![Защита данных от внутренних угроз](/upload/cssinliner_webp/iblock/d94/oqv66rearwohj1tl271hb0228sj8kmxw/zashchita_dannyh_ot_vnutrennih_ugroz.webp)
Защита данных от внутренних угроз
Узнать больше21.12.2022
Медицинские организации по долгу своей деятельности имеют дело с большим количеством персональных данных (ПДн). Эти сведения представляют ценность для их владельцев, носят конфиденциальный характер, охраняются законодательством РФ и не могут быть разглашены при любых обстоятельствах. Тем не менее проблема утечек данных из медицинских учреждений является острой, а последствия при разглашении информации могут быть плачевными как для самих пациентов (вскрытие фактов может поставить под угрозу здоровье и жизнь владельца данных, а также нанести удар по репутации пациентов), так и для медицинских учреждений (финансовые риски, репутационные потери, а также разные виды ответственности).
Учитывая эти факторы, а также ужесточение требований регуляторов к защите ПДн, медицинским учреждениям требуется повышенный контроль и защита медицинских данных. Все это могут обеспечить автоматизированные системы.
Виды данных в медицинских учреждениях
Персональные данные пациентов: ФИО, место рождения и проживания, контактная информация, номер медицинского полиса и прочее. Этот вид данных наиболее подвержен утечкам.
Медицинская (врачебная) тайна. Включает сведения, иллюстрирующие состояние здоровья пациента, наличие заболеваний, диагнозы, результаты лечения.
Коммерческая тайна: сведения о базе клиентов, планы развития организации, методология лечения болезней, способы проведения качественных исследований и проверок.
Статистические сведения: информация из карт пациентов, сведения о собственных работниках (например, зарплаты), работе с бюджетными средствами и прочее.
Иная служебная информация: результаты служебных проверок по исполнению требований по работе и служебным обязанностям.
Ответственность за утечку медицинских данных
Согласно законодательству РФ, к нарушителю, допустившему раскрытие врачебной тайны, ПДн пациента и другой информации охраняемой законом могут быть применены следующие виды наказаний:
Дисциплинарное. Выражается в вынесении виновнику замечания, выговора. В крайних случаях не исключено увольнение.
Гражданское. Назначается судом в виде штрафа или возмещения убытков согласно степени нанесенного вреда. Характерно для случаев, где пострадавшей стороне нанесен материальный или моральный ущерб.
Административное. Заключается в назначении штрафа на сумму 1000-5000 рублей для физических и должностных лиц (статья 13.14 КоАП).
Уголовное. Назначается штраф в размере 100 000-300 000 рублей, принудительные работы продолжительностью до 4 лет или арест продолжительностью до 6 месяцев с отзывом права занимать отдельные должности. В тяжелых и исключительных случаях в качестве наказания назначается лишение свободы сроком до 4 лет, ограничение заниматься профессиональной деятельностью на срок 2-5 лет (статья 137 УК РФ).
Методы защиты медицинских данных
Создание четкого регламента по работе с медицинскими данными. Необходимо выделить критически важную конфиденциальную информацию, обозначить ее в отдельную категорию, создать правила ее обработки и хранения. Ввести контроль исполнения регламента на практике.
Ведение учета носителей информации, ограничения доступа к ним. Оптимальным решением здесь является создание ролевой модели управления доступом с минимальными привилегиями.
Обучение сотрудников и раздача памяток об ответственности за разглашение конфиденциальной информации
Внедрение инструментов контроля и мониторинга информации в организации. В первую очередь, это DLP-системы, которые помогут зафиксировать все происходящие события в коммуникациях и действиях пользователей, критические с точки зрения безопасности, а также обнаружить сотрудников, которые инициировали наступление этих событий. Кроме того, рекомендуется стек технологий защиты медицинских данных дополнять IdM, MFA, DCAP, DAM-решениями. С их помощью возможно охватить всю информационную структуру организации, своевременно выявлять инциденты безопасности.
Защита медицинских данных – прямая обязанность организаций, вступающих в отношения с пациентами, ведущими обработку ПДн, врачебной тайны. Ощутимую помощь в вопросах информационной безопасности несет использование автоматизированных инструментов контроля деятельности персонала и отслеживания утечек информации. Например, Solar Dozor будет полезен для контроля коммуникации персонала организации, обнаружит группы риска и ситуации, противоречащие политикам безопасности. Регулярный автоматизированный мониторинг движения и использования конфиденциальной информации – это важный шаг на пути к снижению рисков, связанных с медицинскими данными.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.