Данные строго по рецепту
Как организовать защиту персональных данных и КИИ в фармацевтике
Фармацевтические организации собирают различные виды персональных данных (ПД) и часто становятся мишенью киберпреступников. Перспектива введения оборотных штрафов за утечки данных подогревает интерес к законодательству по защите ПД и критической информационной инфраструктуры (КИИ). Зачем нужна инвентаризация киберсистем, какие документы нужно отправлять во ФСТЭК и как категорировать сведения о клиентах и сотрудниках, обсудили 26 сентября на вебинаре «Защита информации в фармацевтике», который провела консалтинговая компания Kept.
БЕЗ УЩЕРБА ЗДОРОВЬЮ
Фармацевтический рынок России растет – в 2022 году его объем увеличился на 12% до 2,57 трлн рублей. Лицензию на выпуск лекарственных средств на территории РФ имеют 544 организации, фармпродукцию реализуют более 70 тыс. аптек, говорится в утвержденной правительством РФ стратегии «Фарма-2030».
Согласно федеральному закону №187-ФЗ «О безопасности критической информационной инфраструктуры РФ», субъектами КИИ являются юридические лица, коммерческие организации, госучреждения, которые используют информационные ресурсы на правах собственности или аренды.
Как отметил в своем выступлении на вебинаре старший консультант Kept Евгений Садков,
в фармацевтической компании это могут быть автоматизированные системы управления производством, бизнес-процессами, а также корпоративная сеть
Если организация имеет такие системы и функционирует в сферах здравоохранения, науки и химической промышленности – она является субъектом КИИ, подчеркнул он.
Евгений Садков, Kept:
– Мы ориентируемся на рекомендации ФСТЭК России, где в качестве исходных данных для определения сферы предлагается использовать учредительные документы компании, сведения из ОКВЭД и лицензии на деятельность. Исходя из этого, в здравоохранении к КИИ относятся такие процессы и системы, нарушение которых может привести к ущербу жизни и здоровья людей.
Фармацевтические компании собирают, обрабатывают и хранят огромные массивы данных о своих сотрудниках, стажерах, клиентах, пациентах и подрядчиках, отметил на вебинаре менеджер Kept Роман Мартинсон. По его словам,
в повседневной жизни люди, или субъекты ПД, генерируют большое количество персданных и делятся ими с госструктурами, компаниями и другими людьми
Роман Мартинсон, Kept:
– Кроме прочих, организации фармацевтической отрасли обрабатывают специальные персональные данные – сведения, раскрывающие существенную информацию о физлице: расовую, национальную принадлежность, состояние здоровья, биометрические и генетические данные.
Хотя при проведении клинических исследований используются обезличенные данные, нужно помнить, что
персональные данные – это совокупность информации о человеке, по которой можно определить его личность
Тем более Роскомнадзор полагает, что обезличенные сведения все еще остаются персональными данными, поскольку характеризуют человека.
Кроме того, отпечатки пальцев сотрудников, которые используются для доступа в помещения или для запуска оборудования, являются биометрическими данными.
ВНИМАНИЕ К ПРОЦЕССАМ
Чтобы понять, что нужно защищать, необходимо провести инвентаризацию цифровых систем и выделить в деятельности компании процессы, которые требуют особого внимания. «По результатам инвентаризации процессов мы должны понимать, куда и какие данные передаются, где хранятся и какие из этих процессов являются особенно важными и критичными», – подчеркнул Роман Мартинсон.
По словам Евгения Садкова, чтобы привести эти процессы в соответствие требованиям законодательства о КИИ, необходимо:
- проанализировать организационную структуру компании, встретиться с руководителями подразделений;
- выявить уникальные для подразделения бизнес-процессы;
- провести инвентаризацию ПО, серверов и локальных сетей;
- понять, от кого получаются и кому предаются данные.
Евгений Садков, Kept:
– Проведение встреч с руководителями нужно документировать в виде протокола. Также необходимо проанализировать процессы передачи ПД третьим лицам, определить их статус. По каждому процессу требуется описание категорий обрабатываемых данных и кому они принадлежат, а также потоков и объема передаваемых сведений.
Роман Мартинсон заметил, что
в ходе аудита бизнес-процессов нужно обратить внимание на содержание информационных баз
«В некоторых из них могут обрабатываться специальные или биометрические ПД. Важно определить, кому они принадлежат: пациентам, работникам, клиентам или детям», – подчеркнул он.
На уровень защищенности личной информации влияют параметры, определенные в постановлении правительства №1119:
- категории и состав персданных (специальные, биометрические, общедоступные и иные);
- типы субъектов ПД (являющиеся сотрудниками компании и все остальные);
- количество субъектов ПД;
- тип угроз безопасности.
Для учета персданных тех, кто не является сотрудником организации, введен критерий «количество записей» (более или менее 100 тыс.), который отражает уникальные сведения о физлицах. «Например, в клинике есть база, содержащая сведения о более чем 100 тыс. клиентов. Такая база будет считаться ресурсом, содержащим большой объем информации, для которого необходима дополнительная защита», – обратил внимание Роман Мартинсон. По его словам,
объем обрабатываемых данных – сколько уникальных записей имеется в компании по категориям субъектов ПД – можно выяснить, общаясь непосредственно с представителями структурных подразделений
При сборе сведений о гражданах РФ операторы данных должны обеспечить хранение такой информации в базах на территории страны. Особого подхода требует трансграничная передача ПД – о намерении осуществлять подобную передачу нужно сообщать в Роскомнадзор, напомнил эксперт.
В ОДНОМ ФЛАКОНЕ
Эксперты отметили, что меры, направленные на обеспечение защиты персональных данных, так же, как и для КИИ, подразделяются на:
- Организационные – назначение ответственного лица, разработка соответствующей документации, обучение персонала. Они помогают выстроить процесс обработки ПД.
- Технические: защита данных при передаче по интернету; применение антивирусов; разграничение и управление доступом в киберсистемы ПД; применение средств для резервирования сведений; внедрение системы мониторинга инцидентов.
Перечень необходимых мер внедряется в компаниях с учетом требований приказа №21 ФСТЭК России, подчеркнул Роман Мартинсон.
Политика компании в сфере ПД является основным документом и определяет принципы обработки таких сведений и меры по обеспечению их безопасности. Эксперт напомнил, что
Роскомнадзор требует от компаний обеспечить доступ к ПД только лицам, которым они необходимы для исполнения служебных обязанностей
Перечень информационных ресурсов детально описывает, какие системы использует организация, где они расположены и какие сведения в них обрабатываются.
По словам Евгения Садкова, наиболее типичными ошибками при составлении перечня объектов КИИ являются:
- указание неточной даты утверждения этого перечня;
- избыточный список – в него вносятся объекты, не функционирующие в критических процессах;
- во ФСТЭК России отправляется не утвержденный перечень;
- не учтены все объекты, принадлежащие на законных основаниях компании;
- вместо наименования объекта указывается иная информация.
Эксперты рекомендуют сразу формировать единую систему защиты персданных и КИИ, а при разработке документов учитывать все аспекты законодательства.
Тимур Халудоров