Разработка защиты персональных данных в медицинской организации
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
ВВЕДЕНИЕ
Повсеместная компьютеризация всех отраслей народного хозяйства, начавшаяся в XX веке продолжается и в наши дни. Создание информационных систем (ИС) повышает производительность труда любой организации, с любой формой собственности. Пользователи данной системы могут быстро получать данные необходимые для выполнения их служебных обязанностей. Однако у процесса компьютеризации есть и другая сторона: облегчение доступа к массивам и базам данных получают и злоумышленники. Обладая доступом к различным базам данных (БД), злоумышленники могут использовать их для вымогания денег, других ценных сведений, материальных ценностей и прочего.
Поэтому в наше цифровое время защита информации стоит как никогда остро. Чаще всего злоумышленников интересуют сведения, хранящиеся в БД государственных структур, таких как МВД, ФНС и прочих, а также подконтрольных им организациям, таким как учреждения здравоохранения, образования. Всё чаще и чаще в СМИ появляются статьи, на тему популярных SMS-мошенничеств. А ведь получив доступ к БД какой-нибудь медицинской организации, злоумышленник может шантажировать больного, либо его родственников, либо испортить ему репутацию, обнародую конфиденциальные сведения.
Защита персональных данных является актуальной темой в нашей стране, поскольку законодательная база существует менее 10 лет. В связи с тем, часто лица, ответственные за обработку персональных данных не знаю элементарных правил безопасности доверенной им информации. Поэтому на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы, но система обучения персонала.
Данная работа посвящена разработке комплексной системы безопасности персональных данных в медицинской организации.
1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
.1 Законодательные основы защиты ПД
В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее - ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ О персональных данных и принятых во исполнение его положений, нормативно-правовых актов и методических документов.
В силу требований указанного Федерального закона О персональных данных все информационные системы персональных данных (далее - ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 июля 2011 года.[1]
Другими нормативными актами, оказывающие правовое регулирование в области защиты персональных данных в медицинских организациях являются:
Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации.
Трудовой кодекс Российской Федерации (глава 14).
Федеральный закон Российской Федерации от 29 ноября 2010 г. №326-ФЗ Об обязательном медицинском страховании в Российской Федерации.
Постановление Правительства Российской Федерации от 4 октября 2010 г. № 782 О Программе государственных гарантий оказания гражданам Российской Федерации бесплатной медицинской помощи на 2011 год
Федеральный закон Российской Федерации от 01 апреля 1996. №27-ФЗ Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования.
Федеральный закон Российской Федерации от 28 марта 1998 №53-ФЗ О воинской обязанности.
Постановление Правительства РФ от 17 ноября 2007 г. №781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
Постановление Правительства РФ от 15 сентября 2008 г. №687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
Рассмотрим основные определения, используемые в законодательстве.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, с