Ростов-на-Дону
2021
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.. 3
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.. 4
ВВЕДЕНИЕ. 5
1. ИСХОДНЫЕ ДАННЫЕ. 8
1.1. Общая характеристика организации. 8
1.2 Информационная инфраструктура организации. 10
1.3 Основные модули, присущие большинству МИС: 11
1.4 Характеристика информационных потоков. 15
2. МОДЕЛЬ УГРОЗ. 20
2.1 Общие положения. 20
2.2 Описание систем и сетей и их характеристика, как объектов защиты.. 21
2.3 Возможные негативные последствия от реализации угроз безопасности информации. 21
2.4 Возможные объекты воздействия угроз безопасности информации. 23
2.5 Источники угроз безопасности информации. 25
2.6 Основные способы реализации угроз информационной безопасности. 27
2.7 Актуальные угрозы ИБ МИС.. 29
3. ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ.. 31
3.1 Способы усиления защиты сведений в информационных системах медицинских организаций. 31
3.2 Разработка мероприятий по обеспечению конфиденциального документооборота. 33
3.3 Оценка соответствия требованиям контролирующих органов. 36
ЗАКЛЮЧЕНИЕ. 38
СПИСОК ЛИТЕРАТУРЫ.. 40
ПРИЛОЖЕНИЯ.. 42
ФСТЭК России - Федеральная служба по техническому и экспортному контролю.
Типовое лечебно-профилактическое учреждение (ЛПУ)– самостоятельное учреждение здравоохранения, предназначенное для оказания различных видов медицинской помощи населению. К ЛПУ относятся: больничные учреждения, дома (отделения) сестринского ухода, центры по профилактике СПИДа, диспансеры (лечебницы),
амбулаторнополиклинические учреждения, учреждения скорой медицинской помощи, учреждения охраны материнства и детства, санаторно-курортные учреждения, диагностические центры.
вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных;
информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действие, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных;
технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация;
Цифровизация в сфере здравоохранения повышает эффективность оказания медицинских услуг. Электронный документооборот в медучреждениях облегчает ведение учета, выводит качество обработки и хранения данных на новый уровень, повышает эффективность контроля за оказанными медицинскими услугами, распределением финансовых ресурсов и т. д. Но такая цифровизация имеет и обратную сторону — повышаются риски нарушения информационной безопасности, когда информация из электронных баз данных больниц и клиник используют в корыстных целях. В сфере здравоохранения эти риски особенно велики.
Многие данные в медучреждениях попадают в категорию врачебной тайны, здесь же хранятся персональные данные, причем как клиентов, так и сотрудников. Сведения о состоянии здоровья — одни из самых интимных, их разглашение может привести ко многим негативным последствиям.
Информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев.
Если кто-то получит доступ к такой информации и захочет использовать ее для своих личных выгод, он сможет причинить ощутимый вред людям. Например, хакеры могут продавать украденные данные на черном рынке или использовать их в мошеннических целях, а также шантажировать организации, допустившие утечку данных.
Актуальность защиты документооборота в сфере здравохранения, а если быть точнее – в муниципальных поликлиниках, очень высока. Люди продолжают пользоваться услугами поликлиник.
В 2020 году средний размер убытков медицинских учреждений от утечек данных составил $7,13 млн, увеличившись на 10,5% в сравнении с предыдущим годом. Об этом свидетельствуют данные компании Varonis, специализирующейся на информационной безопасности.
По словам экспертов, атаки на организации здравоохранения в 2020 году приобрели беспрецедентный размах: сотни больниц оказались жертвами программ-вымогателей Maze и Ryuk, компании превратились в мишени для независимых хакерских группировок и профессиональных команд. Хакеры преследовали различные цели — от вымогательства до кражи результатов исследований COVID-19. Также росла инсайдерская угроза, которая в сочетании с человеческими ошибками стала причиной массовых утечек конфиденциальных данных.
Поэтому уровень информационной безопасности в каждом медицинском учреждении просто обязан быть самым высоким, защита данных — надежной, а подход к работе с данными, их хранению и обработке должен быть проработанным до самых мелочей.
Цель: обеспечить защиту конфиденциального документооборота муниципальной поликлиники
Следовательно, в данной курсовой работы мы должны:
Делая вывод из всего вышенаписанного, можно считать, что главной проблемой являются угрозы, которые реализованы в ИСПДн. Под угрозу, следовательно, становятся и персональные данные.
Критичными активами информационной системы медицинского учреждения являются:
• информация в БД СУБД;
• ресурсы файлового сервера ЛПУ;
• резервные копии БД СУБД и архивные копии ресурсов фай-
лового сервера;
• управляющая информация операционной системы, СУБД,
АРМов администратора МИС и администратора ИБ;
• технологический процесс сбора, обработки, хранения и пе-
редачи информации в МИС;
• аппаратно-программный комплекс, обеспечивающий работу
МИС.
Ужесточающиеся законы и требования к мерам по недопущению потери конфиденциальных данных в сфере здравохранения сводят практически к нулю возможность возникновения каких-либо угроз. Но сфера IT развивается так же быстро. Поэтому современным поликлиникам требуется постоянно обновлять требования, применяемые как в организационной, так и в технической части.
Следовательно, можем вывести общие параметры для организации работы муниципальных поликлиник: