Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

кадровой работе и по учету труда и его оплаты. В дело помещается также заявление работника об увольнении, материалы, явившиеся основанием расторжения трудового договора или его прекращения, приказ (распоряжение) работодателя, которым прекращены трудовые отношения с работником [31].

Общий порядок ведения и хранения личного дела работника устанавливает главный врач, а ведут его работники Медицинского информационно - аналитического центра и работники отдела кадров в КГБУЗ «Детская городская поликлиника №1». Для них главным врачом устанавливаются специальные обязанности по обеспечению сохранности и конфиденциальности информации, образующей персональные данные работников. Эти обязанности должны быть включены в трудовые договоры работников, трудовой функцией которых является обработка персональных данных работников [2].

Разрабатывая и принимая правила хранения и передачи персональных данных работников, главный врач устанавливает сроки хранения различных документов и материалов, как образующих личное дело работника, так и не вошедших в него. При этом главный врач учитывает, что сроки хранения наиболее важных документов, содержащих персональные данные работников, определяются различными нормативными актами [4,5], среди которых можно назвать Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков их хранения, утвержденный руководителем Федеральной архивной службы России 6 октября 2000 г.

Для хранения персональные данные сотрудников передаются в архив, который находится в специально отведенном для этого помещении. В таком помещении работает человек, прошедший обучение по персональным данным, установлена тревожная кнопка сигнализация за пределами двери со специальным ключом, для обеспечения безопасности персональных данных [42]. Хранятся персональные данные в сейфе в течение 75 лет, затем данные уничтожаются путем акта на сжигание (рисунок 2.3) [50].

Рисунок 2.3 - Сейф для хранения персональных данных сотрудников

Трудовые книжки и дубликаты трудовых книжек, не полученные работниками при увольнении либо в случае смерти работника не полученные его ближайшими родственниками, хранятся в течение двух лет в кадровой службе работодателя отдельно от остальных трудовых книжек. По истечении указанного срока невостребованные трудовые книжки хранятся в архиве организации в течение 50 лет, после чего подлежат уничтожению в установленном порядке [29].

Передача персональных данных сотрудников в организации осуществляется в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку [53]. Локальный нормативный акт, связанный с хранением и передачей персональных данных сотрудников разрабатывается отделом кадров в виде положения, инструкции, правил или в какой – либо другой форме.

При передаче персональных данных работника сотрудник отдела кадров должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, а также не сообщать соответствующие сведения в коммерческих целях без письменного согласия работника;

• при передаче персональных данных работников предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

• сотруднику отдела кадров разрешается доступ только к тем персональным данным работников, которые необходимы для выполнения им его должностных обязанностей;

• сотрудник отдела кадров не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

При обработке персональных данных работника то есть их получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника, сотрудники отдела кадров обязаны соблюдать следующие общие требования:

• обрабатывать персональные данных работника может исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

• все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

• сотрудник отдела кадров не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия работника,

а также случаев предусмотренных федеральным законом;

• персональную ответственность за соблюдение всеми сотрудниками отдела кадров настоящей инструкции, а также контроль за ее соблюдением возложен на начальника отдела кадров (ФИО);

• все сотрудники отдела кадров должны быть ознакомлены с настоящей Инструкцией под расписку.

2.3.2 Хранение и передача персональных данных пациентов

Персональные данные пациентов хранятся в бумажном (амбулаторная карта, бланки направлений, результаты обследований) и электронном виде. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных организации, а так же в архивных копиях баз данных этих систем.

При хранении персональных данных пациентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

• назначение сотрудника ответственного за тот или иной способ хранения персональных данных;

• ограничение физического доступа к местам хранения и носителям;

• учет всех информационных систем и электронных носителей, а так же архивных копий.

Персональные данные пациентов организация получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.

Пациенты КГБУЗ «Детской городской поликлиники № 1», при обращении, сообщают свои персональные данные (фамилия, имя, отчество, дата и место рождения, свидетельство о рождении, страховой полис, прописка) и дают согласие на их обработку [4]. После этого оператор персональных данных,

для автоматизации своей работы, вносит данные о пациенте в специализированную программу медиалог. То есть теперь персональные данные хранятся на сервере, который расположен в медицинском информационно – аналитическом центре.

Для доступа в программу медиалог врачам выдают логины и пароли, для ведения истории болезни пациента и внесения в нее изменений. Внесение этих данных в программу полностью на добровольной основе врача.

Также персональные данные пациентов хранятся на стеллажах в несгораемых шкафах в архиве в виде медицинских карт амбулаторного больного. Доступ в помещение архива имеет только специальный работник, который знает код от сигнализации (рисунок 2.4).

Рисунок 2.4 - Архив персональных данных пациентов, оснащенный сигнализацией

Передача персональных данных третьим лицам возможна только с согласия пациента и только с целью исполнения обязательств КГБУЗ «Детская городская поликлиника №1» в рамках существующих договорных отношений, кроме случаев, когда такая обязанность наступает в результате требований действующего законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов. В таком случае КГБУЗ «Детская городская поликлиника» ограничивает передачу персональных данных запрошенным объемом. При этом пациенту направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.

Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации.

При передаче персональных данных пациента третьим лицам оператор должен соблюдать следующие требования:

• не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в других случаях, предусмотренных Федеральным законодательством РФ;

• предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности);

• разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

Согласие пациента на передачу персональных данных не требуется, если законодательством РФ установлена обязанность предоставления оператором персональных данных.

Персональные данные пациента вне учреждения могут представляться в государственные и негосударственные функциональные структуры (внешний доступ):

• правоохранительные органы;

• органы статистики;

• страховые медицинские организации;

• органы социального страхования;

• пенсионный фонд;

• фонд обязательного медицинского страхования;

• вышестоящие подразделения муниципальных органов управления;

• министерство здравоохранения;

• отделы опеки и попечительства;

• комиссии по делам несовершеннолетних и защите их прав;

• другие лечебно-профилактические учреждения.

Персональные данные пациента могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.

КГБУЗ «Детская городская поликлиника №1» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

Врачебная тайна - соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

3 Методика аудита информационной безопасности систем, обрабатывающих персональные данные в КГБУЗ «Детская городская поликлиника №1»

3.1 Проведение аудита информационной безопасности систем, обрабатывающих персональные данные в КГБУЗ «Детская городская поликлиника №1»

Исходя из этапов проведения аудита информационной безопасности систем, обрабатывающих персональные данные проведем аудит в КГБУЗ «Детская городская поликлиника № 1» [19,35].

Аудит информационной безопасности систем, обрабатывающих персональных данных начинается с того, что КГБУЗ «Детская городская поликлиника № 1» приглашает стороннюю организацию для проведения аудита. После принятия решения о проведении аудита, а именно проверке нормативно – правовых документов, оборудования и систем на которых хранятся, обрабатываются и передаются персональные данные, а также с помощью, которых они защищаются, аудитор сторонней организации приходит в данное предприятие и начинает проводить опрос, о том какие работники имеют доступ к персональным данным. Сотрудники предоставляют распоряжение со своими подписями от главного врача на разрешение работы с персональными данными. Далее аудит проводится согласно следующей методике:

• анализ текущей организационно-распорядительной документации: анализ начинается с того, что главный врач поликлиники предоставляет аудитору комплекс документации, который содержит функции, задачи, цели, нормы и правила хранения, передачи, обработки и уничтожения персональных данных сотрудников и пациентов, а именно:

1. Положение от 1 января 2015г. №10 «Об организации и порядке работы с информацией конфиденциального характера и ее защите в КГБУЗ “Детская городская поликлиника № 1”»;

2. Федеральный закон от 27 июля 2006г. №152 «О персональных данных»;

3. Положение от 1 января 2015г. №12 «О порядке работы с электронными каналами связи в КГБУЗ “Детская городская поликлиника № 1”»;

4. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. №154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных";

5. Постановление от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

6. Приказ от 26 августа 2010 г. №63 «О признании утратившим силу перечня типовых управленческих документов, образующихся в деятельности КГБУЗ “Детская городская поликлиника №1”, с указанием сроков хранения»;

7. Приказ от 1 января 2015г. №8 «Об утверждении положений и инструкций по безопасной работе на персональной электронно-вычислительной машине и антивирусной защите»;

8. Приказ от 1 января 2015г. №7 «О порядке организации документооборота для документов с грифом “Для служебного пользования”».

• аудитор делает анализ текущей технической документации: анализ текущей технической документации заключается в том, что аудитор проверяет исходя из каких документов КГБУЗ «Детская городская поликлиника №1» осуществляет автоматизированное хранение, передачу и обработку персональных данных, как сотрудников, так и пациентов. На данном этапе аудитор проверяет информационные системы, с помощью которых осуществляются всевозможные действия с персональными данными на наличие сертификатов и лицензий.

КГБУЗ «Детская городская поликлиника №1» работает с персональными данными исходя из:

• Приказа от 1 января 2015 г. №9 «О выполнении мероприятий по организации работ по предотвращению записи, хранения, распространении информации программных продуктов непроизводственного характера»;

• Положения от 1 января 2015г. №12 «О порядке работы с электронными каналами связи в КГБУЗ “Детская городская поликлиника № 1”»;

• Положения от 25 ноября 2015г. №13 «Об аттестации объектов информатизации по требованиям безопасности информации;

• Положения от 1 января 2015г. №10 «Об организации и порядке работы с информацией конфиденциального характера и ее защите в КГБУЗ “Детская городская поликлиника № 1”»;

• Инструкции по организации парольной защиты в КГБУЗ «Детская поликлиника № 1» министерства здравоохранения Хабаровского края;

• Инструкции по организации антивирусной защиты в КГБУЗ «Детская городская поликлиника № 1»министерства здравоохранения Хабаровского края;

• Указа президента Российской Федерации об утверждении перечня сведений конфиденциального порядка;

• Инструкции по обеспечению безопасности персональных данных.

В КГБУЗ «Детская городская поликлиника № 1» оператором были получены лицензии по технической защите систем, обрабатывающих персональные. Лицензионными требованиями и условиями, при осуществлении деятельности по технической защите персональных данных являются [13]:

• наличие в штате специалиста, имеющего квалификацию по вопросам технической защиты информации (прошедшего специализированные курсы ФСТЭК);

• наличие помещения для осуществления обработки персональных данных, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации;

• использование систем прошедших процедуру оценки соответствия требованиям;

• использование предназначенных для обработки персональных данных программ для электронно-вычислительных машин и баз данных;

• наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК.

Полученная сертификация позволяет использовать программные продукты в КГБУЗ «Детская городская поликлиника №1» для обеспечения хранения, передач, обработки и уничтожения персональных данных с помощью автоматизированных систем [40].

• аудитор проводит обследование систем, обрабатывающих персональные данные: для проверки систем, обрабатывающих персональные данные на уязвимость используются аудитором следующие виды специальных средств:

1. Kali linux (рисунок 3.1) – дистрибутив (форма распространения программного обеспечения), содержащий множество утилит для проведения тестирования на проникновение от анализа уязвимостей веб-приложений, до взлома сетей и сервисов и закрепления в системе. Ранее этот дистрибутив был известен под названием Backtrack. Дистрибутив создан для тестировщиков информационной безопасности. Поставляется в виде LiveUSB (подключаемый по шине USB носитель данных, содержащий операционную систему с возможностью загрузки) и liveCD (операционная система, загружающаяся со сменного носителя), от пользователя требуется загрузиться с носителя, содержащего Kali. Также есть возможность установки системы на жёсткий диск (требуется примерно 2,7 ГБ). В настоящее время в дистрибутив включены инструменты для программно-технической экспертизы;

Характеристики

Список файлов ВКР