Письмо ТФОМС Ставропольского края от 16.10.2014 N 14/07-485 "О необходимости выполнения требований законодательства Российской Федерации о персональных данных"



ТЕРРИТОРИАЛЬНЫЙ ФОНД
ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ
СТАВРОПОЛЬСКОГО КРАЯ

ПИСЬМО
от 16 октября 2014 г. № 14/07-485

О НЕОБХОДИМОСТИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ

Руководителям организаций, участников
информационного взаимодействия в сфере
обязательного медицинского страхования
Ставропольского края

Территориальный фонд обязательного медицинского страхования Ставропольского края обращает внимание на необходимость выполнения требований законодательства Российской Федерации о персональных данных организациями, участниками информационного взаимодействия в сфере обязательного медицинского страхования на территории Ставропольского края (далее - организации).
Организации при передаче реестров счетов на оплату оказанной медицинской помощи, доступе к региональному сегменту единого регистра застрахованных лиц, доступе к ЕИР263, а также при использовании других информационных сервисов ТФОМС СК, в которых осуществляется обработка персональных данных обязаны принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Организационные и технические меры защиты информации в информационной системе организации в рамках ее системы защиты информации, должны обеспечивать:
идентификацию и аутентификацию субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защиту машинных носителей информации;
регистрацию событий безопасности;
антивирусную защиту;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности информации;
целостность информационной системы и информации;
доступность информации;
защиту среды виртуализации;
защиту технических средств;
защиту информационной системы, ее средств, систем связи и передачи данных.
Организации должны обеспечить уровень защищенности персональных данных при их обработке в информационной системе не ниже 2-го. При этом в информационных системах организаций должны применяться средства вычислительной техники не ниже 5 класса, системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса, межсетевые экраны не ниже 3 класса.
ТФОМС СК информирует о том, что если в ходе проведения контрольных мероприятий будут выявлены факты невыполнения или ненадлежащего выполнения организацией требований законодательства Российской Федерации о персональных данных, доступ к информационным ресурсам ТФОМС СК для такой организации будет незамедлительно закрыт до устранения замечаний.

Директор
С.П.ТРОШИН


------------------------------------------------------------------