 закона № 149-ФЗ]10

Об основах охраны здоровья граждан в Российской Федерации, № 323-ФЗ от 21 ноября 2011 г.

Статья 13. Соблюдение врачебной тайны (1)

1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека*), лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.

*) В случае смерти субъекта согласие на обработку его персональных данных дают его наследники, если оно не было дано им при жизни [часть 7 статьи 9 закона № 152-ФЗ] !?

11

Статья 13. Соблюдение врачебной тайны (2) [закон № 323-ФЗ]

3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.

4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений -> формы № 058/у, № 089/у= обязанность медорганизации (ч. 3 ст. 33 закона № 52-ФЗ) !!

12


4. Предоставление сведений ... без согласия ... допускается:

3) по запросу органов дознания и следствия, суда в связи с проведением

расследования или судебным разбирательством

По запросу адвоката:

• только о здоровье доверителя при наличии его письменного согласия (доверенности)

• о здоровье третьих лиц – только по запросу органа дознания, следствия, суда по ходатайству адвокатаАдвокат не имеет полномочий самостоятельно запрашивать сведения, относящиеся к третьим лицам !!

прокуратуры при осуществлении прокурорского надзора

уголовно-исполнительной системы при осуществлении контроля за поведением осужденного

Во всех указанных случаях администрация МО обязана соблюдать конфиденциальность сведений о полученных запросах и не сообщать пациенту о предоставлении информации о нем !!

13

О предоставлении сведений по запросам прокуратуры, касающихся персональных данных всех лиц, страдающих наркологическими заболеваниями, состоящих на учете у психиатра-нарколога и прочих сведений, составляющих врачебную тайну (письмо Главного внештатного психиатра-нарколога Минздрава РФ от 30.08.2013 г. № 306/13) -> возможно только в отношении конкретных лиц при наличии законных оснований в запросе прокуратуры !?

Отказ главврача ЦРБ предоставить перечень лиц, состоящих на диспансерном учете с диагнозом алкоголизм, наркомания и на психоневрологическом учете по запросу Прокуратуры для осуществления прокурорского надзора за исполнением законодательства в сфере безопасности дорожного движения, как касающийся неопределенного круга лиц, Верховным судом признан необоснованным и незаконным !!

(определение от 04.08.2014 г. по делу № 33-2626/14,www.base.consultant.ru/cons/cgi/online.cgi?req=doc;base=SOJ;n=962307)

14



3.1) в целях осуществления уполномоченными органами власти контроля за исполнением наркоманами обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия, медицинскую реабилитацию по решению суда

4) в случае оказания медпомощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя*) – в возрасте (см. часть 2 ст. 54)

до 15 лет (в "обычном" случае)

до 16 лет для лиц, признанных наркоманами

до 18 лет при оказании наркологической помощи или освидетельствовании в целях установления состояния наркотического либо иного токсикологического опьянения

*) Право на информированное добровольное согласие на медицинское вмешательство – с 15, 16 и 18 лет соответственно (ст. 20 закона № 323-ФЗ)

15



5) в целях информирования органов внутренних дел о поступлении пациента, если есть основания полагать, что вред его здоровью причинен в результате противоправных действий*) -> обязанность медорганизации (п.9 ч.1 ст.79) !!!

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба

*) Порядок информирования медицинскими организациями органов внутренних дел о поступлении пациентов, в отношении которых имеются достаточные основания полагать, что вред их здоровью причинен в результате противоправных действий, приказ Минздравсоцразвития России от 17.05.2012 г. № 565н

16


4. Предоставление сведений ... без согласия ... допускается:7) в целях расследования несчастного случая

на производстве и профессионального заболевания *)

с обучающимся во время пребывания в учебном заведении *) **)

с лицом, проходящим спортивную подготовку(ч. 6 ст. 34 закона № 329-ФЗ)

8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских ИС, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных (п. 4 ч. 1 ст. 79 – защита ПДн в МИС)

9) в целях осуществления учета и контроля в системе обязательного социального страхования (ФСС, ФОМС)

10) в целях осуществления контроля качества и безопасности медицинской деятельности (см. ст. 87-90)

*) Статьи 227-231 ТК РФ, постановление Минтруда РФ от 24.10.2002 г. № 73

**) Приказ Минобрнауки РФ от 01.06.2015 г. № 551 (на госрегистрации)

17

Статья 19. Право на медицинскую помощь [№ 323-ФЗ]

5. Пациент имеет право на:1) выбор врача и выбор медицинской организации ...

приказы Минздрава РФ от 26.04.2012 г. № 406н, № 407н, от 21.12.2012 г. № 1342н

общедоступность "профессиональных" данных о медицинских работниках: Ф.И.О., должность, уровень образования, квалификация -> публикация на сайте (ст. 21, 79) – приказ Минздрава РФ от 30.12.2014 г. № 956н

5) получение информации о своих правах, обязанностях и состоянии своего здоровья, выбор лиц, которым может быть передана информация о состоянии его здоровья

Порядок дачи информированного добровольного согласия на медицинское вмешательство и отказа от вмешательства – приказ Минздрава РФ от 20.12.2012 г. № 1177н

их согласие на обработку персданных медорганизацией !?

7) защиту сведений, составляющих врачебную тайну

18

Статья 22. Информация о состоянии здоровья [№ 323-ФЗ]

4. Пациент либо его законный представитель имеет право непосредственно знакомиться с медицинской документацией, отражающей состояние его здоровья ... и получать на основании такой документации консультации у других специалистов

5. Пациент либо его законный представитель имеет право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов.

Порядок ознакомления пациента либо его законного представителя с медицинской документацией, отражающей состояние здоровья пациента – приказ Минздрава России от 29.06.2016 г. № 425н

Порядок выдачи медицинскими организациями справок и медицинских заключений – приказ Минздрава России от 02.05.2012 г. № 441н

19

Правила предоставления медицинскими

организациями платных медицинских услуг (постановление Правительства РФ № 1006 от 04.10.2012 г.)

Платные медицинские услуги – медицинские услуги, предоставляемые на возмездной основе за счет личных средств граждан, средств юридических лиц и иных средств на основании договоров, в том числе договоров добровольного медицинского страхования (далее –договор).

25. Исполнителем после исполнения договора выдаются потребителю (законному представителю потребителя)медицинские документы (копии медицинских документов, выписки из медицинских документов), отражающие

состояние его здоровья после получения платных медицинских услуг.

20

Персональные данные (ПДн) – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность

[Указ Президента РФ № 188]

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных

[ №152-ФЗ ]

Персональные данные в медицинской организации пациентов (о состоянии здоровья – спец. категория)

представителей пациентов законные (родители, усыновители, опекуны,

поверенные – по доверенности, ст. 185 ГК РФ) иные лица, указанные пациентом, которым

могут быть переданы сведения о его здоровье

работников организации и членов их семьи лиц, работающих по договору подряда соискателей вакансий

21

в отделе кадров,

в бухгалтерии

в медицинских

документах

Обработка персональных данных – любое действие (операция)или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения перс. данных)

[закон № 152-ФЗ, ст. 3]

Можно ли временно прекратить (приостановить) хранение данных !?

Лучше "конкретно" перечислить действия, которые допускается осуществлять с [персональными] данными !!

22

Информационная система персональных данных (ИСПДн) –совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Оператор персональных данных – государственный, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Медицинская организация, аптека etc = ОПЕРАТОР !!Оператор несет ответственность перед субъектом персональных

данных за их сохранность и конфиденциальность !!Субъект имеет право на возмещение убытков и компенсацию

морального вреда (ст. 17) !![закон № 152-ФЗ]

23

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

[закон № 152-ФЗ]

Публичные персональные данные – подлежащие распространению без согласия субъекта на основании федерального закона (эта категория явно не выделена в № 152-ФЗ)

24

Статья 10. Специальные категории персональных данных (1)

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на их обработку -> документированное согласие

2) персональные данные сделаны субъектом общедоступными

2.3) обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством


25


Статья 10. Специальные категории персональных данных (2)

2. Обработка ... специальных категорий персданных допускается в случаях, если:

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством

26

Статья 11. Биометрические персональные данные [закон № 152-ФЗ]

Сведения, которые характеризуют физиологические и биологические

особенности человека, на основании которых можно установить его личность и

используются оператором для установления личности субъекта персональных данных

могут обрабатываться только при наличии согласия субъекта в письменной форме (кроме особых случаев, предусмотренных федеральными законами)

Rx-снимки, геномные данные (ДНК) и т.п. не относятся к биометрическим данным – они не используютсямедорганизацией для идентификации личности !!

При хранении и использовании фото, отпечатка пальца и т.д. для допуска пациента или работника в медицинскую организацию необходимо его письменное согласие !!

27

Статья 152.1. Охрана изображения гражданина [ГК РФ]

Обнародование и дальнейшее использование изображения гражданина (фотографии, видеозаписи, произведения искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии – с согласия родителей.

Согласие не требуется, если:1) использование изображения осуществляется в государственных,

общественных или иных публичных интересах;

2) изображение гражданина получено при съемке, которая проводится в местах свободного посещения или на публичных мероприятиях (собраниях, конференциях, представлениях, спортивных соревнованиях и т.д.), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату.

Оформить согласие работника, пациента на публикацию его фото на сайте, на стенде, в рекламных материалах и т.д. !!

28

Видеонаблюдение (запись) в помещениях и на рабочих местах (в кабинетах) разрешается без согласия пациентов !!! Приказ об организации видеонаблюдения, допуске

работников к видеозаписям, хранении и уничтожении записей (места, сроки, порядок и т.д.). Цель – обеспечение личной безопасности и контроль качества работы (п.1 ч.1 ст. 86 ТК РФ)

Предупреждение о ведении видеонаблюдения на рабочих местах в трудовом договоре -> согласие работника на видеонаблюдение + право на просмотр записей "о себе"

Объявления на видных местах о ведении видеонаблюдения /видеозаписи в кабинетах

Право пациента получить копию видеозаписи приема ?!Видеонаблюдение не во время приема и в комнатах отдыха

запрещено -> неприкосновенность частной жизни работника !!

При использовании видеозаписей для обучения работников, студентов и т.д. или в научных целях необходимо письменное согласие медработников и пациентов либо обезличивание записей (сокрытие лица)

29

Видеозапись приема по просьбе пациента на его устройство –

только с письменного согласия медработника (в нем надо указать цель видеозаписи и т.д. – ст. 6, 9 закона № 152-ФЗ)

видеосъемка не должна мешать медработнику выполнять свои обязанности

медработник имеет право запретить пациенту видеозапись

Хранение ксерокопий паспортов, военных билетов и других документов, содержащих фото пациентов и работников без их специального письменного согласия не допускается !!

[http://rusrim.blogspot.ru/2014/11/blog-post_29.html]

Работодатель имеет право контролировать трафик (переписку,

посещение сайтов) работника с его служебного компьютера или

при выходе в Интернет с личного устройства через служебную

сеть (WiFi), если это предусмотрено трудовым договором !!

[ст. 86 ТК РФ]

30

Статья 12. Трансграничная передача персональных данных

на территорию иностранного государства, органу власти, иностранному физическому или юридическому лицу – только с письменного согласия субъекта персональных данных телемедицинские консультации, передача медицинских и

иных документов для лечения за рубежом или иностранным клиникам на территории РФ

При сборе персданных, в том числе через Интернет, оператор обязан обеспечить их обработку с использованием баз данных,находящихся на территории РФ, за исключением "особых" случаев (... по международным договорам РФ, для исполнения правосудия, при оказании госуслуг)


Приказ Роскомнадзора от 15.03.2013 г. № 274 (ред. от 29.10.2014) "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных"

31

Правомочность обработки персональных данных (статьи 5, 6) согласие субъекта либо требование (норма) федерального закона

Цель обработки -> состав обрабатываемых данных (ст. 5)Согласие субъекта на распространение или предоставление и

обработку его персональных данных должно быть конкретным, информированным, сознательным и добровольным (ст. 9)

Согласие на обработку персональных данных: в письменной форме (в том числе в виде ЭД), если это

предусмотрено федеральными законами (ст. 9 – форма согласия)

в иной форме – в виде действия, совершаемого субъектом после ознакомления с условиями и порядком обработки персональных данных (например, через web-сайт) -> договор присоединения* (ст. 428 ГК РФ)

Срок хранения персональных данных = срок хранения медицинских, кадровых, бухгалтерских и иных документов


32

Согласие не требуется, если их обработка осуществляется:

при оказании медицинской помощи (п. 4 ч. 2 ст. 10) для выполнения договора в интересах субъекта (п.5 ч.1 ст.6) в иных случаях, предусмотренных федеральными законами

Согласие необходимо, если персональные данные субъекта:

а) передаются другому оператору и это не предусмотрено федеральным законом или условиями договора, для выполнения которого осуществляется обработка персданных

б) сведения передаются по открытым каналам связи, например, через сайт в сети Интернет или по e-Mail !!!

в) обработка осуществляется третьим лицом (аутсорсинг) (ст. 6)

г) обрабатываются биометрические данные (ст. 11)

д) обрабатывается, публикуется изображение (фото) гражданина

Согласие может быть отозвано субъектом (ст. 9) -> оператор имеет право продолжить обработку его персданных при наличии для этого оснований (ч. 2 ст. 9, пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10) !!

[закон № 152-ФЗ]33

Субъект персональных данных имеет право на получение от оператора информации:

о наименовании и месте нахождения оператора о подтверждении факта обработки его персданных оператором о правовых основаниях, целях, способах и сроках их обработки, в

том числе сроке хранения о лицах, имеющих доступ к его ПДн или которым они могут быть

раскрыты на основании договора с оператором или федерального закона (за исключением работников оператора)

о трансграничной передаче его персональных данных о лицах, осуществляющих обработку его данных по поручению

оператора (аутсорсерах обработки – см. ст. 6) о своих персональных данных и источниках их получения *)

Оператор вправе отказать субъекту в получении этих сведений, если обработка осуществляется в целях обеспечения охраны правопорядка, государственной или транспортной безопасности

[ст. 14 закона № 152-ФЗ]

*) Право субъекта на получение копии своих персональных данных !?

34

Сайт в сети Интернет – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети Интернет по доменным именам и(или) по сетевым адресам, позволяющим идентифицировать сайты в сети Интерне

Владелец сайта в сети Интернет – лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети Интернет, в том числе порядок размещения информации на сайте

Провайдер хостинга – лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети Интернет (провайдер хостинга сайта)

[закон "Об информации ..." № 149-ФЗ]

35

Cookies ("куки") – служебные данные, формируемые по запросам сервера Интернет-сайта, которые могут использоваться для опознания (идентификации)пользователя, отслеживания его поисковой активности в сети Интернет (формирования профиля его интересов), например, для рассылки контекстной, таргентной рекламной информации и т.д. Сохраняются на компьютере пользователя и передаются серверу сайта при его повторных посещениях.

"Облачные" технологии обработки данных (сервисы) – когда доступ пользователей к необходимым информационным и вычислительным ресурсам осуществляется с использованием телекоммуникационных сетей (по каналам связи), в том числе сети Интернет.

Web-браузер – компьютерная программа для доступа и работы с сайтами в сети Интернет, а также с локальными или "облачными" приложениями, реализованными на основе стандартов, используемых в Интернет.

36

Владелец Интернет-сайта обязан (закон № 152-ФЗ):

опубликовать на своем сайте документы, определяющие политику в отношении обработки персональных данных и реализации требований по их защите (ст. 18.1) !!

предупредить пользователя, что передача данных по открытым каналам связи на через сайт не гарантирует их конфиденциальность -> добровольный отказ от конфиденциальности !?

при необходимости предупредить пользователя о хостинге сайта третьим лицом и получить его согласие на аутсорсингобработки персональных данных (ст. 6) !!

Предоставление пользователем своих персональных данных после прочтения этих предупреждений = факт дачи согласия на их обработку (конклюдентные действия)

37

Нет приема

Нельзя писать: "болен", "отпуск", "командировка"

38

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту [закон № 152-ФЗ]

необратимое -> обратная персонификация невозможна !!

обратимое -> присвоение псевдонима по определенным правилам -> возможна обратная персонификация !!

Обезличенные данные уже не являются персональными данными -> другие требования к их защите и доступу ("нет тайны") !!

ГОСТ Р 55036-2012 / ISO/TS 25237:2008 Информатизация здоровья. Псевдонимизация (ISO 25237:2017)

Требования и методы по обезличиванию персональных данных, приказ Роскомнадзора № 996 от 05.09.2013 г.

Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 г. № 996, утверждены 13.12.2013 г.

39

Примененение технологий псевдонимизации– вторичное использование полицевых медицинских данных

ведение медицинских регистров ‒ нозологических, геномных (ДНК), генетических, потенциальных доноров органов и тканей, в психиатрии etc ("Декларация Монтре", сентябрь 2005 г.)

при проведении клинических исследований и испытаний -> ГОСТ Р ИСО 14155-2014 Клинические исследования

ГОСТ Р 56044-2014 Оценка медицинских технологий

база данных интегрированных электронных медицинских карт граждан (ИЭМК: интегральный анамнез жизни, эпикризы etc)

база данных выписных эпикризов Spine в Англии

Практика -> cоглашение: правила псевдонимизации и обратной персонификации медицинских документов• централизованные клинические лаборатории• телерадиология, дистанционная расшифровка ЭКГ etc• "второе мнение" по документам

etc40

Принципы использования псевдонимов в здравоохранении

псевдоним пациента не известен ни врачу, ни пациенту

псевдоним никогда не указывается вместе с ПДн, внешним илилокальным ID пациента (СНИЛС, № медкарты, № полиса ОМС)на экране или в медицинских документах

псевдоним должен (может) быть известен только специально уполномоченным сотрудникам – служба псевдонимизации и обратной персонификации

псевдоним может быть сопоставлен с ПДн пациента только с его согласия или в специальных случаях по жестко контролируемым процедурам, с соблюдением требований конфиденциальности -> обратная персонификация

Нельзя использовать в качестве псевдонимов СНИЛС, ИНН, № медкарты, № полиса ОМС, № паспорта etc !!!

Формирование псевдонимов с использованием технологий криптопреобразования -> уникальность, обратимость, защищенность от раскрытия

41

Оказание медицинской помощи на анонимно

(без идентификации личности пациента)Оператор обязан разъяснить субъекту (пациенту) юридические последствия отказа предоставить свои персональные данные, если это обязательно по закону (часть 2 ст. 18 закона № 152-ФЗ) !!!

анонимное лечение возможно только за плату (ст. 84 закона

№ 323-ФЗ), кроме обледования на ВИЧ (ст. 8 закона № 38-ФЗ)

процессуальная сложность аутентификации копий и выписок из медицинских документов, оформленных на анонима (запись об анонимности в медицинских документах и копиях, свидетели, их реквизиты, подписи на документах и т.д.)

невозможность предъявления претензий по поводу качества лечения и т.д., в том числе обращение в суд (ст. 19 – имя гражданина, ст. 168 – недействительность сделки, ГК РФ) !!!

Положение об анонимном лечении в наркологических учреждениях и подразделениях (приказ Минздрава РФ от 23.08.1999 г. № 327)

42

Требования к защите персональных данных при их обработке в информационных системах персональных данных (классы ИС ПДн, 4 уровня защищенности, общие требования к мерам защиты) (ПП-1119)

постановление Правительства РФ от 01.11.2012 г. № 1119 !!Требования к материальным носителям биометрических

персональных данных и технологиям хранения таких данных вне информационных систем персональных данных,

постановление Правительства РФ от 06.07.2008 г. № 512Положение об особенностях обработки персональных данных,

осуществляемой без использования средств автоматизации, постановление Правительства РФ от 15.09.2008 г. № 687

обособление в документах собственно персональных данных и иных сведений о субъекте -> их запись в специальных разделах или полях формы (бланка)

возможность ознакомления субъекта перс. данных только со своими данными (в документах группового учета)

недопустимость фиксации в одном документе персонифицированных данных, цели обработки которых несовместимы [изменить формы учетных документов !?]

43

Характеристики (требования) безопасности информации: конфиденциальность -> защита от несанкционированного

доступа (НСД) к информации (данным) целостность -> защита от несанкционированого удаления или

изменения данных доступность -> возможность получения доступа к данным "в

определенное время" -> надежность, живучесть ИС etcЗащита информации – комплекс правовых, организационных и

технических мер, направленных на предотвращение: потери, искажения и несанкционированного доступа к данным

и ресурсам информационной системы (ИС) неправомерного блокирования доступа пользователей к

информации, обрабатываемой в ИСИнформационнаяя безопасность (ИБ), кибербезопасность (КБ) –

защищенность от случайного или преднамеренного вредоносного воздействия на базы данных, информационные и технологические системы

44

Угрозы безопасности информации (данных) – совокупность условий и факторов, создающих опасность НСД, в том числе случайного, их копирования, распространения, изменения, удаления или блокирования доступа

Уровень (класс) защищенности информации – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности информации при её обработке в ИС

Утечка информации – неконтролируемое распространение защищаемой информации

Каналы утечки информации -> выявление, оценка актуальности: - линии связи, сети передачи данных, Интернет- беспроводные каналы WiFi, BlueTooth -> перехват- ноутбуки, смартфоны, планшеты -> утеря, кража- внешние носители данных -> утеря, кража- побочные электромагнитные излучения и наводки ?- аудио- и визуальный -> прослушивание, просмотр- человек, инсайдер = основной источник утечки !!

45

Технические каналы утечки и воздействия на информацию в ИС

Уничтожение, блокирование информации из-за стихийных бедствий

Перехват информации за счет побочных наводок на проводные линии охр. пож. сигнализации

Перехват информации из-за выхода из строя СЗИ

Перехват информации за счет побочных наводок на проводные линии электропитания и связи

Перехват информации за счет побочных наводок на

трубопроводы

Перехват информации за счет побочных эл. магн. излучений

Непреднамеренные действия и ошибки персонала

Преднамеренные действия недобросовестного сотрудника (инсайдера)

Перехват информации за счет побочных наводок на линии заземления

Сбои и поломки техники

Хищение носителей информации

Уничтожение, блокирование, искажение, съем информации за счет вирусных воздействий

Перехват, уничтожение, блокирование, искажение информации путем несанкционированного доступа

Мобильный телефон как канал утечки (даже выключенный) !!!

WiFi и Bluetooth как каналы утечки !!!

DoS-атаки !!!

Недокументированные возможности в ПО !?

Гаджет = канал утечки (BYOD) !!

Утеря и хищение МНИ

46

Защита информации и ИС (1) авторизация, контроль и учет действий с данными + контроль

доступа, копирования, печати, обмена данными по каналам связи -> регистрация событий в специальных электронных журналах ("черный ящик") -> просмотр + мониторинг

учётность + неотказуемость !! применение специальных устройств аутентификации

пользователей для доступа в ИС + многофакторная идентификация – смарт-карты, e-Token, биометрия etc

межсетевые экраны -> для выхода в Интернет, между сегментами ИC с разными уровнями "секретности" данных

защита от компьютерных вирусов !!

запрет выхода в Интернет с АРМ для обработки персональных, конфиденциальных данных -> нужна изолированная среда !!

запрет несанкционированной установки и обновления (update) программного обеспечения (ПО) -> "белые" списки ПО

запрет автоматического обновления ПО "из Интернет"

47

Защита информации и ИС (2) учет внешних носителей данных (маркировка, хранение, учет) резервное копирование данных (регламент, учет копий) раздельное хранение носителей с резервными копиями

контроль доступа в помещения, к компьютерам, охрана "периметра" (контролируемой зоны) etc

обучение персонала (инструктажи, допуск к работе и т.д.)

систематические проверки (аудит безопасности)

шифрование при хранении данных на внешних МНИ и передаче по каналам связи -> защищенный канал – VPN

• VPN (Virtual Private Network) – виртуальная защищенная сеть передачи данных, в том числе беспроводная (ViPNet etc)

• применение средств обнаружения вторжений в ИС

• Применение технологии LPS (Lightweight Portable Security) на основе LiveUSB для создания VPN-клиентов, защищенных АРМ, работы с электронными документами – http://spi.dod.mil

48

Комплексность и равнопрочность системы защиты информации

49

Самое "слабое звено" – это человек !!!

Несколько простых правил информационной безопасности

Предлагаемое Вам бесплатное программное обеспечение, скачанное из Интернета, может содержать вирусы со "шпионскими" или "шифрующими" функциями

Не используйте публичные почтовые сервисы (mail.ru, gmail.com, yandex.ru etc) для пересылки конфиденциальной информации

Не храните важную и конфиденциальную информацию (файлы)в публичных "облаках"

Не открывайте вложения к письмам от неизвестных, недоверенных отправителей

Социальные сети Facebook, "ВКонтакте", "Одноклассники" и др. – самые простые источники сбора информации о Вас

Никому и никогда не передавайте свои пароли. Не храните пароли "под ковриком", на "календаре", на стикере

Используйте буквенно-символьно-цифровые пароли длиной более 10 символов. Периодически меняйте пароли

50

Кодекс РФ об административных правонарушенияхст. 5.39 – неправомерный отказ, несвоевременное предоставление, либо

предоставление неполной или заведомо недостоверной информации гражданину, затрагивающих его права и свободы

ст. 13.11 – нарушение порядка сбора, хранения, использования или распространения информации о гражданах

ст. 13.12 – нарушение правил защиты информации

ст. 13.14 – разглашение информации с ограниченным доступом

ст. 19.7 – непредставление или несвоевременное представление сведений (информации) в государственный орган (должностному лицу)

Уголовный кодекс РФст. 137 – незаконный сбор или распространение сведений о частной жизни лица,

личной и семейной тайне

ст. 272 – неправомерный доступ к компьютерной информации

ст. 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

ст. 293 – халатность – неисполнение или ненадлежайшее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства

51

Судебная практика: избыточность запрашиваемых у субъекта персональных данных – несоответствие их состава (содержания) заявленным целям обработки, правовым актам и нормативным документам (ст. 5 закона № 152-ФЗ)

Информация когда-либо размещенная в сети Интернет, не может быть гарантированно уничтожена -> практическая невозможность реализации "права быть забытым"

"Честность" владельца Интернет-сайта при информировании пользователей о конфиденциальности персональных данных при использования открытых каналов связи !?

Возможность применения закона № 152-ФЗ для "недобросовестной конкуренции" (более трети проверок Роскомнадзором – по обращениям граждан) !!

Сокрытие случаев "неявных" успешных хакерских атак и случаев утечки персональных данных !!

Проблемы обеспечения кибербезопасности медицинской техники и её подключения к медицинским ИС и сети Интернет

52

Выводы Обработка персональных данных и защита

конфиденциальной информации в медорганизации – это комплекс специфических бизнес-процессов, которые должны быть формализованы, регламентированы, документированы, с четким определением процедур и операций с данными, ролей, прав, обязанностей и ответственности всех участников

Обеспечение кибербезопасности, выполнение требований к организации обработки и защиты персональных данных требует значительных ресурсов и затрат, и специальных знаний от сотрудников, в том числе привлечения профессионалов в области ИБ, а также использования специальных сертифицированных ФСТЭК и ФСБ программных и технических средств защиты ИС

Кибербезопасность во многом зависит от четкой организации работы пользователей и технического персонала ИС, знания, понимания и соблюдения ими основных принципов ИБ, их ответственности и самоконтроля

53

Разъяснения Роскомнадзора от 30.08.2013 г. по вопросам отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки [http://rkn.gov.ru/news/rsoc/news21529.htm]

Разъяснения Роскомнадзора от 14.12.2012 г. по вопросам обработки персональных данных работников, соискателей на замещение вакантных должностей [http://rkn.gov.ru/news/rsoc/news17877.htm]

Специалист по защите информации в автоматизированных системах(профстандарт, приказ Минтруда РФ от 15.09.2016 № 522н)

Менеджер здравоохранения, 2010 № 2, 2011 № 7

Врач и информационные технологии, 2010 № 1, 5, 6, 2011 № 1, 3, 4, 5, 6, 2012 № 1, 2013 № 3, 4, 5, 2014 № 3, 2016 № 6

Здравоохранение, 2014 № 3, 2015 № 3

Майер Е.О., Титовская Е.А. Оказание медицинской помощи на анонимной основе // Правовые вопросы в здравоохранении, 2013, № 6

www.fstec.ru – ФСТЭК

www.fsb.ru – ФСБ

54

Столбов Андрей Павлович

[email protected]

Благодарю за внимание!Вопросы?

MedSoft – 2017, Экспоцентр, 11-13 апреля 2017, www.armit.ru

Основы кибербезопасности и защиты...

Documents

Transcript of Основы кибербезопасности и защиты...