» » » Об организации работ по защите информации

Об организации работ по защите информации


Российская Федерация
Письмо ФФОМС от 10 января 2013 года № 49/90-И
Об организации работ по защите информации
Принято
Федеральным фондом обязательного медицинского страхования
  1. Федеральный фонд обязательного медицинского страхования (далее - Федеральный фонд) направляет рекомендации по применению "Положения о контроле за деятельностью страховых медицинских организаций и медицинских организаций в сфере обязательного медицинского страхования территориальными фондами обязательного медицинского страхования" (далее - Положение), утвержденного приказом Федерального фонда от 16.04.2012 N 73 (зарегистрирован в Минюсте России 26.04.2012 N 23953), в работе по обеспечению безопасности персональных данных застрахованных лиц и сведений об оказанной им медицинской помощи, обрабатываемых в системе обязательного медицинского страхования.
  2. Статьей 44 Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" определено, что в сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах, а также персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам, и что эти сведения относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
  3. Таким образом, субъекты и участники обязательного медицинского страхования обязаны обеспечить выполнение требований по защите вышеуказанной информации ограниченного доступа в соответствии с законодательством Российской Федерации и нормативными документами органов исполнительной власти, осуществляющих реализацию государственной политики в области обеспечения безопасности информации.
  4. Обращаем внимание на то, что в соответствии с частью 2 статьи 91 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" органы управления территориальных фондов обязательного медицинского страхования (далее - Территориальные фонды) являются операторами информационных систем в сфере здравоохранения в части, касающейся персонифицированного учета в системе обязательного медицинского страхования (операторами информационных систем персональных данных).
  5. Как операторы информационных систем персональных данных в системе обязательного медицинского страхования органы управления Территориальных фондов в соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 "О персональных данных" (далее - Закон N 152-ФЗ) обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  6. Пунктом 16.6 Положения на Территориальные фонды возложена обязанность по проверке осуществления страховыми медицинскими организациями (далее - СМО) сбора и обработки данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, обеспечение их сохранности и конфиденциальности.
  7. В ходе проведения вышеуказанной проверки Территориальным фондам следует:
  8. 1. Руководствоваться требованиями законодательства Российской Федерации, в частности, статьей 19 Закона N 152-ФЗ. Пунктом 2 указанной статьи определено, что обеспечение безопасности персональных данных достигается:
  9. 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  10. 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  11. 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  12. 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  13. 5) учетом машинных носителей персональных данных;
  14. 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  15. 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  16. 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  17. 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
  18. 2. Требованиями нормативно-методических документов уполномоченных федеральных органов исполнительной власти по защите информации.
  19. Выявленные в деятельности СМО нарушения и недостатки установленных требований по сбору и обработке данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, а также по обеспечению их сохранности и конфиденциальности, следует в соответствии с пунктом 23.3. Положения указать в акте проверки со сроками их устранения или сроками представления плана мероприятий по их устранению.
  20. В последующем согласно пункту 29 Положения Территориальный фонд осуществляет контроль за представлением и исполнением плана мероприятий по устранению выявленных нарушений и недостатков (в случае установления срока устранения нарушений и недостатков - контроль за устранением выявленных нарушений и недостатков в установленный срок). Одновременно пунктами 4, 5 Положения Территориальным фондам предписывается возможность проведения, внеплановых проверок в связи с истечением срока исполнения СМО требований Территориального фонда об устранении нарушений и недостатков, а также контрольных проверок, при которых рассматриваются результаты работы СМО по устранению выявленных нарушений и недостатков.
  21. Федеральный фонд считает, что в случае неисполнения СМО (филиалом СМО) требований об устранении выявленных нарушений в установленные сроки Территориальный фонд вправе направить соответствующую информацию и материалы проверки в уполномоченный орган по защите прав субъектов персональных данных.
  22. Председатель
  23. Н.Н.СТАДЧЕНКО

Предыдущая новость - Письмо ФССП и ФНС от 10 января 2013 года №№ 12

Следующая новость - Письмо Роснедр от 21 января 2013 года № НМ-05-30