SlideShare a Scribd company logo

пр Особенности обработки и защиты ПДн в медицине

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация с конференции "ИТ в медицине"

Technology
1 of 22
Download to read offline
Особенности обработки и защиты ПДн в медицине. Практика выполнения требований Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-08
solarsecurity.ru +7 (499) 755-07-70 ПДн или Врачебная тайна? Была идея четко разделить… 2 Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в РФ" Статья 13. Соблюдение врачебной тайны 1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. 2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи. ПДн сотрудников (152-ФЗ) Врачебная тайна пациентов (323-ФЗ)
solarsecurity.ru +7 (499) 755-07-70 3 Тема не взлетела и замерзла…
solarsecurity.ru +7 (499) 755-07-70 Явные особенности обработки и защиты ПДн в медицине 4 1. ПДн сотрудников и ПДн пациентов (врачебная тайна) 2. Специальные категории ПДн (письменное согласие не нужно) 3. Сложная обработка ПДн 4. Много 3х лиц (страховые компании, аутсорсинг и пр.) 5. Телемедицина и трансграничная передача ПДн (бывает) 6. Не только Приказ №21, но и №17 (ЕМИАС, ЕГИСЗ и пр.) 7. Много самописного ПО 8. ИБ (да и ИТ) обычно не в приоритете, ограниченные бюджеты 9. ИБ это не только К, но еще Ц и Д 10. ПДн на медицинском оборудовании
solarsecurity.ru +7 (499) 755-07-70 УЗ ПДн 5 ИСПДн-С специальные ИСПДн-Б биометрические ИСПДн-И иные ИСПДн-О общедоступные ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 3 3 4 4 АУ 2 типа (НДВ ПО) 2 2 3 3 АУ 1 типа (НДВ ОС) 1 1 1 2 ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 2 3 3 4 АУ 2 типа (НДВ ПО) 1 2 2 2 АУ 1 типа (НДВ ОС) 1 1 1 2
solarsecurity.ru +7 (499) 755-07-70 Методические рекомендации 2009 года (устарели) 6  Методические рекомендации по составлению Частной модели угроз безопасности ПДн при их обработке в ИСПДн учреждений здравоохранения, социальной сферы, труда и занятости  Методические рекомендации для организации защиты информации при обработке ПДн в учреждениях здравоохранения, социальной сферы, труда и занятости  Приложения (26 шаблонов) http://www.rosminzdrav.ru/documents/75 70-rekomendatsii-ot-24-dekabrya-2009-g
solarsecurity.ru +7 (499) 755-07-70 Методические рекомендации и Модель угроз обновлялись в 2013 году… 7 «Текст настоящего документа представляет собой редакцию Методических рекомендаций для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости проведенную подгруппой «Методология информационной безопасности в сфере здравоохранения» Экспертного совета Минздрава России по вопросам использования ИКТ в системе здравоохранения в период май-август 2013 года»
solarsecurity.ru +7 (499) 755-07-70 Обновление НПА 8 2013 2015 • Обновление 152-ФЗ (ст.18.1 и 19) • ПП 1119 (уровни защищенности) • ПП 211 (меры для гос.органов) • Приказ ФСТЭК России №21 • Приказ ФСТЭК России №17 • Разъяснения РКН про биометрические ПДн и обработку ПДн работников Отмена: • ПП 781 • Приказ ФСТЭК России №58 • 242-ФЗ • Методический документ. Меры защиты информации в ГосИС • База угроз и уязвимостей от ФСТЭК России • Проект МУ от ФСТЭК России • РКН про обезличивание • Приказ ФСБ России №378 • Методические рекомендации ФСБ России по разработке МУ ПДн Актуальный перечень НПА: http://80na20.blogspot.ru/p/blog-page_17.html
solarsecurity.ru +7 (499) 755-07-70 Общий перечень мероприятий 9
solarsecurity.ru +7 (499) 755-07-70 Перечень шаблонов документов 10
solarsecurity.ru +7 (499) 755-07-70 11 Тема не взлетела и замерзла…
solarsecurity.ru +7 (499) 755-07-70 На что обратить внимание (РКН) 12
solarsecurity.ru +7 (499) 755-07-70 Разъяснения по 242-ФЗ 13 http://www.minsvyaz.ru/ru/personaldata http://pd-info.ru
solarsecurity.ru +7 (499) 755-07-70 Отчет РКН за 2014 год 14  В 2014 году проведено 28 849 (в 2013 г. - 24 743) мероприятий государственного контроля (надзора), из них 69,6 % плановых  2 705 плановых проверок (в 2013 г. - 3 040)  6 928 внеплановых проверок (в 2013 г. - 6 814)  17 044 плановых мероприятия систематического наблюдения, в том числе в отношении неопределенного круга лиц в сфере ПДн (в 2013 г. - 13 242)  1 783 внеплановых мероприятия систематического наблюдения, в том числе в отношении неопределенного круга лиц в сфере ПДн (в 2013 г. - 1 197)  Кол-во операторов ПДн (под контролем) - 314 697  Кол-во обращений граждан - 20 132, из низ 2 296 запрос разъяснений, остальные - жалобы (обоснованы в 10%)  Кол-во предписаний об устранении нарушений - 684
solarsecurity.ru +7 (499) 755-07-70 РКН реагирует на информацию об утечках ПДн 15
solarsecurity.ru +7 (499) 755-07-70 Каналы утечки 16 JSOC
solarsecurity.ru +7 (499) 755-07-70 Типовые нарушения при обработке ПДн (мнение РКН) 17 1. Непринятие мер или несоблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ 2. Обработка ПДн без согласия субъекта ПДн либо несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям ФЗ 3. Нарушение требований конфиденциальности при обработке ПДн 4. Обработка ПДн субъекта по достижению цели обработки 5. Неуведомление уполномоченного органа об осуществлении деятельности по обработке ПДн
solarsecurity.ru +7 (499) 755-07-70 18 Штрафы по ПДн не увеличили…
solarsecurity.ru +7 (499) 755-07-70 Приказы 21, 17, 31 19 Общая таблица мер - bit.ly/1iHgGTc Имеет смысл ориентироваться на расширенный набор…
solarsecurity.ru +7 (499) 755-07-70 Меры защиты ПДн 20 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) II. Управление доступом субъектов доступа к объектам доступа (УПД) III. Ограничение программной среды (ОПС) IV. Защита машинных носителей персональных данных (ЗНИ) V. Регистрация событий безопасности (РСБ) VI. Антивирусная защита (АВЗ) VII. Обнаружение вторжений (СОВ) VIII. Контроль (анализ) защищенности персональных данных (АНЗ) IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности персональных данных (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
solarsecurity.ru +7 (499) 755-07-70 Простые рекомендации (медицина) 21 1. Минимум сбора ПДн 2. Строгий контроль доступа 3. Внимание на «бумажную безопасность», особенно на обработку ПДн 4. «Играйте» с МУ 5. Подумайте про DLP (контроль хранения и передачи ПДн) 6. А может аутсорсинг ИБ?  Мониторинг событий  Администрирование СЗИ  Анализ уязвимостей  Анализ кода приложений 7. Подумайте об обезличивании ПДн
Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Моя почта: a.prozorov@solarsecurity.ru

Recommended

пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 

Recommended

пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг SmallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (18)

требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EU
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 

Viewers also liked

Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхAleksey Lukatskiy
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked (8)

пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24Перечень документов (пдн в рф) 2014 07-24
Перечень документов (пдн в рф) 2014 07-24
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 

Similar to пр Особенности обработки и защиты ПДн в медицине

Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
V4 instructions
V4 instructionsV4 instructions
V4 instructionsVELESNTC
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Solar Security
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»InfoWatch
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийSolar Security
 

Similar to пр Особенности обработки и защиты ПДн в медицине (20)

Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
V4 instructions
V4 instructionsV4 instructions
V4 instructions
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 
DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнеса
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
DLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследованийDLP-системы как инструмент проведения расследований
DLP-системы как инструмент проведения расследований
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Особенности обработки и защиты ПДн в медицине

  • 1. Особенности обработки и защиты ПДн в медицине. Практика выполнения требований Прозоров Андрей, CISM Руководитель экспертного направления Компания Solar Security Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave 2015-08
  • 2. solarsecurity.ru +7 (499) 755-07-70 ПДн или Врачебная тайна? Была идея четко разделить… 2 Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в РФ" Статья 13. Соблюдение врачебной тайны 1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. 2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи. ПДн сотрудников (152-ФЗ) Врачебная тайна пациентов (323-ФЗ)
  • 3. solarsecurity.ru +7 (499) 755-07-70 3 Тема не взлетела и замерзла…
  • 4. solarsecurity.ru +7 (499) 755-07-70 Явные особенности обработки и защиты ПДн в медицине 4 1. ПДн сотрудников и ПДн пациентов (врачебная тайна) 2. Специальные категории ПДн (письменное согласие не нужно) 3. Сложная обработка ПДн 4. Много 3х лиц (страховые компании, аутсорсинг и пр.) 5. Телемедицина и трансграничная передача ПДн (бывает) 6. Не только Приказ №21, но и №17 (ЕМИАС, ЕГИСЗ и пр.) 7. Много самописного ПО 8. ИБ (да и ИТ) обычно не в приоритете, ограниченные бюджеты 9. ИБ это не только К, но еще Ц и Д 10. ПДн на медицинском оборудовании
  • 5. solarsecurity.ru +7 (499) 755-07-70 УЗ ПДн 5 ИСПДн-С специальные ИСПДн-Б биометрические ИСПДн-И иные ИСПДн-О общедоступные ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 3 3 4 4 АУ 2 типа (НДВ ПО) 2 2 3 3 АУ 1 типа (НДВ ОС) 1 1 1 2 ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 2 3 3 4 АУ 2 типа (НДВ ПО) 1 2 2 2 АУ 1 типа (НДВ ОС) 1 1 1 2
  • 6. solarsecurity.ru +7 (499) 755-07-70 Методические рекомендации 2009 года (устарели) 6  Методические рекомендации по составлению Частной модели угроз безопасности ПДн при их обработке в ИСПДн учреждений здравоохранения, социальной сферы, труда и занятости  Методические рекомендации для организации защиты информации при обработке ПДн в учреждениях здравоохранения, социальной сферы, труда и занятости  Приложения (26 шаблонов) http://www.rosminzdrav.ru/documents/75 70-rekomendatsii-ot-24-dekabrya-2009-g
  • 7. solarsecurity.ru +7 (499) 755-07-70 Методические рекомендации и Модель угроз обновлялись в 2013 году… 7 «Текст настоящего документа представляет собой редакцию Методических рекомендаций для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости проведенную подгруппой «Методология информационной безопасности в сфере здравоохранения» Экспертного совета Минздрава России по вопросам использования ИКТ в системе здравоохранения в период май-август 2013 года»
  • 8. solarsecurity.ru +7 (499) 755-07-70 Обновление НПА 8 2013 2015 • Обновление 152-ФЗ (ст.18.1 и 19) • ПП 1119 (уровни защищенности) • ПП 211 (меры для гос.органов) • Приказ ФСТЭК России №21 • Приказ ФСТЭК России №17 • Разъяснения РКН про биометрические ПДн и обработку ПДн работников Отмена: • ПП 781 • Приказ ФСТЭК России №58 • 242-ФЗ • Методический документ. Меры защиты информации в ГосИС • База угроз и уязвимостей от ФСТЭК России • Проект МУ от ФСТЭК России • РКН про обезличивание • Приказ ФСБ России №378 • Методические рекомендации ФСБ России по разработке МУ ПДн Актуальный перечень НПА: http://80na20.blogspot.ru/p/blog-page_17.html
  • 9. solarsecurity.ru +7 (499) 755-07-70 Общий перечень мероприятий 9
  • 10. solarsecurity.ru +7 (499) 755-07-70 Перечень шаблонов документов 10
  • 11. solarsecurity.ru +7 (499) 755-07-70 11 Тема не взлетела и замерзла…
  • 12. solarsecurity.ru +7 (499) 755-07-70 На что обратить внимание (РКН) 12
  • 13. solarsecurity.ru +7 (499) 755-07-70 Разъяснения по 242-ФЗ 13 http://www.minsvyaz.ru/ru/personaldata http://pd-info.ru
  • 14. solarsecurity.ru +7 (499) 755-07-70 Отчет РКН за 2014 год 14  В 2014 году проведено 28 849 (в 2013 г. - 24 743) мероприятий государственного контроля (надзора), из них 69,6 % плановых  2 705 плановых проверок (в 2013 г. - 3 040)  6 928 внеплановых проверок (в 2013 г. - 6 814)  17 044 плановых мероприятия систематического наблюдения, в том числе в отношении неопределенного круга лиц в сфере ПДн (в 2013 г. - 13 242)  1 783 внеплановых мероприятия систематического наблюдения, в том числе в отношении неопределенного круга лиц в сфере ПДн (в 2013 г. - 1 197)  Кол-во операторов ПДн (под контролем) - 314 697  Кол-во обращений граждан - 20 132, из низ 2 296 запрос разъяснений, остальные - жалобы (обоснованы в 10%)  Кол-во предписаний об устранении нарушений - 684
  • 15. solarsecurity.ru +7 (499) 755-07-70 РКН реагирует на информацию об утечках ПДн 15
  • 16. solarsecurity.ru +7 (499) 755-07-70 Каналы утечки 16 JSOC
  • 17. solarsecurity.ru +7 (499) 755-07-70 Типовые нарушения при обработке ПДн (мнение РКН) 17 1. Непринятие мер или несоблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ 2. Обработка ПДн без согласия субъекта ПДн либо несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям ФЗ 3. Нарушение требований конфиденциальности при обработке ПДн 4. Обработка ПДн субъекта по достижению цели обработки 5. Неуведомление уполномоченного органа об осуществлении деятельности по обработке ПДн
  • 18. solarsecurity.ru +7 (499) 755-07-70 18 Штрафы по ПДн не увеличили…
  • 19. solarsecurity.ru +7 (499) 755-07-70 Приказы 21, 17, 31 19 Общая таблица мер - bit.ly/1iHgGTc Имеет смысл ориентироваться на расширенный набор…
  • 20. solarsecurity.ru +7 (499) 755-07-70 Меры защиты ПДн 20 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) II. Управление доступом субъектов доступа к объектам доступа (УПД) III. Ограничение программной среды (ОПС) IV. Защита машинных носителей персональных данных (ЗНИ) V. Регистрация событий безопасности (РСБ) VI. Антивирусная защита (АВЗ) VII. Обнаружение вторжений (СОВ) VIII. Контроль (анализ) защищенности персональных данных (АНЗ) IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности персональных данных (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
  • 21. solarsecurity.ru +7 (499) 755-07-70 Простые рекомендации (медицина) 21 1. Минимум сбора ПДн 2. Строгий контроль доступа 3. Внимание на «бумажную безопасность», особенно на обработку ПДн 4. «Играйте» с МУ 5. Подумайте про DLP (контроль хранения и передачи ПДн) 6. А может аутсорсинг ИБ?  Мониторинг событий  Администрирование СЗИ  Анализ уязвимостей  Анализ кода приложений 7. Подумайте об обезличивании ПДн
  • 22. Спасибо за внимание! Прозоров Андрей, CISM Мой блог: 80na20.blogspot.com Мой твиттер: twitter.com/3dwave Моя почта: a.prozorov@solarsecurity.ru