Разработка алгоритма анализа утечки персональных данных в медицинской организации

В настоящее время информационная безопасность является одной из наиболее актуальных тем современности, поскольку благодаря развитию и совершенствованию технологий возросло количество кибератак с целью хищения каких-либо данных, в том числе, персональных данных. Актуальным в такую эпоху становятся меры по защите персональных данных, в особенности, для тех организаций, которые работают с персональными данными клиентов. Таким образом, целью курсовой работы является разработка алгоритма анализа утечки персональных данных в медицинской организации на примере медицинской организации Инвитро. В соответствии с целью курсовой работы, определены и задачи: 1) определить риски информационной безопасности; 2) произвести анализ методики ФСТЭК; 3) представить характеристики медицинской организации и ее информационной системы; 4) описать хранение и обработку персональных данных в медицинской организации; 5) определить цели анализа риска; 6) произвести идентификацию персональных данных и хранилищ; 7) произвести оценку угроз безопасности персональных данных и определение уровня риска; 8) произвести оценку последствий риска утечки персональных данных ; 9) описать систему анализа утечки данных; 10) представить реализацию системы анализа утечки данных. Объектом исследования является медицинская организация Инвитро. Предметом исследования является утечка персональных данных в медицинской организации Инвитро. К основным методам исследования относят сбор, анализ и синтез полученной информации. Также в рамках разработки алгоритма использовался симплексный метод.

---

Самые быстрые дипломы у нас на сайте.

---

. Теоретическую основу курсовой работы составили исследования таких авторов, как Банди Б., Бачило И.Л., Ковалев А., Кубланов М.С., Леготкина Т.С., Расторгуев С.П., Сердюк В., Ванерке Р., Терещенко Л.К., Тиунов О.И., Фатьянов А. А., Шабуров А.С., Журилова Е.Е. и так далее. Структура курсовой работы представлена следующим образом: введение, первая глава, состоящая из двух параграфов, вторая глава, состоящая из шести параграфов, третья глава, состоящая из двух параграфов, заключение, список использованных источников.  

Таким образом, в настоящей курсовой работе была представлена разработка алгоритма анализа утечки персональных данных в медицинской организации на примере медицинской организации Инвитро. В рамках проводившегося исследования были решены следующие задачи. Были определены риски информационной безопасности. Была проанализирована нормативно-правовая база, а также исследования различных авторов, которые позволили сделать вывод, что из-за несовершенства информационной безопасности может произойти утечка каких-либо данных, например, конфиденциальных, представляющих собой государственную тайну, искажённых данных и так далее. Всё это требует повышения уровня информационной безопасности как на локальном уровне, так и на уровне отдельного государства и стран в целом. Был проведён анализ методики ФСТЭК. В рамках данной методики рассматривается анализ угроз информационной безопасности, приведена общая схема анализа угроз информационной безопасности. Были представлены характеристики медицинской организации и ее информационной системы. Было установлено, что Инвитро является одной из ведущих медицинских организаций на российском рынке, предоставляя широкий спектр лабораторных исследований и различных медицинских услуг. С недавнего времени в Инвитро была внедрена собственная информационная система, обрабатывающая и хранящая персональные данные клиентов. Были описаны хранение и обработка персональных данных в медицинской организации. Персональные данные клиентов хранятся в и информационной системе Инвитро, к которым существует доступ непосредственно у владельца персональных данных, а также к обработке его персональных данных допускается оператор персональных данных, который ответственен за недопущение утечки персональных данных клиента. Были определены цели анализа риска. Было отмечено, что в рамках анализа риска основными целями является, в первую очередь, недопущение возникновения данного риска, а также разработка предупредительных мер по минимизации риска. Была проведена идентификация персональных данных и хранилищ. Было установлено, что в медицинской организации Инвитро существует политика в отношении персональных данных, в рамках которой закреплены все необходимы данные по обработке, хранению и уничтожению персональных данных. Были произведены оценка угроз безопасности персональных данных и определение уровня риска. В рамках проведения данной оценки было установлено, что в настоящее время отсутствуют серьёзные риски утечки персональных данных в медицинской организации Инвитро. Была произведена оценка последствий риска утечки персональных данных. К последствиям возможно отнести ответственность разного уровня для ответственного за данную утечку лица: от дисциплинарной ответственности при незначительных ущербах до уголовной ответственности при значительных ущербах для организации. Была описана система анализа утечки данных. Было отмечено, что система анализа утечки данных строится на разделении по каналам утечки таким, как, например, интернет, мобильные устройства, бумажные носители и так далее. Была представлена реализация системы анализа утечки данных. В рамках данной системы анализа был использован симплексный метод. В рамках данного метода были выделены основные каналы утечки, которые представляют собой наибольшую угрозу, поскольку увеличиваются за анализируемый период. Таким образом, был разработан алгоритм, который может использоваться как медицинской организацией Инвитро, так и другими организациями для анализа утечки данных.

1. Федеральный закон "О федеральной службе безопасности" от 03.04.1995 N 40-ФЗ (последняя редакция) 2. Федеральный закон "О защите детей от информации, причиняющей вред их здоровью и развитию" от 29.12.2010 N 436-ФЗ (последняя редакция) 3. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (последняя редакция) 4. Закон РФ "О безопасности" от 05.03.1992 N 2446-1 (последняя редакция) 5. Закон РФ "О государственной тайне" от 21.07.1993 N 5485-1 (последняя редакция) 6. Указ Президента РФ от 5 декабря 2016 г. № 646 «Об Утверждении Доктрины информационной безопасности Российской Федерации» 7. Указ Президента РФ от 02.07.2021 N 400 "О Стратегии национальной безопасности Российской Федерации" 8. "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) 9. Банди Б. Основы линейного программирования: пер. с англ. – М.: Радио и связь, 1989. – 176 с. 10. Информационные ресурсы развития Российской Федерации: правовые проблемы / Отв. ред. И.Л. Бачило. М., 2003. С. 292. 11. Ковалев А. Функционал DLP: самое главное в системах защиты от утечек // Информационная безопасность. – 2012. – Вып. 4. [Электронный источник] – URL: http://www.itsec.ru/articles2/Oborandteh/ funktsional-dlp-samoe-glavnoe-v-sistemah-zaschity-ot-utechek/ (дата обращения: 01.06.2023). 12. Кубланов М.С. Математическое моделирование. Методология и методы разработки математических моделей механических систем и процессов: учеб. пособие. Ч. I: Моделирование систем и процессов. – 3-е изд., перераб. и доп. – М.: Изд-во МГТУ ГА, 2004. – 108 с. 13. Леготкина Т.С. Моделирование систем управления. Исследование нелинейных моделей: учеб.-метод. пособие. – Пермь: Изд-во Перм. гос. техн. ун-та, 2004. 14. Леготкина Т.С., Данилова С.А. Моделирование систем управления: учеб. пособие. – Пермь: Изд-во Перм. гос. техн. ун-та, 2008. 15. Основы теории и техники физического моделирования и эксперимента: учеб. пособие / Н.Ц. Гатапова, А.Н. Колиух, Н.В. Орлова, А.Ю. Орлов. – Тамбов, 2014. – 77 с. 16. Расторгуев С.П. Основы информационной безопасности: Учеб. пособие для студентов высших учебных заведений. 2-е изд. М., 2009. С. 19. 17. Сердюк В., Ванерке Р. DLP на страже информации // Информационная безопасность. – 2017. – Вып. 3. [Электронный источник]– URL: http://www.itsec.ru/articles2/dlp/dlp-na-strazhe-informatsii (дата обращения: 01.06.2023). 18. Терещенко Л.К., Тиунов О.И. Информационная безопасность органов исполнительной власти на современном этапе // Журнал российского права. 2015. № 8. С. 105-106. 19. Фатьянов А. А. Правовое обеспечение безопасности информации в Российской Федерации: Учеб. пособие. М., 2001. С. 31. 20. Шабуров А.С., Журилова Е.Е. О нормативно-правовых аспектах внедрения DLP-систем // Вестник УрФО. Безопасность в информационной сфере. – Челябинск, 2015. – No 3(17). – С. 37–41. 21. Шабуров А.С., Журилова Е.Е. Особенности реализации алгоритмов морфологического анализа в DLP-системах // Вестник УрФО. Безопасность в информационной сфере. – Челябинск, 2016. – No 2(20). – С. 23–28. 22. Шевченко В.Н., Золотых Н.Ю. Линейное и целочисленное линейное программирование. – Н. Новгород: Изд-во Нижегород. гос. ун-та им. Н.И. Лобачевского, 2004. – 154 с. 23. Шорохова И.С., Кисляк Н.В., Мариев О.С. Статистические методы анализа: учеб. пособие. – Екатеринбург: Изд-во Урал. ун-та, 2015. – 300 с. 24. Исследование утечек информации ограниченного доступа в 2020 году [Электронный источник] – URL: https://www.infowatch.ru/sites/default/files/analytics/files/InfoWatch_Мир_Утечки_2020_v.1.17.pdf (дата обращения: 01.06.2023) 25. Глобальное исследование утечек конфиденциальной информации в 2018 году [Электронный источник] – URL: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2018_year.pdf (дата обращения: 01.06.2023) 26. Утечки данных. Россия. 2019 год [Электронный источник] – URL: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2018_year.pdf (дата обращения: 01.06.2023) 27. Отчёт об исследовании утечек информации ограниченного доступа в I половине 2022 года [Электронный источник] – URL: https://www.infowatch.ru/sites/default/files/analytics/files/otchyot-ob-utechkakh-dannykh-za-1-polugodie-2022-goda_1.pdf (дата обращения: 01.06.2023) 28. Персональный сайт группы компаний Infowatch [Электронный источник]– URL: https://www.infowatch.ru/ analytics/reports (дата обращения: 01.06.2023). 29. «Инвитро» выводит на рынок первое собственное ПО для медицины и лабораторной диагностики [Электронный источник] – URL: https://www.invitro.ru/moscow/about/press_relizes/invitro-vyvodit-na-rynok-pervoe-sobstvennoe-po-dlya-meditsiny-i-laboratornoy-diagnostiki/?ysclid=lie1i2b462860282703 (дата обращения: 01.06.2023) 30. Политика в отношении персональных данных [Электронный источник] – URL: https://www.invitro.ru/legal-info/privacy-policy/ (дата обращения: 01.06.2023)