УДК 61 Медицина. Охрана здоровья
ГРНТИ 76.35 Прочие отрасли медицины и здравоохранения
ОКСО 02.04.03 Математическое обеспечение и администрирование информационных систем
ББК 3297 Вычислительная техника
ББК 511 Социальная гигиена и организация здравоохранения
ТБК 51 Информатика. Вычислительная техника
BISAC COM023000 Educational Software
BISAC COM032000 Information Technology
В статье рассмотрены особенности развития защиты персональных данных. Проанализированы изменения нормативно-правовой базы в отношении защиты персональных данных в учреждениях здравоохранения. Выявлена и обоснована необходимость применения комплексного подхода к вопросу защиты персональных данных, а также предложен программный комплекс, который позволит предотвратить утечку персональных данных
Информационная безопасность, контроль полномочий доступа, информационные ресурсы, аудит информационной безопасности, биометрические персональные данные, медицинская информационная система, защита персональных данных
Для того, чтобы оценить все особенности защиты персональных данных с точки зрения формирования из отдельных медицинских информационных систем единого государственного информационного портала, необходимо рассмотреть основную законодательную практику, предусмотренную в Российской Федерации с учетом последних изменений.
В качестве основного нормативно-правового документа, регламентирующего защиту персональных данных, можно назвать Федеральный закон № 152 ФЗ «О персональных данных» от 27.07.2006 с учетом всех принятых позднее изменений и дополнений. В этом законе не только дается понятие о персональных данных, но и регулируются возможные, в том числе в медицинском учреждении, отношения по сбору, обработке и хранению информации, связанной с субъектами персональных данных [1].
Согласно данному закону, к персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, идентификационные данные документов (паспорт, СНИЛС и т. п.), семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. При этом под обработкой персональных данных понимаются такие действия с ними, как систематизация, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, а также уничтожение данных. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [1]. В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
К биометрическим персональным данным можно отнести:
- отпечатки пальцев,
- отпечатки ладони,
- образ лица,
- радужная оболочка глаз,
- особенности строения тела, отдельных органов и тканей,
- состояние психического здоровья,
- рост,
- вес,
- фотография и видеозапись.
Биометрические данные должны быть защищены, потому что эта информация не может быть заменена. С помощью современных технологий и технологий будущего право на частную жизнь будет нарушено, если биометрические данные не будут защищены.
Вопросы организации и защиты биометрических персональных данных регламентируются следующими нормативными и правовыми документами:
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;
- Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ;
- Федеральный закон 149-ФЗ «Об информации, информационных технологиях и защите информации»;
- Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ;
- Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность.
В Постановлении Правительства Российской Федерации от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» № 1119 уже строго прописываются требования, направленные на обеспечение информационной безопасности. Согласно этому Постановлению, защищенная система представляет собой информационную среду, обрабатывающую специальные категории персональных данных, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных [2].
В тексте положения устанавливаются требования к обеспечению безопасности персональных данных при их обработке в защищенной сети с помощью систем защиты персональных данных, среди которых можно выделить следующие группы мероприятий:
- организационные меры;
- средства защиты информации (в том числе и шифровальные средства);
- средства предотвращения несанкционированного доступа;
- средства предотвращения утечки информации по техническим каналам;
- программно-технические воздействия на технические средства обработки персональных данных.
Экспертно-аналитический центр ГК InfoWatch 4 августа 2020 года опубликовал исследование, посвященное изучению случаев утечек конфиденциальной информации, в том числе утечке персональных данных. За первое полугодие 2020 года зафиксировано 72 случая преднамеренной или случайной утечки в мире и 25 - в России. В результате всех выявленных утечек скомпрометированы персональные данные 3,43 млн человек в мире и 35,5 тыс. в России.
Исследование показало, пиковым месяцем по компрометации конфиденциальной информации стал апрель 2020 года, как в глобальном, так и в российском масштабе и в большой степени они касались компрометации данных пациентов с коронавирусом. Практически половина всех случаев, связанных с COVID-19 в мире произошла из медицинских учреждений, на их долю пришлось более 43% всех утечек по теме COVID-19.
Анализ инцидентов за первое полугодие 2020 года показал, что сфера здравоохранения не смогла обеспечить защиту основополагающего артефакта цифровой эпохи – персональных данных граждан, включая защищаемую законом информацию о состоянии здоровья. При этом утечки информации о пациентах и о контактных лицах, наносили весьма серьезный удар по людям. В «лучшем» случае жертв утечки ожидало назойливое внимание соседей и земляков, в худшем – заболевшие граждане и лица с подозрением на коронавирус становились объектами травли и преследований.
На основе представленной статистики, можно сделать вывод о том, что медицинские информационные системы нуждаются в качественном аудите информационной безопасности и реализации полного комплекса мер, направленных прежде всего на защиту биометрических персональных данных граждан.
Для оптимальной защиты персональных данных в медицинских информационных системах был разработан программный комплекс, который позволит в режиме реального времени определять слабые места в системе защиты информации, осуществлять удаленный контроль полномочий доступа к информационным ресурсам, сравнивать структуры ресурсов автоматизированных рабочих мест, описанной в правилах разграничения доступа, с реальной структурой ресурсов, создавать отчет по результатам сравнения и проверять реальные права доступа пользователей к объектам доступа (рис. 1).
Рисунок 1 Рабочее окно программного комплекса контроля доступа
к объектам станций.
Проведенный анализ показывает, что биометрические персональные данные, которые используются для цифровой идентификации граждан и создания цифровой личности граждан, не обеспечивают полной защиты информации о субъекте. Как показано, в настоящее время существуют способы, которые позволяют обходить методы биометрической защиты, поэтому возникает актуальная задача разработки новых способов и методов идентификации гражданина и создания новых методов защиты персональных данных. В данной статье представлен программный комплекс, который в режиме реального времени способен определить несанкционированную попытку проникновения в медицинскую информационную систему.
1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных».
2. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. М.: ИД «ФОРУМ»: ИНФРА-М. 2008.
4. Лукацкий А.В. Обнаружение атак. СПб: БХВ-Петербург. 2003.
5. Исаев Г.Н. Проектирование информационных систем. Учебное пособие. М.: Омега-Л, 2015. 216 с.
6. Максимова, Н.В. Современные информационные технологии: Учебное пособие / Н.В. Максимова, Т.Л. Партыка, И.И. Попова. М.: ФОРУМ, 2008. 512с
