Данные строго по рецепту

Как организовать защиту персональных данных и КИИ в фармацевтике

Фармацевтические организации собирают различные виды персональных данных (ПД) и часто становятся мишенью киберпреступников. Перспектива введения оборотных штрафов за утечки данных подогревает интерес к законодательству по защите ПД и критической информационной инфраструктуры (КИИ). Зачем нужна инвентаризация киберсистем, какие документы нужно отправлять во ФСТЭК и как категорировать сведения о клиентах и сотрудниках, обсудили 26 сентября на вебинаре «Защита информации в фармацевтике», который провела консалтинговая компания Kept.

БЕЗ УЩЕРБА ЗДОРОВЬЮ

Фармацевтический рынок России растет – в 2022 году его объем увеличился на 12% до 2,57 трлн рублей. Лицензию на выпуск лекарственных средств на территории РФ имеют 544 организации, фармпродукцию реализуют более 70 тыс. аптек, говорится в утвержденной правительством РФ стратегии «Фарма-2030».

Согласно федеральному закону №187-ФЗ «О безопасности критической информационной инфраструктуры РФ», субъектами КИИ являются юридические лица, коммерческие организации, госучреждения, которые используют информационные ресурсы на правах собственности или аренды.

Как отметил в своем выступлении на вебинаре старший консультант Kept Евгений Садков,

в фармацевтической компании это могут быть автоматизированные системы управления производством, бизнес-процессами, а также корпоративная сеть

Если организация имеет такие системы и функционирует в сферах здравоохранения, науки и химической промышленности – она является субъектом КИИ, подчеркнул он.

Евгений Садков, Kept:

– Мы ориентируемся на рекомендации ФСТЭК России, где в качестве исходных данных для определения сферы предлагается использовать учредительные документы компании, сведения из ОКВЭД и лицензии на деятельность. Исходя из этого, в здравоохранении к КИИ относятся такие процессы и системы, нарушение которых может привести к ущербу жизни и здоровья людей.

Фармацевтические компании собирают, обрабатывают и хранят огромные массивы данных о своих сотрудниках, стажерах, клиентах, пациентах и подрядчиках, отметил на вебинаре менеджер Kept Роман Мартинсон. По его словам,

в повседневной жизни люди, или субъекты ПД, генерируют большое количество персданных и делятся ими с госструктурами, компаниями и другими людьми

Роман Мартинсон, Kept:

– Кроме прочих, организации фармацевтической отрасли обрабатывают специальные персональные данные – сведения, раскрывающие существенную информацию о физлице: расовую, национальную принадлежность, состояние здоровья, биометрические и генетические данные.

Хотя при проведении клинических исследований используются обезличенные данные, нужно помнить, что

персональные данные – это совокупность информации о человеке, по которой можно определить его личность

Тем более Роскомнадзор полагает, что обезличенные сведения все еще остаются персональными данными, поскольку характеризуют человека.

Кроме того, отпечатки пальцев сотрудников, которые используются для доступа в помещения или для запуска оборудования, являются биометрическими данными.

ВНИМАНИЕ К ПРОЦЕССАМ

Чтобы понять, что нужно защищать, необходимо провести инвентаризацию цифровых систем и выделить в деятельности компании процессы, которые требуют особого внимания. «По результатам инвентаризации процессов мы должны понимать, куда и какие данные передаются, где хранятся и какие из этих процессов являются особенно важными и критичными», – подчеркнул Роман Мартинсон.

По словам Евгения Садкова, чтобы привести эти процессы в соответствие требованиям законодательства о КИИ, необходимо:

• проанализировать организационную структуру компании, встретиться с руководителями подразделений;
• выявить уникальные для подразделения бизнес-процессы;
• провести инвентаризацию ПО, серверов и локальных сетей;
• понять, от кого получаются и кому предаются данные.

Евгений Садков, Kept:

– Проведение встреч с руководителями нужно документировать в виде протокола. Также необходимо проанализировать процессы передачи ПД третьим лицам, определить их статус. По каждому процессу требуется описание категорий обрабатываемых данных и кому они принадлежат, а также потоков и объема передаваемых сведений.

Роман Мартинсон заметил, что

в ходе аудита бизнес-процессов нужно обратить внимание на содержание информационных баз

«В некоторых из них могут обрабатываться специальные или биометрические ПД. Важно определить, кому они принадлежат: пациентам, работникам, клиентам или детям», – подчеркнул он.

На уровень защищенности личной информации влияют параметры, определенные в постановлении правительства №1119:

• категории и состав персданных (специальные, биометрические, общедоступные и иные);
• типы субъектов ПД (являющиеся сотрудниками компании и все остальные);
• количество субъектов ПД;
• тип угроз безопасности.

Для учета персданных тех, кто не является сотрудником организации, введен критерий «количество записей» (более или менее 100 тыс.), который отражает уникальные сведения о физлицах. «Например, в клинике есть база, содержащая сведения о более чем 100 тыс. клиентов. Такая база будет считаться ресурсом, содержащим большой объем информации, для которого необходима дополнительная защита», – обратил внимание Роман Мартинсон. По его словам,

объем обрабатываемых данных – сколько уникальных записей имеется в компании по категориям субъектов ПД – можно выяснить, общаясь непосредственно с представителями структурных подразделений

При сборе сведений о гражданах РФ операторы данных должны обеспечить хранение такой информации в базах на территории страны. Особого подхода требует трансграничная передача ПД – о намерении осуществлять подобную передачу нужно сообщать в Роскомнадзор, напомнил эксперт.

В ОДНОМ ФЛАКОНЕ

Эксперты отметили, что меры, направленные на обеспечение защиты персональных данных, так же, как и для КИИ, подразделяются на:

• Организационные – назначение ответственного лица, разработка соответствующей документации, обучение персонала. Они помогают выстроить процесс обработки ПД.
• Технические: защита данных при передаче по интернету; применение антивирусов; разграничение и управление доступом в киберсистемы ПД; применение средств для резервирования сведений; внедрение системы мониторинга инцидентов.

Перечень необходимых мер внедряется в компаниях с учетом требований приказа №21 ФСТЭК России, подчеркнул Роман Мартинсон.

Политика компании в сфере ПД является основным документом и определяет принципы обработки таких сведений и меры по обеспечению их безопасности. Эксперт напомнил, что

Роскомнадзор требует от компаний обеспечить доступ к ПД только лицам, которым они необходимы для исполнения служебных обязанностей

Перечень информационных ресурсов детально описывает, какие системы использует организация, где они расположены и какие сведения в них обрабатываются.

По словам Евгения Садкова, наиболее типичными ошибками при составлении перечня объектов КИИ являются:

• указание неточной даты утверждения этого перечня;
• избыточный список – в него вносятся объекты, не функционирующие в критических процессах;
• во ФСТЭК России отправляется не утвержденный перечень;
• не учтены все объекты, принадлежащие на законных основаниях компании;
• вместо наименования объекта указывается иная информация.

Эксперты рекомендуют сразу формировать единую систему защиты персданных и КИИ, а при разработке документов учитывать все аспекты законодательства.

Тимур Халудоров