Выберите субъект РФ
Все субъекты РФ

Алтайский край
Амурская область
Архангельская область
Астраханская область
Байконур
Белгородская область
Брянская область
Владимирская область
Волгоградская область
Вологодская область
Воронежская область
Еврейская автономная область
Забайкальский край
Ивановская область
Иркутская область
Кабардино-Балкарская Республика
Калининградская область
Калужская область
Камчатский край
Карачаево-Черкесская Республика
Кемеровская область
Кировская область
Костромская область
Краснодарский край
Красноярский край
Курганская область
Курская область
Ленинградская область
Липецкая область
Магаданская область
Москва
Московская область
Мурманская область
Ненецкий автономный округ
Нижегородская область
Новгородская область
Новосибирская область
Омская область
Оренбургская область
Орловская область
Пензенская область
Пермский край
Приморский край
Псковская область
Республика Адыгея
Республика Алтай
Республика Башкортостан
Республика Бурятия
Республика Дагестан
Республика Ингушетия
Республика Калмыкия
Республика Карелия
Республика Коми
Республика Крым
Республика Марий Эл
Республика Мордовия
Республика Саха (Якутия)
Республика Северная Осетия - Алания
Республика Татарстан
Республика Тыва
Республика Хакасия
Ростовская область
Рязанская область
Самарская область
Санкт-Петербург
Саратовская область
Сахалинская область
Свердловская область
Севастополь
Смоленская область
Ставропольский край
Тамбовская область
Тверская область
Томская область
Тульская область
Тюменская область
Удмуртская Республика
Ульяновская область
Хабаровский край
Ханты-Мансийский автономный округ - Югра
Челябинская область
Чеченская Республика
Чувашская Республика
Чукотский автономный округ
Ямало-Ненецкий автономный округ
Ярославская область

Данная функция доступна только для зарегистрированных пользователей.


Если вы являетесь зарегистрированным пользователем, пожалуйста, авторизуйтесь.
Если нет – оформите доступ к любому каталогу нашей системы.

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости


3. Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений

Редакция на дату:

3. Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений

Для проведения классификации информационных систем Учреждений необходимо провести мероприятия по сбору и анализу исходных данных по информационной системе и обрабатываемых в ней ПДн, а также провести их инвентаризацию.

ПДн – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Применительно к информационным системам Минздравсоцразвития это могут быть следующие сведения:

– ФИО пациента;

– паспортные данные;

– год месяц, дата и место рождения;

– адрес;

– семейное, социальное, имущественное положение;

– образование;

– диагноз, сведения и заключения о состоянии здоровья;

– полис ОМС;

– оказанные медицинские услуги и другие.

Перечень персональных данных можно найти в Приложении «Перечень персональных данных, подлежащих защите».

При проведении обследования информационных систем учреждения по критериям наличия указанной информации руководством принимается решение об обработке в данной информационной системе персональных данных. Решение принимается на основании Отчета о результатах проведения внутренней проверки.

Для правильной классификации информационной системы учреждения важно правильно определить категорию обрабатываемых в информационной системе персональных данных – Хпд. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Хпд):

– категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

– категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

– категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

– категория 4 – обезличенные и / или общедоступные персональные данные.

К персональным данным позволяющим идентифицировать человека относятся такие данные, которые позволяют установить личность человека. Например, на основании только фамилии, имени и отчества нельзя точно установить личность, т.к. существуют полные однофамильцы. Но если в ИСПДн помимо ФИО обрабатываются также данные об адресе проживания, паспортные данные, биометрические данные (фотографическое изображение), данные о месте работы и т. д., то уже на основании их можно выделить конкретного человека.

Обезличенными данными в этом случае, являются данные, на основании которых нельзя идентифицировать субъекта персональных данных.

В категорию дополнительной информации входит любая другая информация, которую можно получить, обратившись к записи персональных данных: информация о доходах, должность, материальном положении и др.

Помимо данных категорий персональных данных, существуют также:

– специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных;

– биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

В ИСПДн Учреждений обрабатываются преимущественно специальные категории ПД – данные о состоянии здоровья субъектов.

В процессе классификации для снижения затрат на создание СЗПДн и оптимизации класса ИСПДн необходимо рассмотреть и по возможности использовать следующие инструменты:

1) Сегментация. Физическая или логическая сегментация ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в которых происходит автоматизированная обработка персональных данных. Данные работы можно провести с помощью соответствующей настройки существующих в учреждении сертифицированных межсетевых экранов (МСЭ).

2) Обезличивание. Введение в процесс обработки персональных данных процедуры обезличивания существенно упростит задачи по защите персональных данных. Обезличивание можно провести путем нормализации баз данных. После выполнения обезличивания защите будет подлежать (по требованиям регулирующих документов) лишь справочник, позволяющий выполнить обратное преобразование.

3) Разделение ПД на части. В этом случае возможно уменьшение количества субъектов ПДн, обрабатываемых в системе. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных.

4) Абстрагирование ПДн. Зачастую на некоторых участках обработки или сегментах сети персональные данные можно сделать менее точными, например, путем группирования общих характеристик. При грамотном использовании такой прием позволит без ущерба для основной деятельности снизить класс ИСПДн.

5) Постановка требований поставщикам и разработчикам типовых систем обработки персональных данных, используемых в учреждениях. Включение требований наличия в составе закупаемых информационных систем средств, обеспечивающих защиту персональных данных в соответствии с Законом, позволит снизить затраты на приобретение дополнительных средств защиты.

Для реализации этих методов необходимо обратиться к поставщикам и разработчикам вашей информационной системы и ее элементов. Особое внимание следует уделить специальному ПО и штатному ПО, дорабатываемому под ваши нужды штатными программистами-разработчиками или сторонними организациями. Правильно спроектированное программное обеспечение и базы данных могут существенно помочь в обеспечении безопасности персональных данных.

Справка
Регистрация нового пользователя
Логин (мин. 3 символа)
Пароль (мин. 6 символов)
Подтверждение пароля
Адрес e-mail
На указанный в форме e-mail придет запрос на подтверждение регистрации.
Телефон
У Вас появится персональный менеджер.
Кодовое слово

Если у Вас уже есть логин и пароль - авторизуйтесь

* Нажимая на кнопку «Регистрация», я даю согласие на обработку персональных данных