Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеМедицинские организации по долгу своей деятельности имеют дело с большим количеством персональных данных (ПДн). Эти сведения представляют ценность для их владельцев, носят конфиденциальный характер, охраняются законодательством РФ и не могут быть разглашены при любых обстоятельствах. Тем не менее проблема утечек данных из медицинских учреждений является острой, а последствия при разглашении информации могут быть плачевными как для самих пациентов (вскрытие фактов может поставить под угрозу здоровье и жизнь владельца данных, а также нанести удар по репутации пациентов), так и для медицинских учреждений (финансовые риски, репутационные потери, а также разные виды ответственности).
Учитывая эти факторы, а также ужесточение требований регуляторов к защите ПДн, медицинским учреждениям требуется повышенный контроль и защита медицинских данных. Все это могут обеспечить автоматизированные системы.
Виды данных в медицинских учреждениях
Персональные данные пациентов: ФИО, место рождения и проживания, контактная информация, номер медицинского полиса и прочее. Этот вид данных наиболее подвержен утечкам.
Медицинская (врачебная) тайна. Включает сведения, иллюстрирующие состояние здоровья пациента, наличие заболеваний, диагнозы, результаты лечения.
Коммерческая тайна: сведения о базе клиентов, планы развития организации, методология лечения болезней, способы проведения качественных исследований и проверок.
Статистические сведения: информация из карт пациентов, сведения о собственных работниках (например, зарплаты), работе с бюджетными средствами и прочее.
Иная служебная информация: результаты служебных проверок по исполнению требований по работе и служебным обязанностям.
Ответственность за утечку медицинских данных
Согласно законодательству РФ, к нарушителю, допустившему раскрытие врачебной тайны, ПДн пациента и другой информации охраняемой законом могут быть применены следующие виды наказаний:
-
Дисциплинарное. Выражается в вынесении виновнику замечания, выговора. В крайних случаях не исключено увольнение.
-
Гражданское. Назначается судом в виде штрафа или возмещения убытков согласно степени нанесенного вреда. Характерно для случаев, где пострадавшей стороне нанесен материальный или моральный ущерб.
-
Административное. Заключается в назначении штрафа на сумму 1000-5000 рублей для физических и должностных лиц (статья 13.14 КоАП).
-
Уголовное. Назначается штраф в размере 100 000-300 000 рублей, принудительные работы продолжительностью до 4 лет или арест продолжительностью до 6 месяцев с отзывом права занимать отдельные должности. В тяжелых и исключительных случаях в качестве наказания назначается лишение свободы сроком до 4 лет, ограничение заниматься профессиональной деятельностью на срок 2-5 лет (статья 137 УК РФ).
Методы защиты медицинских данных
-
Создание четкого регламента по работе с медицинскими данными. Необходимо выделить критически важную конфиденциальную информацию, обозначить ее в отдельную категорию, создать правила ее обработки и хранения. Ввести контроль исполнения регламента на практике.
-
Ведение учета носителей информации, ограничения доступа к ним. Оптимальным решением здесь является создание ролевой модели управления доступом с минимальными привилегиями.
-
Обучение сотрудников и раздача памяток об ответственности за разглашение конфиденциальной информации
-
Внедрение инструментов контроля и мониторинга информации в организации. В первую очередь, это DLP-системы, которые помогут зафиксировать все происходящие события в коммуникациях и действиях пользователей, критические с точки зрения безопасности, а также обнаружить сотрудников, которые инициировали наступление этих событий. Кроме того, рекомендуется стек технологий защиты медицинских данных дополнять IdM, MFA, DCAP, DAM-решениями. С их помощью возможно охватить всю информационную структуру организации, своевременно выявлять инциденты безопасности.
Защита медицинских данных – прямая обязанность организаций, вступающих в отношения с пациентами, ведущими обработку ПДн, врачебной тайны. Ощутимую помощь в вопросах информационной безопасности несет использование автоматизированных инструментов контроля деятельности персонала и отслеживания утечек информации. Например, Solar Dozor будет полезен для контроля коммуникации персонала организации, обнаружит группы риска и ситуации, противоречащие политикам безопасности. Регулярный автоматизированный мониторинг движения и использования конфиденциальной информации – это важный шаг на пути к снижению рисков, связанных с медицинскими данными.
