Во всех учреждениях здравоохранения Карачаево-Черкесской Республики обрабатываются персональные данные пациентов и сотрудников, ведутся профессиональные регистры (персональные данные медицинских работников), обрабатывается финансовая информация (осуществление бухгалтерской отчетности в электронном виде).
В рамках организационных мероприятий при реализации системы защиты планируется: разработка и совершенствование нормативной правовой и методической базы, регламентирующей доступ, обработку и передачу информации, содержащей персональные данные; стандартизация, унификация и обеспечение совместимости между отдельными решениями информационного взаимодействия; реализация комплексного подхода к информационному взаимодействию, обеспечение последовательности и согласованности во время информационного взаимодействия. Помимо перечисленных мероприятий также запланировано регламентированное ведение рекомендованных списков лиц, осуществляющих обработку персональных данных.
В рамках технических мероприятий при реализации системы защиты планируется: реализация разрешительной системы допуска пользователей к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц; учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение; резервирование технических средств, дублирование массивов и носителей информации; использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи; предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов).
Обеспечение средствами защиты планируется в рамках реализации Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" за счет средств медицинских учреждений.
Выбранные и реализованные методы и способы защиты информации должны обеспечить нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в локальных медицинских информационных системах в составе системы защиты персональных данных.