Введение 4
1. Теоретические сведения о защите персональных данных 7
1.1. Телемедицина, законное закрепление статуса субъектов телемедицинской
деятельности 7
1.1.1. Приказ о назначении ответственных лиц за обработку ПДн 9
1.1.2. Обязательные технические мероприятия для ИСПДн 10
1.2. Федеральный закон 152 "О персональных данных" 10
1.3. Требования законодательства США в области здравоохранения (в целях
сравнения с подходом в РФ) 12
1.3.1. Поставщики облачных сервисов 13
1.3.2. Соглашения о бизнес-партнерстве 14
1.3.3. BAA и облачные сервисы 14
2. Сравнительный анализ требований к ПДн о состоянии здоровья 17
2.1. Классификация ПДн 17
2.2. Сравнение требований по безопасности к разным классам ПДн 19
2.3. Сокращения перечня требований по защите персональных данных 24
3. Схема реализации программного интерфейса 25
3.1. Маскирование персональных данных 25
3.2. Данные подлежащие маскированию 27
3.2.1. Процедуры и методы обезличивания 27
3.3. Обзор существующих решений 29
3.4. Реализации интерфейса 30
3.4.1. Реализация механизма маскирования 31
3.4.2. Схема реализации 32
3.4.3. Процесс получения информации медработником 33
3.5. Комплекс программного обеспечения для реализации системы 34
3.5.1. Реализация механизма на языке С# 34
3.5.2. Локальная база данных 35
3.5.3. Google Cloud Platform для создания БД в облачном сервисе 36
3.6. Описание пользовательского интерфейса 39
Заключение 41
Список литературы 42
Приложение
Информационная безопасность представляет собой комплекс задач, которые состоят из целого набора организационных и технических мер, программного обеспечения и так далее.
При надлежащем обеспечении информационной безопасности информационные ресурсы находятся в состоянии сохранности, а законные права человека (личности) и общества в информационной сфере в состоянии защищенности [1].
В настоящее время деятельность человека (информационная и деловая) постепенно переносится в направлении кибернетического пространства. Это означает, что происходит переход к «безбумажному» электронному развитию информационных технологий. Способ электронного обмена информацией интересен для рассмотрения и дальнейшего применения, так как он дешевле, быстрее и надежнее "бумажного".
Люди всё более активно входят в это цифровое пространство, поэтому мы можем наблюдать быстрый рост информационного обмена, который можно описать экспоненциальным законом.
Различные информационные процессы, которые происходят в современном мире, совместно с задачами эффективной обработки и передачи информации выдвигают на передний план очень важную задачу обеспечения безопасности информации. Это можно объяснить прежде всего особой значимостью для развития государства, его информационных ресурсов, также не стоит забывать о росте стоимости информации в условиях современного рынка. Также важность обеспечения информационной безопасности можно объяснить высокой уязвимостью информации и значительным ущербом в результате ее несанкционированного использования.
Почти для всех современных и развитых стран мира (в плане технологий) нарушения безопасности в системах, осуществляющих передачу и обработку информации, приводят к очень значительным потерям. Наибольшие потери наблюдаются у систем в области телекоммуникации, также у систем, которые обслуживают банковские и торговые учреждения. Например, в США фиксируются очень значительные убытки от проникновения в эти системы и дальнейшей утечки информации.
В данной работе мною будет рассмотрен вопрос безопасного хранения информации, которая содержит сведения о состоянии здоровья (как персональные данные), также будет продемонстрировано прикладное решение, которое будет учитывать дополнительные требования по безопасности к этим данным, возможность их хранения в облачном сервисе.
Это все относится к обеспечению конфиденциальности, целостности и доступности информации, а так как эти понятия главным образом относятся к обеспечению информационной безопасности, данная работа является актуальной.
Также актуальность данной работы заключается в следующем:
На сегодняшний день многие организации для хранения своих данных используют облачные сервисы, медицинские организации не стали исключением.
По защите персональных данных Российская Федерация предъявляет различные требования. Ввиду того, что эти требования не всегда выполняются, на территории России был, например, заблокирован сервис Linkedin.
Дело в том, что к данным о состоянии здоровья применяются дополнительные требования по безопасности (отдельный класс персональных данных), а так как в данной работе задача состоит в хранении этих данных облачном сервисе (зачастую используются сервисы, дата- центры которых находятся не на территории РФ), ситуация становится еще более интересной.
Цель работы:
Разработка программного интерфейса для обеспечения защищённого хранения персональных данных о здоровье клиентов медицинских организаций на основе облачного сервиса и маскирования для сокращения перечня требований по информационной безопасности.
Для достижения поставленной цели необходимо решить задачи:
1) Проанализировать требования по защите специальных категорий персональных данных (данные о здоровье);
2) Проанализировать целесообразность использования маскирования данных (изменение требований по защите персональных данных);
3) Разработать механизм маскирования данных при передаче их в облачные сервисы;
4) Рассмотреть и изучить облачный сервис Google Cloud Platform;
5) Реализовать прототип клиент-серверного приложения (клиент - рабочее место сотрудника, сервер - облачный сервис с маскированными данными).
В настоящей выпускной квалификационной работе:
1) Были проанализированы требования по защите специальных категорий персональных данных (данные о здоровье), в частности возможность хранения данных о здоровье в облачном сервисе, в рамках ФЗ №152 “О персональных данных”;
2) Был проведен анализ целесообразности использования маскирования данных (сокращение перечня требований по защите персональных данных). Было установлено, что в случае применения маскирования данных перед загрузкой в облачном сервисе, к ним предъявляются требования, относящиеся к классу К4, где перечень мероприятий определяется в зависимости от ущерба. Так как данные, относящиеся к К4 в случае ущерба, причиненного им, не приводят к негативным последствиям для субъекта ПДн, перечень мероприятий для соответствия требованиям не является существенным. Тем самым существенно сокращается перечень требований по защите ПДн и уменьшаются финансовые и трудозатраты на реализацию ИСПДн;
3) Была написана программа, реализующая выбранный механизм маскирования данных при их передаче в облачные сервисы на основе алгоритма хеширования - md4;
4) Был рассмотрен и изучен облачный сервис Google Cloud Platform для использования в качестве экспериментального стенда;
5) Был реализован прототип клиент-серверного приложения, клиентом выступает рабочее место сотрудника, а роль сервера выполняет облачный сервис с маскированными данными. Передача данных реализована с использованием разработанного программного интерфейса маскирования данных.
Помощь студентам и аспирантам в выполнении работ от наших партнеров
