Обеспечение защиты персональных данных в лечебно-профилактическом учреждении

Обеспечение защиты персональных данных в лечебно-профилактическом учреждении

Авторы публикации

Рубрика

Технические науки

Просмотры

124

Журнал

Журнал «Научный лидер» выпуск # 48 (93), Ноябрь ‘22

Дата публикации 27.11.2022

Поделиться

В статье исследованы и проанализированы исходные материалы, которые были получены в результате обследования информационной системы персональных данных лечебно-профилактического учреждения ООО «Айболит». В рамках работы был установлен уровень защищенности персональных данных, разработана модель угроз информационной безопасности и реализованы организационно-технические меры по обеспечению безопасности персональных данных.

Благодаря созданию средств вычислительной техники и автоматизированных систем обработка информации на сегодняшний день больше не является трудоёмким процессом. В связи с увеличением информационных систем обработки персональных данных соответственно увеличилась производительность многих организаций, в том числе медицинских. Медицинские учреждения каждый день обрабатывают огромное количество персональных данных пациентов. Сотрудники лечебных учреждений легко могут получить доступ к персональным данным пациента. Однако, при отсутствии обеспечения надлежащей защиты, аналогично легко персональные данные могут попасть в руки злоумышленников. Утечка персональных данных грозит организации репутационными рисками, потерей лицензии на основной вид деятельности, несанкционированным использованием злоумышленниками, а также посягательством на личную жизнь или имущество человека. В работе реализуются меры по обеспечению безопасности ПДн при их обработке в информационных системах.

«Айболит» — сеть медицинских центров с собственной многопрофильной лабораторией. «Айболит» в течение 10 лет оказывает амбулаторно-поликлинические услуги населению Республики Татарстан и Республики Марий-Эл. Медицинское учреждение подключено к Государственной Интегрированной Системе Телекоммуникаций Республики Татарстан (ГИСТ РТ) для осуществления медицинских деятельности по системе ОМС. В медицинском центре персональные данные обрабатываются с помощью средств автоматизации и в бумажном виде. Доступ к ИСПДн и к бумажным носителям имеют только соответствующие сотрудники медицинского учреждения.

Для предотвращения несанкционированного доступа внутренними нарушителями организации необходимо с умом подходит к вопросу реализации защитных механизмов. Правильно разработанные организационно-технические меры снижают риск угрозы НСД внутренними нарушителями. Средствами для минимизации внутренних нарушений могут быть следующие меры: организация режимных мер, правильный подбор персонала, расстановка и профессиональная подготовка кадров, система разграничения доступа. К внутренним нарушителям ООО «Айболит» можно отнести:

  • Специалиста по информационному сопровождению, администратора ИСПДн (наличие доступа к линиям связи, к механизмам защиты ИСПДн и всему оборудованию медицинского центра) - категория I;
  • Программиста, администратора ИСПДн (наличие доступа к механизмам защиты ИСПДн, контроль разграничения прав доступа) - категория II;
  • Пользователь, который имеет доступ к ИСПДн для выполнения рабочих обязанностей - категория III;
  • Пользователь, не имеющий доступ в ИСПДн – категория IV;

В качестве внешнего нарушителя информационной безопасности рассматривается такой субъект, пребывание которого на территории является неправомерным. Такой нарушитель не имеет непосредственного доступа к ресурсам системы и техническим средствам. Вероятными нарушителями могут являться:

  • Криминальные структуры;
  • Конкурирующие организации;
  • Разведывательные службы иностранных государств;
  • Внешние субъекты;
  • Бывшие сотрудники.

Для предотвращения исходящих от внешних нарушителей угроз необходимо оборудовать периметр здания средствами видеонаблюдения.

Для обеспечения безопасности ИСПДн лечебно-профилактического учреждения принято решение внести следующие изменения:

  • Обеспечить каждое АРМ средством доверенной загрузки;
  • Обеспечить сетевую безопасность путем приобретения двух межсетевых экранов;
  • Обеспечить серверное помещение средствами первичного пожаротушения;
  • Обеспечить приобретение сканера уязвимостей;
  • Приобрести средство реагирования на инциденты и средство для их предотвращения;
  • Оборудовать средства видеонаблюдения периметра учреждения;
  • Провести ряд организационных мероприятий по обеспечению безопасности ПДн.
  • Разработка системы защиты персональных данных в соответствии с требованиями безопасности

В соответствии с установленными мерами по обеспечению безопасности персональных данных разрабатываемая система защиты для ИСПДн медицинского учреждения должна состоять из следующих компонентов:

  • подсистема разграничения и управления доступом субъектов к объектам доступа;
  • подсистема регистрации и учета;
  • подсистема анализа защищенности;
  • подсистема межсетевого экранирования;
  • подсистема организационных и технических мер.

Таблица 1. Перечень средств защиты информации

Название подсистемы

Средство защиты информации

Подсистема межсетевого экранирования

ПАК «Рубикон-К»

ПАК «Рубикон-К mini»

Средство защиты от НСД

Secret Net Studio 8.6

ПАК «Соболь 4.0»

Сканер уязвимостей

Max Patrol 8

Средства реагирования на инциденты

ПАК «Рубикон-К»

Средства предотвращения инцидентов

ПАК «Рубикон-К»

 

Изменённая сетевая инфраструктура лечебно-профилактического учреждения представлена на рисунке 1.

Рисунок 1. Сетевая инфраструктура лечебно-профилактического учреждения

В данной статье была разработана система защиты ИСПДн лечебно-профилактического учреждения ООО «Айболит». Разработана модель угроз ИСПДн, выявлен уровень защищенности ПДн, разработана системы защиты персональных данных с подбором сертифицированных ФСТЭК продуктов. Спроектированная защищенная ИСПДн соответствует требования 2-го уровня защищенности персональных данных. Перед внедрением для разработанной системы защиты необходимо провести аттестационные мероприятия.

Список литературы

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  3. Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  4. Приказ ФСТЭК России от 23.03.2017 № 49 «О внесении изменений в состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом федеральной службы по техническому и экспортному контролю от 18 февраля 2013г № 21»;
  5. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России от 15.02.2008 года;
  6. ГОСТ Р 56115-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования;
  7. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
Справка о публикации и препринт статьи
предоставляется сразу после оплаты
Прием материалов
c по
Осталось 3 дня до окончания
Размещение электронной версии
Загрузка материалов в elibrary
Публикация за 24 часа
Узнать подробнее
Акция
Cкидка 20% на размещение статьи, начиная со второй
Бонусная программа
Узнать подробнее