<Письмо> ФФОМС от 10.01.2013 N 49/90-и "Об организации работ по защите информации"

ФЕДЕРАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ

ПИСЬМО

от 10 января 2013 г. N 49/90-и

ОБ ОРГАНИЗАЦИИ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Федеральный фонд обязательного медицинского страхования (далее - Федеральный фонд) направляет рекомендации по применению "Положения о контроле за деятельностью страховых медицинских организаций и медицинских организаций в сфере обязательного медицинского страхования территориальными фондами обязательного медицинского страхования" (далее - Положение), утвержденного приказом Федерального фонда от 16.04.2012 N 73 (зарегистрирован в Минюсте России 26.04.2012 N 23953), в работе по обеспечению безопасности персональных данных застрахованных лиц и сведений об оказанной им медицинской помощи, обрабатываемых в системе обязательного медицинского страхования.

Статьей 44 Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" определено, что в сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах, а также персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам, и что эти сведения относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

Таким образом, субъекты и участники обязательного медицинского страхования обязаны обеспечить выполнение требований по защите вышеуказанной информации ограниченного доступа в соответствии с законодательством Российской Федерации и нормативными документами органов исполнительной власти, осуществляющих реализацию государственной политики в области обеспечения безопасности информации.

КонсультантПлюс: примечание.

Федеральным законом от 29.07.2017 N 242-ФЗ ст. 91 Федерального закона от 21.11.2011 N 323-ФЗ изложена в новой редакции. Норма содержавшаяся в ч. 2 ст. 91, в новой редакции Федерального закона от 21.11.2011 N 323-ФЗ содержится в п. 3 ст. 91.

Обращаем внимание на то, что в соответствии с частью 2 статьи 91 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" органы управления территориальных фондов обязательного медицинского страхования (далее - Территориальные фонды) являются операторами информационных систем в сфере здравоохранения в части, касающейся персонифицированного учета в системе обязательного медицинского страхования (операторами информационных систем персональных данных).

Как операторы информационных систем персональных данных в системе обязательного медицинского страхования органы управления Территориальных фондов в соответствии с частью 1 статьи 19 Федерального закона от 27.07.2006 "О персональных данных" (далее - Закон N 152-ФЗ) обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Пунктом 16.6 Положения на Территориальные фонды возложена обязанность по проверке осуществления страховыми медицинскими организациями (далее - СМО) сбора и обработки данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, обеспечение их сохранности и конфиденциальности.

В ходе проведения вышеуказанной проверки Территориальным фондам следует:

1. Руководствоваться требованиями законодательства Российской Федерации, в частности, статьей 19 Закона N 152-ФЗ. Пунктом 2 указанной статьи определено, что обеспечение безопасности персональных данных достигается:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

2. Требованиями нормативно-методических документов уполномоченных федеральных органов исполнительной власти по защите информации.

Выявленные в деятельности СМО нарушения и недостатки установленных требований по сбору и обработке данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, а также по обеспечению их сохранности и конфиденциальности, следует в соответствии с пунктом 23.3. Положения указать в акте проверки со сроками их устранения или сроками представления плана мероприятий по их устранению.

В последующем согласно пункту 29 Положения Территориальный фонд осуществляет контроль за представлением и исполнением плана мероприятий по устранению выявленных нарушений и недостатков (в случае установления срока устранения нарушений и недостатков - контроль за устранением выявленных нарушений и недостатков в установленный срок). Одновременно пунктами 4, 5 Положения Территориальным фондам предписывается возможность проведения, внеплановых проверок в связи с истечением срока исполнения СМО требований Территориального фонда об устранении нарушений и недостатков, а также контрольных проверок, при которых рассматриваются результаты работы СМО по устранению выявленных нарушений и недостатков.

Федеральный фонд считает, что в случае неисполнения СМО (филиалом СМО) требований об устранении выявленных нарушений в установленные сроки Территориальный фонд вправе направить соответствующую информацию и материалы проверки в уполномоченный орган по защите прав субъектов персональных данных.

Председатель

Н.Н.СТАДЧЕНКО