<Письмо> ФФОМС от 10.01.2013 N 49/90-и «Об организации работ по защите информации»

ФЕДЕРАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ

ПИСЬМО
от 10 января 2013 г. N 49/90-и

ОБ ОРГАНИЗАЦИИ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Федеральный фонд обязательного медицинского страхования (далее — Федеральный фонд) направляет рекомендации по применению «Положения о контроле за деятельностью страховых медицинских организаций и медицинских организаций в сфере обязательного медицинского страхования территориальными фондами обязательного медицинского страхования» (далее — Положение), утвержденного приказом Федерального фонда от 16.04.2012 N 73 (зарегистрирован в Минюсте России 26.04.2012 N 23953), в работе по обеспечению безопасности персональных данных застрахованных лиц и сведений об оказанной им медицинской помощи, обрабатываемых в системе обязательного медицинского страхования. Статьей 44 Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» определено, что в сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах, а также персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам, и что эти сведения относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. Таким образом, субъекты и участники обязательного медицинского страхования обязаны обеспечить выполнение требований по защите вышеуказанной информации ограниченного доступа в соответствии с законодательством Российской Федерации и нормативными документами органов исполнительной власти, осуществляющих реализацию государственной политики в области обеспечения безопасности информации. Обращаем внимание на то, что в соответствии с частью 2 статьи 91 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» органы управления территориальных фондов обязательного медицинского страхования (далее — Территориальные фонды) являются операторами информационных систем в сфере здравоохранения в части, касающейся персонифицированного учета в системе обязательного медицинского страхования (операторами информационных систем персональных данных). Как операторы информационных систем персональных данных в системе обязательного медицинского страхования органы управления Территориальных фондов в соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 «О персональных данных» (далее — Закон N 152-ФЗ) обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Пунктом 16.6 Положения на Территориальные фонды возложена обязанность по проверке осуществления страховыми медицинскими организациями (далее — СМО) сбора и обработки данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, обеспечение их сохранности и конфиденциальности. В ходе проведения вышеуказанной проверки Территориальным фондам следует: 1. Руководствоваться требованиями законодательства Российской Федерации, в частности, статьей 19 Закона N 152-ФЗ. Пунктом 2 указанной статьи определено, что обеспечение безопасности персональных данных достигается: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 2. Требованиями нормативно-методических документов уполномоченных федеральных органов исполнительной власти по защите информации. Выявленные в деятельности СМО нарушения и недостатки установленных требований по сбору и обработке данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, а также по обеспечению их сохранности и конфиденциальности, следует в соответствии с пунктом 23.3. Положения указать в акте проверки со сроками их устранения или сроками представления плана мероприятий по их устранению. В последующем согласно пункту 29 Положения Территориальный фонд осуществляет контроль за представлением и исполнением плана мероприятий по устранению выявленных нарушений и недостатков (в случае установления срока устранения нарушений и недостатков — контроль за устранением выявленных нарушений и недостатков в установленный срок). Одновременно пунктами 4, 5 Положения Территориальным фондам предписывается возможность проведения, внеплановых проверок в связи с истечением срока исполнения СМО требований Территориального фонда об устранении нарушений и недостатков, а также контрольных проверок, при которых рассматриваются результаты работы СМО по устранению выявленных нарушений и недостатков. Федеральный фонд считает, что в случае неисполнения СМО (филиалом СМО) требований об устранении выявленных нарушений в установленные сроки Территориальный фонд вправе направить соответствующую информацию и материалы проверки в уполномоченный орган по защите прав субъектов персональных данных.

Председатель
Н.Н.СТАДЧЕНКО