Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Аппаратные средства – различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации [3, 12].

Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации [11, 37].

Отдельную группу формальных средств защиты составляют криптографические средства, они реализованы в виде программных, аппаратных и программно-аппаратных средств защиты [49]. Криптография связана с шифрованием и расшифровыванием конфиденциальных данных в каналах коммуникаций. Она также применяется для того, чтобы исключить возможность искажения информации или подтвердить ее происхождение.

Организационные средства – организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации [17].

Законодательные средства – нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего

может быть нарушение ее защищенности [33, 34].

Психологические (морально – этические средства) – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе [46].

1.7 Сущность аудита информационной безопасности персональных данных

На сегодняшний день автоматизированные системы играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование автоматизированных систем для хранения, обработки и передачи персональных данных приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Аудит информационной безопасности является одним из важнейших организационных мероприятий в области защиты информации (информационной безопасности) и представляет собой наиболее актуальное и динамично развивающееся направление в области защиты информационных систем [19].

Аудит информационной безопасности систем, обрабатывающих персональные данные - независимое исследование состояния систем, обрабатывающих персональные данные, определения её адекватности существующим рискам, связанным с осуществлением угроз безопасности, соответствия ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению [35].

Аудитор (эксперт) – лицо, обладающее компетентностью для

проведения аудита соответствия требованиям. Аудитор может быть как работником медицинского информационно – аналитического центра, так и сторонним лицом, действующим на основании договора [19].

Целью проведения аудита систем, обрабатывающих персональные данные является оценка соответствия систем, обрабатывающих персональные данные требованиям перечисленных документов.

Аудит позволяет оценить текущее состояние системы защиты персональных данных и получить рекомендации по устранению несоответствий [15].

Для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов.

Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки [40].

Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности автоматизированной системы. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей статьи.

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении автоматизированной системы, информацию о средствах защиты системы.

1.8 Этапы проведения аудита

Проведение аудита информационной безопасности систем, обрабатывающих персональные данные включает в себя следующие этапы [19,35]:

• анализ текущей организационно-распорядительной документации;

• анализ текущей технической документации;

• обследование систем, обрабатывающих персональные данные;

• разработка рекомендаций по укреплению информационной безопасности приведению систем, обрабатывающих персональные данные.

Аудит информационной безопасности систем, обрабатывающих персональные данные по разработанной методике рекомендуется проводить не реже одного раза в год, а также перед проверками на защищенность персональных данных в организации органами государственного контроля и надзора [21,35].

После завершения аудита аудиторской организацией составляется перечень недостатков систем, обрабатывающих персональные данные и рекомендаций по их устранению. Данные рекомендации должны быть выполнены в установленный срок по соглашению Заказчика и руководителя аудиторской группы, после чего рекомендуется повторное проведение аудита по данной методике. Предложенная в работе методика аудита информационной безопасности систем, участвующих в обработке персональных данных, позволяет снизить потенциальные риски и защитить персональные данные граждан [30].

2 Принципы и условия обработки, хранения, передачи персональных данных в КГБУЗ «Детская городская поликлиника №1»

2.1 Общая характеристика КГБУЗ «Детская городская поликлиника №1»

История оказания медицинской помощи населению Центрального района начинается с 1925 года. 21 апреля 1925 г была открыта Центральная детско - женская консультация. В 1928 году консультация была переведена в большее помещение (Запарина,51) с постоянно действующей выставкой предметов ухода за ребенком [55].

С октября 1928 года, при консультации организована работа совета социальной помощи и юридическая консультация, в ноябре была открыта молочная кухня. В 1933 года на улице Дзержинского-89 открылась Детская амбулатория с пунктом охраны здоровья детей и подростков. 17 апреля 1937 года переименована в Детскую поликлинику. 05 января 1942 года решением Исполнительного комитета Хабаровского Совета депутатов трудящихся были объединены Детская поликлиника и детское отделение консультации центрального района, поликлиника расположилась на Дзержинского, 108. Был введен участковый принцип обслуживания. Кроме участковых врачей в поликлинике вели прием хирург, отоларинголог, дерматолог, окулист.

Поликлинику на протяжении 30 лет возглавляла Титова Евгения Михайловна, под руководством которой поликлиника являлась школой передового опыта.

01 января 1949 года решением Исполнительного комитета Детская поликлиника и молочная кухня объединена с Детской больницей им. Истомина. Детская поликлиника входила в объединение детской больницы им. Истомина с 1949 по 1989 гг.

01 февраля 1989 года решением исполнительного комитета Хабаровска детская поликлиника больницы имени Истомина по улице Льва Толстого,7 выделена в самостоятельную детскую поликлинику № 1 с предоставлением прав и обязанностей юридического лица и финансированием из бюджета Центрального района (рисунке 2.1).

Рисунок 2.1 - КГБУЗ «Детская городская поликлиника №1»

Главным врачом была назначена Филиппова Галина Ивановна.

С 01 января 1993 года «Детскую поликлинику № 1» зарегистрировали как Муниципальное медицинское учреждение «Детская поликлиника № 1» (Постановление главы администрации г. Хабаровска №20 от 10.01.1993 г) [11].

В период ее работы были сформированы два педиатрических отделения, отделение узких специалистов, физиотерапевтическое отделение, рентген-кабинет, отделение профилактики и реабилитации, клинико-диагностическая лаборатория, дошкольно-школьное отделение, отделение восстановительного лечения, кабинеты функциональной диагностики и ультразвуковой диагностики. Функционировал бассейн для обучения плаванию детей раннего возраста [50].

В апреле 2001 года на базе поликлиники создан «Городской центр вакцинопрофилактики».

С 01 сентября 2005 года в рамках субгранта, выделяемого американским советом по международным исследованиям и обменам (АЙРЕКС) началась работа по проекту «Так не бывает на свете, чтоб были потеряны дети». Целью проекта было создание в поликлинике новой службы – ранней помощи, в результате создано отделение реабилитации.

На протяжении многих лет поликлиника является клинической базой Института повышения квалификации специалистов здравоохранения, Дальневосточного государственного медицинского университета, Хабаровского государственного медицинского колледжа.

С мая 2007 года главным врачом назначена Андрюшкина Е.Н.

В 2010 году учреждение признано лучшим муниципальным медицинским учреждением по оказанию помощи детям.

В 2013 году учреждение заняло третье место в конкурсе «Признание» и номинации « Лучшая медицинская организация Хабаровского края».

По результатам независимой оценки поликлиник регионов Российской Федерации в 2015 году поликлиника вошла в десятку лучших учреждений и стала первой среди детских поликлиник Хабаровского края [55].

Сотрудники поликлиники неоднократно становились призерами краевого конкурса «Признание»: эндокринолог Апелессова Н.В., заведующий рентгенологическим кабинетом Карлов С.П., заведующая отделением профилактики и абилитации Бережанская Е.В., старшая медицинская сестра Курненкова О.Б.

Четыре сотрудника награждены знаком «Отличник здравоохранения».

В настоящее время поликлиника оснащена всем необходимым оборудованием для оказания педиатрической помощи первичного звена здравоохранения. Соответствует всем требованиям информатизации здравоохранения, с возможностью записаться через интернет (рисунок 2.2) [50].

Рисунок 2.2 - Интерфейс сайта КГБУЗ «Детская городская поликлиника №1»

Первичная медико-санитарная помощь, оказывается, по двадцати пяти специальностям.

Работа поликлиники регламентирована основами законодательства РФ, постановлением губернатора Хабаровского края, постановлениями Мэра г. Хабаровска, Уставом поликлиники, ведомственными нормативными актами. Деятельность лицензирована.

Целью создания Учреждения является оказание населению медицинской помощи в условиях поли­клиники и на дому [55].

2.2 Принципы и условия обработки персональных данных в КГБУЗ «Детская городская поликлиника №1»

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных [5,47].

Принципы и условия обработки персональных данных соответствуют Федеральному закону «О персональных данных» от 27.07.2006 №152 [5].

Обработка персональных данных в КГБУЗ «Детская городская поликлиника №1» осуществляется на основе принципов [14,22]:

• законности целей и способов обработки персональных данных и добросовестности;

• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных [51];

• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Обработка персональных данных допускается в соответствии с следующими условиями [47]:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных [5];

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

• обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве [39];

• обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по

которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно [10];

• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

• обработка персональных данных осуществляется в статистических или иных исследовательских целях [43];

• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.3 Условия хранения, обработки и передачи персональных данных в КГБУЗ «Детская городская поликлиника №1»

Условия хранения, обработки и передачи персональных данных осуществляется в соответствии со следующими нормативно - правовыми документами [12,17]:

• Конституция Российской Федерации от 21 июля 2014 года № 11;

• Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

• Федеральный закон от 21 июля 2014 года № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;

• Трудовой кодекс Российской Федерации от 1 января 2017 № 197.

2.3.1 Персональные данные сотрудников

К персональным данным работника, необходимым работодателю в

связи с трудовыми отношениями относятся:

• сведения об образовании;

• сведения о предыдущем месте работы, опыте работы и занимаемой должности;

• сведения о составе семьи и наличии иждивенцев;

• сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);

• сведения об отношении к воинской обязанности.

Все документы и материалы, содержащие персональные данные работника, в своей совокупности образуют его личное дело [4, 14]. В него помещаются заявление работника о приеме на работу, его анкета, копии документов об образовании, квалификации, приказ (распоряжение) о принятии на работу, экземпляр трудового договора, все предусмотренные нормативными актами стандартные унифицированные формы первичной учетной документации по

Характеристики

Список файлов ВКР