Что из нижеследующего является биометрической техникой для обеспечения информационной безопасности

Обновлено: 07.07.2024

Медицинские государственные структуры и коммерческие организации ежедневно имеют доступ к большому объему персональных данных, включая дату рождения, имя и фамилию пациентов и персонала, семейное положение. Особенно остро стоит вопрос безопасности перед медицинскими учреждениями, где собираются и хранятся такие данные, как диагнозы, результаты исследований, истории болезней. Внедрение новых технологий в области здравоохранения повышает вероятность утечки и кражи информации. Как защитить данные, перспективы информационной безопасности и методы ее усиления будут рассмотрены в этой статье.

Специфика информационной защиты в медицинских учреждениях

Многие данные в медицинских организациях попадают в категорию врачебной тайны. В их числе личные сведения о сотрудниках и клиентах. Разглашение информации о состоянии здоровья может вызвать последствия. Хакеры используют украденные данные в мошеннических целях, продают на черном рынке или шантажируют организации, которые допустили утечку.

Специфика работы с медицинской информацией определяет объем работ в части обеспечения информационной безопасности:

  • все сведения находятся в полном распоряжении пациента;
  • обработка документов должна выполняться оперативно;
  • разные части медицинской информации обрабатываются разными специалистами, включая лаборантов, медицинских сестер, врачей, регистраторов;
  • деление информации на персональные и статистические данные, сведения о ходе лечения;
  • регламент взаимодействия медицинских сотрудников, пациентов и доверенных лиц не установлен.

Количество инструментов, позволяющих отслеживать данные о состоянии пациентов, резко увеличилось за последние несколько лет. Это стало возможным благодаря развитию облачных технологий, мобильных устройств и возможности хранения массивов данных онлайн.

Существенно повысили качество обслуживания пациентов и мобильные медицинские технологии. Пользователи получили возможность узнавать больше информации о своем организме, и, соответственно, лучше заботиться о здоровье. При этом затраты со стороны медицинских организаций сокращаются. Но в медучреждениях должны понимать, как и где хранится информация, генерируемая гаджетами.

Развитие перечисленных технологий стимулирует также обмен медицинскими данными для проведения клинических исследований. Пациенты могут дать согласие на отправку информации для последующих анализов, врачи – обмениваться данными, например, генетическими исследованиями. Но отрасли здравоохранении еще предстоит заслужить доверие пациентов.

Врачи констатируют необходимость интеграции медицинского оборудования в единую компьютеризированную сеть. Существует несколько запатентованных систем от разных поставщиков, но они не могут взаимодействовать друг с другом, а это создает сложности в уходе за пациентами. Если медицинские приборы не обмениваются измерениями, персонал медучреждения не может оценить состояние пациента комплексно, что создает значительные неудобства. Интеграция и поддержка локальной сети дадут возможность скоординировать работу медицинских приборов и информационных систем, в особенности, при взаимодействии с электронной медицинской карточкой.

Вероятные угрозы

Хищение медицинских данных чревато следующими последствиями:

  • медицинские карты используются на черном рынке для получения медицинской помощи незастрахованными лицами;
  • в карту могут быть внесены сведения вора, в результате пациент рискует получить помощь, основанную на чужой истории болезни, группе крови, непереносимости и аллергической реакции;
  • мошенники могут исчерпать страховой лимит, и законный владелец лишится возможности получать медицинскую помощь в самое неподходящее время. Большинство страховых планов имеют ограничения на отдельные виды услуг. Например, страховая компания откажется оплачивать два оперативных вмешательства по удалению аппендицита;
  • получив доступ к данным пациента, мошенники могут злоупотреблять рецептами на лекарства, лишив этой возможности владельца карты. Рецепты, как правило, лимитированные;
  • если с устранением массовых кибератак на банковские карты проблемы не возникают, то защита от фишинговых атак потребует больших усилий. Кража электронной медицинской карты может и вовсе остаться незамеченной. И если этот факт обнаруживается, то, как правило, в ситуациях, когда последствия угрожают жизни.

Уязвимость информационных систем в медучреждениях

Существует вероятность возникновения следующих нарушений информационной безопасности:

  • получение неправомерного доступа к информации, другими словами, нарушение конфиденциальности;
  • утрата сведений, вызванная разрушением носителя информации или стиранием данных;
  • внесение изменений при прямом доступе к базе данных или через интерфейс системы;
  • отказ функционала, связанный с получением доступа к информации;
  • получение доступа к базе данных – полное или частичное;
  • некорректное функционирование информационной системы вследствие несанкционированного изменения модулей.

Способы усиления защиты сведений в информационных системах медицинских организаций

Построение системы защиты может выполняться в несколько этапов:

  • собираются сведения о существующих информационных системах персональных сведений;
  • моделируются угрозы безопасности;
  • разрабатываются технические задания;
  • проектируется система защиты информации;
  • разрабатывается организационно-распорядительная документация, которая регламентирует процессы обработки и защиты сведений;
  • поставляются, устанавливаются и настраиваются средства защиты информации;
  • проводится аттестация информационных систем сведений, согласно требованиям безопасности.

К объектам защиты медицинской информационной системы относят:

  • сведения в базе данных;
  • резервные и архивные копии сервера;
  • целевые данные администратора и начальника;
  • средства обеспечения функционирования медицинской информационной системы;
  • обработка информации в медучреждении – сбор, хранение, передача;
  • производительность файлового сервера.

С целью защиты данных пациента применяются несколько программных компонентов и механизмов. Для предотвращения несанкционированного доступа развертываются средства авторизации, внедряются системы обнаружения и предотвращения вторжений, а также утечек информации. Может устанавливаться антивирусное программное обеспечение. Существует успешная практика использования файерволов.

К криптографическим средствам защиты относят алгоритмы шифрования данных и внедрение электронной цифровой подписи. Системы аутентификации предполагают внедрение защиты с паролем, подпись сертификатами и открытие доступа по биометрическим данным.

Инструментальные средства анализа предполагают внедрение программного обеспечения для проведения мониторинга. К техническим относят комплексное внедрение технических средств защиты. Система бесперебойного питания предполагает установку, обслуживание источников бесперебойного питания, установку генераторов напряжения и резервирование нагрузки.

С целью предотвращения взлома и краж используются специальные средства, включая электронные ключи и смарт-карты. Эти технологии позволяют повысить уровень защиты информационной системы на этапе аутентификации.

Перечень технических мер защиты

Есть и другие способы обеспечения безопасности, которые не относятся к медицинской информационной системе напрямую. Такие меры предполагают выполнение персоналом некоторых регламентов по работе с системой:

  • организация охраны помещения, работы с документацией, сотрудниками. Использование технических средств и информационно-аналитической деятельности с целью выявления угроз – внутренних и внешних;
  • исключение проникновения на территорию и в здание злоумышленников;
  • организация работы с сотрудниками в части доступа к информации;
  • обеспечение правильной работы с документами и документированными сведениями;
  • задействование технических средств по сбору, накоплению, обработке и хранению конфиденциальных данных;
  • организация работы по анализу угроз конфиденциальных сведений – внутренних и внешних;
  • организация работы по выполнению контроля над работой сотрудников с информацией.

Все эти пункты можно автоматизировать с помощью решения БИТ.Управление медицинским центром.

Также внедряются и специализированные средства контроля доступа в помещение. Это могут быть:

  • исполнительные устройства, включая кабины, турникеты, шлагбаумы;
  • кардридеры, считывающие информацию;
  • панели для введения кода с помощью клавиатуры;
  • концентраторы и контроллеры;
  • средства идентификации, включая брелоки, карты и биометрию;
  • индивидуальное программное обеспечение.

Подведение итогов

Безопасность данных должны быть реализована на всех уровнях работы медицинской информационной системы:

  • сведения о пациентах;
  • данные о персонале;
  • информация о медучреждении;
  • сведения о системе здравоохранения, как в государственных, так и в частных организациях.

Привлекательность медицинских центров для киберпреступников объясняется тем, что их информационные системы содержат различную конфиденциальную информацию, включая личные данные пациентов, номера банковских карт (кредитных, дебетовых), медицинские сведения.

Если система безопасности функционирует правильно, можно говорить о выполнении в полной мере всех ее функций. Медицинские учреждения выступают операторами персональных данных, а это означает, что обеспечение безопасности входит в зону их ответственности. Процесс перехода от бумажных носителей к электронным показывает, что далеко не все организации могут уделять должное внимание информационной безопасности, так как требуется увеличение расходов. Денежные средства должны быть направлены на установку и обслуживание систем защиты информации, обучение персонала, наем квалифицированных специалистов.

Усовершенствование Единой государственной информационной системы в сфере здравоохранения должно решить эту проблему. Она состоит из региональных информационных систем управления здравоохранением. В рамках программы проводится обеспечение медицинских организаций техникой, создание норм электронного документооборота между медицинскими организациями. Ее положения регламентируют, какая часть данных сервиса может быть предоставлена и кому, что позволит сократить частоту утечек.

Подключение к ЕГИСЗ

Готовое решение для интеграции частной или государственной клиники к сервисам ЕГИСЗ

Кража биометрических данных

Когда злоумышленники копируют электронный пропуск, подбирают пароль или применяют скимминг пластиковой карты, все эти вещи можно заменить и таким образом предотвратить возможное мошенничество.

С появлением биометрических технологий процесс идентификации упростился. Но проблема в том, что, в случае кражи, изменить биометрические признаки не получится.

Первые существенные хищения были выявлены три-четыре года назад:
2016 В Гане похищены биометрические данные избирателей.
2017 Украдены биометрические данные филиппинских избирателей.
У американской компании Avanti Markets, похищены отпечатки пальцев покупателей. Утечка данных из индийской биометрической системы Aadhaar.
2018 В Зимбабве похитили отпечатки пальцев и фотографии избирателей. Компрометация биометрических данных миллиарда граждан Индии.
2019 В открытый доступ попала многомиллионная база отпечатков пальцев из южнокорейской компании Suprema. Похищены записи голоса клиентов Сбербанка.

К сожалению, даже самая лучшая многоуровневая защита от взлома имеет уязвимости, и возникновение подобных инцидентов неизбежно.

Как сделать биометрическую идентификацию безопасной

Чтобы исключить или минимизировать возможный ущерб, нужно своевременно выявлять попытки имитации чужой биометрии — обнаруживать подделку в реальном времени и подтверждать или опровергать, что данные представлены истинным обладателем.

Проверка на живой/неживой с использованием многофакторной идентификации значительно повышает безопасность и делает кражу любого элемента персональных данных несущественной.

Уже есть концепции, которые объединяют биометрические данные с другими элементами безопасности. Такие решения создают более надежные цифровые учетные записи, и самих по себе украденных биометрических признаков становится недостаточно для совершения противоправных действий.

Мультиспектральная проверка на живой/неживой

В основе одного из эффективных подходов к обнаружению подделки биометрических признаков лежит мультиспектральная регистрация, что значительно усложняет применение поддельных биометрических данных для идентификации.

При этом методе сравниваются невидимые в обычных условиях оптические характеристики исследуемого материала с известными характеристиками живого объекта. Используются несколько источников света различных спектров для получения информации с поверхности и из глубины живой ткани, вплоть до капиллярных сосудов.

Для своевременного реагирования применяются нейросетевые алгоритмы машинного зрения, которые можно оперативно адаптировать при выявлении новых типов угроз и подделок.

Многофакторная идентификация

Обеспечить качественную и надежную идентификацию пользователей можно, реализовав многофакторное решение, когда регистрируются несколько биометрических и не биометрических признаков личности.

Строгая идентификация с помощью двух или более факторов принципиально безопасней.

Важно использовать сочетание нескольких надежных способов идентификации, чтобы пользователь сам мог выбрать наиболее приемлемые и удобные для него.

Отменяемая биометрия

Эта технология основана на преднамеренном повторяемом искажении биометрических данных на основе предварительно выбранного преобразования. Биометрический сигнал одинаково искажается как при регистрации, так и при каждой идентификации.

Такой подход позволяет использовать для каждой записи свой метод, что препятствует перекрестному сопоставлению.

Кроме того, если экземпляр преобразованной биометрии скомпрометирован, достаточно изменить алгоритм конвертации, чтобы сгенерировать новый вариант для повторной регистрации.

Для обеспечения безопасности используются необратимые функции. Таким образом, даже если алгоритм конвертирования известен и имеются преобразованные биометрические данные, то восстановить по ним исходную (не искаженную) биометрию не получится.

Преобразования могут применяться как в области сигнала, так и в области признаков. То есть либо биометрический сигнал преобразуется непосредственно после его получения, либо обрабатывается обычным образом, после чего преобразуются извлеченные признаки.

Алгоритм преобразования допускает расширение шаблона, что позволяет увеличить надежность системы.

Примеры преобразований на уровне сигнала включают в себя морфизацию сетки или перестановку блоков. Измененное изображение не может быть успешно сопоставлено с исходным образом или с аналогичными изображениями, полученных с другими параметрами преобразования.


Преобразование изображения на основе морфинга изображения.

Источник: "Enhancing Security and Privacy in Biometrics-Based Authentication Systems" by N. K. Ratha, J. H. Connell, R. M. Bolle

На рисунке представлена оригинальная фотография с наложенной сеткой, выровненной по лицевым признакам. Рядом с ней — фотография с измененной сеткой и результирующее искажение лица.


Источник: "Enhancing Security and Privacy in Biometrics-Based Authentication Systems" by N. K. Ratha, J. H. Connell, R. M. Bolle

На рисунке на модель нанесена блочная структура, выровненная по характерным точкам. Полученные блоки затем скремблируются случайным, но повторяемым образом.

Разработаны решения, генерирующие стабильный и повторяемый биометрический код для создания так называемого истинного биометрического хеширования. Алгоритм позволяет генерировать стабильный биометрический код при различных условиях окружающей среды и естественного шума датчиков во время биометрического сканирования. Это ограничивает ошибки регистрации. В результате система работает с высокой производительностью и надежностью.

Энтропия, генерируемая системой, ограничивает риски появления разных людей с некоторыми сходствами и создание одинаковых стабильных кодов.

Таким образом, использование только стабильных битов из биометрического сканирования создает стабильный код, который не требует сохраненный биометрический шаблон для аутентификации.

Процесс регистрации выглядит так:

  • Биометрическое сканирование захватывает изображение;
  • Алгоритм извлекает из изображения стабильные и воспроизводимые векторы;
  • Генерируется открытый и закрытый код. Закрытый код хешируется;
  • Симметричные или асимметричные криптографические ключи выдаются из сгенерированного биометрического хэш-кода;
  • В случае асимметричных криптографических ключей — открытый ключ сохраняется, закрытый ключ стирается из системы. Никаких биометрических данных не хранится ни в одном случае.

Верификация осуществляется следующим образом:


Блок-схема с симметричными криптографическими ключами


Блок-схема с асимметричными криптографическими ключами


Как достичь максимума и обеспечить доверие к биометрической идентификации

К сожалению, необходимо принять тот факт, что любые персональные данные, в том числе и биометрические, не могут быть полностью защищены от хищения.

Максимум, что можно сделать — это проектировать системы, которые обесценивают украденные данные.

Ряд биометрических характеристик являются публичными. Например, наше лицо можно сфотографировать, а голос — записать на диктофон. Для обеспечения доверия пользователей к биометрической идентификации необходимо обеспечить надежность и безопасность используемых систем за счет:

  • Шифрования данных на биометрических терминалах для защиты от взлома;
  • Биометрической идентификации в режиме реального времени с проверкой на живой/неживой;
  • Использования мультиспектральных и мультимодальных решений;
  • Быстрой адаптации алгоритмов к появлению новых уязвимостей;
  • Применения алгоритмов, которые обесценивают украденные биометрические данные.

Чтобы отношение пользователей к системам биометрической идентификации стало доверительным, лучше предлагать решения, в которых для подтверждения личности надо, например, посмотреть непосредственно в объектив камеры или на определенную метку. Это устранит опасения на счет скрытой слежки и несанкционированного контроля.

Фото: Ian Waldie / Getty Images

Внедрение биометрии, как и любой другой современной технологии, сопровождается мифами. Одни возникают из-за недостатка информации, другие — не без влияния научной фантастики, в которых факты переплетаются с домыслами

Миф 1. Биометрия позволяет следить за каждым

Распознавание лиц (Face ID, биометрия) — это результат работы видеоаналитики, которая определяет соответствие лица в кадре имеющемуся изображению в базе данных. Вопреки распространенному мнению, биометрия не может идентифицировать людей, которые не являются их целью.

Фото:Pexels

Миф 2. Биометрия распознает лица не на 100%

Сегодня точность распознавания лиц из базы данных — выше 99%.

И если раньше на результат могли повлиять угол зрения, погодные условия, то сейчас система распознает человека из базы даже при наличии головного убора или очков. Такая технология уже используется в офисах компаний и торговых сетях России.

Добиться 100% точности тоже можно, но для этого придется задать алгоритму более высокий уровень соответствия. При этом ужесточатся требования и по входной информации, то есть эталону в базе данных и качеству изображения видеоданных. А значит, при малейших несовпадениях с эталоном алгоритм будет отказывать в обслуживании. Такие меры обоснованы в банковских системах. Там внедрение строгого алгоритма оправдано рисками, которые могут понести пользователи при попадании данных в руки мошенников. Но на практике все же нужно соблюдать баланс.

Фото:George Prentzas / Unsplash

Миф 3. Биометрия — дорогое удовольствие

И не стоит забывать, что сейчас большинство поставщиков стараются максимально эффективно интегрировать Face ID в свои системы, например, в привычные всем смартфоны.

Миф 4. Все системы распознавания одинаковы

Терминал — автономное устройство. В него, как правило, встроен дополнительный считыватель карт, управление входом/выходом, сама система распознавания. База образов также хранится непосредственно на нем. Решение о допуске или запрете на проход терминал принимает самостоятельно. Настройка может производиться на самом устройстве. Также возможна схема, при которой несколько терминалов объединены в единую систему с общей базой лиц. В таком случае решение принимает софт.

Распознавание лиц средствами системы видеонаблюдения всегда связано с сервером. Отсюда и дороговизна таких систем. Камера выступает просто инструментом получения исходной информации (снимка лица) для дальнейшей обработки на сервере.

Миф 5. Технология не справляется с большими объемами информации

Биометрические системы проходят обучение и тестирование на огромных массивах данных, используя несколько идентификационных параметров. И если в процессе работы система получает данные высокого качества, она успешно справится и с большим объемом данных.

Подтверждение эффективности алгоритмов Face ID проводится на конкурсе алгоритмов распознавания лиц Face Recognition Vendor Test (FRVT). Среди победителей конкурса есть и отечественные алгоритмы интеллектуальной видеоаналитики. К примеру, российский FindFace по итогам тестирования в 2021 году показал лучший результат за все время проведения FRVT.

Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях

Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.

Фото:Pexels

Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее). Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя. А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.

Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.

Фото:Leon Neal / Getty Images

Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.

Миф 7. Биометрия, распознавая лица, нарушает закон о персональных данных

Обработка данных для систем распознавания не всегда попадает под действие законодательства. Это зависит от множества факторов, например, кем и для чего используется система, где она применена и так далее. Например, распознавание лиц в магазине под действие закона не подпадает, так как торговая точка считается общественным местом, съемка там не запрещена, а данные не персонализированы.

Фото:Shutterstock

Законодательство требует наличия согласия носителя БПД в письменной форме. Если у человека не было возможности дать отказ от передачи его персональных данных третьим лицам, это считается нарушением законодательства.

Как определить уровень защищенности информационных систем

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

  • специальные,
  • биометрические,
  • общедоступные,
  • иные;

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

  • составят модель угроз
  • классифицируют информационную систему
  • помогут выбрать оптимальные средства защиты
  • грамотно выстроят систему защиты
Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Читайте также: