Приветствую всех! ^_^

Как вам, наверно, известно (или не известно), четыре года назад в РФ был принят закон о защите персональных данных. На сайте ФСТЭК были опубликованы требования, предъявляемые к автоматизированным системам, работающим с персональными данными.
Отсюда вопрос к сообществу - кто-нибудь из вас уже занимался разработкой ПО, работающего с персональными данными, отвечающего этим требованиям? Нужно ли, чтобы каждая программка, в которой осуществляется обработка ПД, отвечала этим требованиям?
БД на базе фокса не имеют сертификата ФСТЭК, т.е. их вообще нельзя использовать для хранения ПД?
Дело в том, что у нас муниципальное мед учреждение, у нас 99.99% всего ПО, которое пишется в нашем отделе предназначено именно для обработки персональных данных. А новые программки для внутренних нужд рождаются чуть ли не каждый квартал. Получается, я должна каждую программулину сертифицировать? А если судить по требованиям ФСТЭК, я вообще должна рядом с каждым оператором и каждой медсестрой поставить автоматчика, который будет следить, чтобы никто не заглянул ей через плечо, а саму медсестру посадить в бетонный бункер ^___^ Ну, и естественно, куча паролей и вообще, форматировать ЖД сразу, как только туда внесли какие-то данные. Пять раз. Для надежности.

Я не юрист, поэтому лично для меня все эти законы и требования полны противоречий. Например, требуется, чтобы ПО периодически тестировалось программами-тестами, имитирующими несанкционированный доступ. Ст. 273 УК РФ запрещает разработку и использование подобных программ. Значит, я могу не допустить человека с такой программой к компу, как преступника? ))
Те АС, которые требуют обязательного шифрования данных, также требуют применения сертифицированных средств для шифрования. Свои средства применять не просто нельзя, а их запрещено даже разрабатывать! O_o На FoxClub нашла фриварную разработку - библиотечку, которая реализует алгоритм шифрования RC4. Алгоритм разработан спец лабораторией в США, но требует лицензию (по словам Wiki). Т.е. библиотечкой, опять же, пользоваться нельзя?

На настоящий момент у нас на предприятии выполняется только формальный подход к защите ПД - с сотрудников берется расписка о неразглашении этих данных, на вход в систему пароли. Но, как показывает практика, от него никакого толку. А на автоматчиков денег нам не дадут. Да и не них надежды тоже нет >.<

С другой стороны, все программы, которые мы пишем, для внутреннего пользования. Во "внешний мир" данные отправляются через зашифрованные каналы передачи данных. Может, и паролей будет достаточно? На край, поотрубаем им всем USB и CD ^_~

Если к кому-то уже наведывались нехорошие дяди, поделитесь опытом =^_^=

-------------------------------------
Истинный оргазм можно испытать только после нескольких часов жесткой е*ли с кодом

Ключевое слово здесь "пока" *вздох*
Кстати, у нас в области МинЗдрав регулярно выпускает документы по безопасности ПД, а в области периодически проводятся семинары по этим вопросам. Только нас, почему-то, туда не приглашают ((

Насчет бумажек. Я поговорила с начальницей по этому поводу. Так вот, по ее словам, если ты написал прогу, работающую с персональными данными первой категории (т.е. содержащими ФИО+диагноз), ты обязан сертифицировать не только ее, но и затем рабочее место, на котором прога будет стоять. Сколько стоит сертификация программы она не знает, а вот сертификация рабочего места обойдется предприятию в 40 тысяч деревянных. Что при ~150 рабочих местах выльется в сумму 2-х годового бюджета. При этом, наверняка, ни одно рабочее место не пройдет сертификации, ибо двери у нас нифига не бронированные, решеток на окнах нет и вообще, некоторые компы стоят в кабинетах у врачей (знаю, что это не моя забота, как программиста, но чем слабее физическая защита компьютера, тем сильнее должна быть защита данных на нем, нэ?)

Насчет индивидуального кода пациента. В нашей области Территориальный Фонд ОМС каждому, имеющему полис, присваивает индивидуальный код ЕИН. Можно было бы работать с ним, но:
- номер присваивается только застрахованным в компаниях, работающих в области. В последнее время у нас раслодилась куча "Пятерочек" и "Перекрестков", работники которых застрахованы в Московских страховых компаниях. Такие люди считаются иногородними, посещают поликлинику, а номера у них нет.
- есть реально приезжие, естественно, не имеющие этого кода.
- номер меняется в случае, если житель на некоторое время покидал область.
- на базе поликлиники действует травматология, которая принимает всех подряд.
- если человек получил полис день-два назад, то его ЕИН у нас еще нет, хотя полис у него на руках.
- тот же Территориальный Фонд проводит проверки, что больной не должен одновременно проходить лечение в стационаре и, например, на базе поликлиники (хотя реально было, что больные уходят из больницы и идут в поликлинику, например, за рецептом). Если в поликлинике и в больнице одновременно пролечатся два больных без ЕИН, которым будут присвоены одинаковые номера, то будет выявлено наложение, которого на самом деле не было. У нас и так проблемы, когда врач или регистратор пишут стат талон от руки и оператор "как прочитал, так и ввел"
- Если на талоне был неверно указан номер карты (внутренние индивидуальные номера у нас все-таки есть), то оператор может сориентироваться по ФИО больного, которые указаны на этом же талоне. Если ФИО там не будет, то 3-месячному ребенку влегкую поставят геморрой (угадайте, кто потом будет отдуваться? >_<)
Да и вообще, где-то тут на форуме приводился пример, что в какой-то больнице пытались анонимизировать больных, но те предпочитают, чтобы к ним обращались как к МарьИваннам и Иван Петровичам, а не как к "Больной № такой-то".