Определение типа угроз безопасности специальных категорий персональных данных (ПДн), актуальных для информационных систем персональных данных (ИСПДн), эксплуатируемых в сфере здравоохранения осуществляется в соответствии с пунктом 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
Оценка возможного вреда
Оценка возможного вреда, проводится во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных".
Обработка специальных категорий ПДн в ИСПДн подпадает под действие подпункта 2.1 пункта 2 Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", утвержденных приказом Роскомнадзора от 27.10.2022 г. №178, а именно касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных и наносит возможный вред со степенью "Высокий".
Угрозы безопасности ПДн, актуальных при обработке ПДн в ИСПДн, эксплуатируемых в сфере здравоохранения
Угрозы безопасности ПДн, актуальных при обработке ПДН в ИСПДн, эксплуатируемых в сфере здравоохранения, определяются в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных", приказом Минздрава России от 03.07.2023 г. №340н "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством здравоохранения Российской Федерации".
Для ИСПДн, эксплуатируемых в сфере здравоохранения, актуальны угрозы, не связаны с наличием недокументированных (недекларированных) возможностей (далее - НДВ) в системном и прикладном программном обеспечении, используемом в ИСПДн.
Тип актуальных угроз безопасности ПДн в ИСПДн, эксплуатируемых в сфере здравоохранения
В соответствии пунктом 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119, для ИСПДн, эксплуатируемых в сфере здравоохранения, актуальны угрозы 3-го типа, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в ИСПДн