Разработка защиты персональных данных в медицинской организации
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
итализацию и прочие сведения, относящиеся к понятию история болезни)[7].
Организация карт может отличаться в различных учреждениях, и для ускорения поиска используется индексацию по номеру карты, либо по фамилии. Также возможны вложенные виды индексаций, например, по заболеванию и номеру карты, либо по месту жительства и фамилии.
БД, хранящиеся в ЭВМ, могут весьма разнообразны, поскольку требуется наиболее детально осветить различные аспекты деятельности предприятия. Существенным отличием от бумажного аналога является скорость доступа и объём сведений получаемым при автоматизированной обработке БД. Поэтому для защиты информации в БД, а также уменьшения занимаемого места на диске, используют:
Сегментацию. Физическая или логическая сегментация БД в ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в которых происходит автоматизированная обработка персональных данных. Иллюстрация приведена на рисунке 2.7.
Рисунок 2.7 - Сегментация БД
Обезличивание. Введение в процесс обработки персональных данных процедуры обезличивания существенно упростит задачи по защите персональных данных. Обезличивание можно провести путем нормализации баз данных, либо кодированием, либо шифрованием (рисунок 2.8).
IDФамилияИмяОтчествоДата рожденияПол1ИвановИванИванович01.01.2011м
IDФамилияИмяОтчествоДата рожденияПол1ВнвиаоАивнИванович01.01.2011мРисунок 2.8 - Обезличивание таблицы путём шифрования.
Разделение ПДн на части. В этом случае возможно уменьшение количества субъектов ПДн, обрабатываемых в системе. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных.
Абстрагирование ПДн. Зачастую на некоторых участках обработки или сегментах сети персональные данные можно сделать менее точными, например, путем группирования общих характеристик[1].
IDФамилияИмяОтчествоДата рожденияПол1ИвановИванИванович01.01.2011м2ПетровИванИванович02.02.2010м
IDФамилияИмяОтчествоВозрастПол1ИвановИванИвановичменьше 18м2ПетровИванИвановичменьше 18мРисунок 2.9 - Абстрагирование ПДн
БД лечебного учреждения создаются и используются несколькими типами программ:Office Access 2003, либо Microsoft Office Access 2007 (данные хранятся в формате mdb, реже accdb);Office Excel 2003, либо Microsoft Office Excel 2007 (данные хранятся в формате xls);
Программы предоставляемые ПК МИАЦ (Регистратура, Статистика, Стационар клиенты к СУБД, использующие ядро BDE с навигационным доступом, данные хранятся в формате dbf);
Достоинства данных СУБД:
быстрота разработки;
совместимость с большинством ПЭВМ под управлением ОС Windows
Недостатки:
отсутствие защиты, либо низкая защита данных;
проблемы с многопользовательским доступом (для xls, dbf более 2, для mdb более 5 пользователей);
низкая скорость работы с большим объёмом данных;
циркуляция большого объёма данных в сети при многопользовательском доступе;
Рассмотрим пример, БД, созданная в MS Access, c 12 полями и 10000 записями занимает дискового пространства около 111 МБ. Данная БД храниться на сервере и 3 пользователя начинают работать с ней одновременно. При каждом выполненном действии, пользователю направляется копия БД с изменениями других пользователей. В итоге получается циркуляция в сети трафика на 333 МБ и, если оборудование не справляется, возникает отказ в обслуживании санкционированных пользователей. Иллюстрация приведена на рисунке 2.10.
Рисунок 2.10 - Проблемы доступа к БД с помощью MS Access, BDE
Где чёрная стрелка означает выполнение действия с БД (открытие базы, вставка, сортировка, удаление и т.д.), красная - пересылка всей БД с изменениями.
Рассмотрев БД лечебного подразделения, перейдём к бухгалтерии и кадрам. ПДн в данном подразделении можно разделить на два типа: ПДн сотрудников и контрагентов, взаимодействующих с предприятием по договорам. Основными сведениями о работниках предприятия, подлежащими защите являются:
фамилия, имя, отчество;
место, год и дата рождения;
адрес по прописке;
паспортные данные (серия, номер паспорта, кем и когда выдан);
информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
информация о трудовой деятельности до приема на работу;
информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
адрес проживания (реальный);
телефонный номер (домашний, рабочий, мобильный);
семейное положение и состав семьи (муж/жена, дети);
информация о знании иностранных языков;
форма допуска;
оклад;
данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
ИНН;
данные об аттестации работник