Проектирование системы защиты персональных данных в информационной системе медицинского страхования: Комплексный подход к обеспечению безопасности и соответствия законодательству РФ

В условиях стремительной цифровизации и постоянно растущего объема обрабатываемых персональных данных, особенно в столь чувствительной сфере, как медицинское страхование, разработка и внедрение эффективной системы защиты информации становятся не просто требованием законодательства, а фундаментальным условием выживания и процветания организации. Настоящая курсовая работа, посвященная техническому проектированию системы защиты персональных данных в ИС учета застрахованных, подтверждает эту аксиому, демонстрируя комплексный подход к обеспечению безопасности и соответствия законодательству Российской Федерации.

Введение: Актуальность защиты персональных данных в медицинском страховании

Согласно данным InfoWatch за первое полугодие 2025 года, более 20% (21,4%) утечек данных из российских медицинских учреждений были вызваны внутренними нарушителями. Этот факт убедительно демонстрирует острую актуальность и критическую значимость вопросов защиты персональных данных (ПДн) в сфере здравоохранения и, в частности, в медицинском страховании. Сегодня, в условиях стремительной цифровизации, информационные системы стали кровеносными сосудами любой организации, а персональные данные – её ценнейшим активом. В медицинском страховании эта ценность умножается на конфиденциальность информации о здоровье, которая относится к специальной категории ПДн и часто составляет врачебную тайну. Неадекватная защита таких данных чревата не только многомиллионными штрафами, но и непоправимым ущербом репутации компании, потерей доверия клиентов и серьезными юридическими последствиями, что неизбежно подрывает бизнес-процессы и финансовую устойчивость.

Настоящая курсовая работа посвящена разработке технического проекта системы защиты персональных данных для информационной системы учета застрахованных в страховой компании, специализирующейся на медицинском страховании. Целью исследования является создание исчерпывающего, методологически обоснованного руководства, способного обеспечить надежную защиту конфиденциальной информации в соответствии с актуальными требованиями российского законодательства. В рамках работы будут последовательно рассмотрены нормативно-правовые основы, методологии предпроектного обследования, построение моделей угроз и нарушителя, выбор технических средств, а также организационные меры и вопросы экономической целесообразности. Структура исследования отражает полный цикл создания и внедрения системы защиты ПДн, начиная с анализа требований и заканчивая оценкой эффективности, что позволит студентам и аспирантам получить глубокое понимание всех аспектов данной проблематики.

Нормативно-правовое регулирование защиты персональных данных в Российской Федерации

В эпоху цифровизации, когда данные становятся новой нефтью, защита личной информации приобретает первостепенное значение. Для организаций, работающих с такими чувствительными сведениями, как данные о здоровье, вопрос соответствия строгим нормативно-правовым требованиям является не просто формальностью, а краеугольным камнем их деятельности и репутации.

Основные понятия и определения

Прежде чем углубляться в дебри законодательства, необходимо четко определить терминологический аппарат, чтобы говорить на одном языке.

Персональные данные (ПДн) — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных). Это широкий спектр сведений, начиная от ФИО, паспортных данных, ИНН, даты рождения, места жительства и номера телефона, и заканчивая данными о семейном положении.

Особое место занимают специальные категории ПДн. К ним относятся данные, затрагивающие наиболее чувствительные аспекты жизни человека: сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни. В контексте медицинского страхования наиболее критичной является информация о состоянии здоровья. Сведения о диагнозе, причинах обращения за медицинской помощью, ходе лечения и прогнозах не только являются специальными категориями ПДн, но и составляют предмет врачебной тайны, что накладывает дополнительные, более строгие требования к их защите.

Информационная система персональных данных (ИСПДн) – это не просто база данных, но сложный комплекс, включающий совокупность ПДн, хранящихся в базе, а также информационные технологии и технические средства, позволяющие обрабатывать эти данные как с использованием, так и без использования средств автоматизации. Именно в таких системах и происходит основная работа с конфиденциальной информацией.

Обработка персональных данных – это чрезвычайно широкое понятие, охватывающее любое действие или совокупность действий, совершаемых с ПДн. Это и сбор, и запись, и систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Понимание всего спектра этих операций критично для построения полноценной системы защиты.

И, наконец, Оператор персональных данных – это субъект (государственный орган, муниципальный орган, юридическое или физическое лицо), который организует и/или осуществляет обработку ПДн, а также определяет цели и содержание такой обработки. Страховая компания в контексте данной работы является классическим оператором ПДн.

Обзор ключевых нормативно-правовых актов

Архитектура защиты персональных данных в России формируется целым комплексом законодательных актов. На вершине этой пирамиды стоит Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Этот закон является основополагающим и устанавливает общие принципы и условия обработки ПДн, права субъектов ПДн и обязанности операторов. Статья 19 ФЗ № 152-ФЗ прямо обязывает оператора принимать необходимые правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке, в том числе в информационных системах.

В специфическом контексте медицинского страхования не менее важен Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании». Он дополняет общие требования ФЗ № 152-ФЗ, регулируя нюансы защиты ПДн именно при осуществлении ОМС.

Тесно связан с ними и Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». Этот закон закрепляет понятие врачебной тайны и устанавливает строгие правила конфиденциальности для медицинских организаций, включая страховые компании, работающие с данными о здоровье.

Далее следуют подзаконные акты, детализирующие требования ФЗ. Ключевым является Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Этот документ определяет конкретные требования к защите ПДн и устанавливает четыре уровня защищенности ИСПДн. Эти уровни зависят от актуальных угроз, типа обрабатываемых ПДн и количества субъектов, что позволяет дифференцировать подходы к безопасности. Безопасность ПДн в ИС достигается за счет системы защиты, которая должна нейтрализовать актуальные угрозы, определенные в соответствии с частью 5 статьи 19 ФЗ № 152-ФЗ.

Практическую сторону реализации мер защиты регламентирует Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Этот приказ детализирует конкретные меры, такие как идентификация и аутентификация, управление доступом, ограничение программной среды, выявление и реагирование на инциденты, управление конфигурацией, с учетом актуальных угроз и применяемых информационных технологий.

Для защиты с использованием криптографии применяется Приказ ФСБ России от 10.07.2014 № 378. Он регламентирует использование средств криптографической защиты информации (СКЗИ), устанавливая требования к их классам в зависимости от уровня защищенности ИСПДн и типа угроз.

Наконец, в части стандартизации важную роль играет ГОСТ Р 59407-2021 «Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных». Этот ГОСТ предоставляет методическое руководство по планированию, проектированию и построению архитектур ИСПДн, фокусируясь на контроле обработки, доступа и передачи ПДн.

Особенности применения законодательства для медицинских страховщиков

Медицинские страховые компании занимают уникальное положение в ландшафте регулирования персональных данных. Они работают с информацией о здоровье, которая относится к врачебной тайне, но при этом сами не являются медицинскими учреждениями в классическом смысле. Это создает ряд специфических нюансов:

1. Врачебная тайна и ПДн о здоровье: Страховщики, по сути, являются хранителями части врачебной тайны, поскольку получают сведения о состоянии здоровья застрахованных. Это накладывает на них обязанность неразглашения сведений о страхователе, застрахованном лице и выгодоприобретателе, что закреплено в законодательстве. Требования к защите этих данных значительно выше, чем для обычных ПДн.
2. ОМС и согласие на обработку: В рамках обязательного медицинского страхования существует важное исключение. Согласие пациента на обработку ПДн не требуется, если данные передаются исключительно в территориальный фонд ОМС и страховую организацию. Это упрощает бюрократические процедуры, но не снижает ответственности за безопасность данных.
3. Регулирование со стороны Банка России: В отличие от медицинских учреждений, которые подчиняются Минздраву, страховые компании находятся под надзором Банка России. Хотя Банк России не является прямым регулятором в области информационной безопасности ПДн в том же объеме, что ФСТЭК или ФСБ, его общие требования к финансовой устойчивости и соблюдению законодательства косвенно влияют на уровень ИБ. Это усложняет сбор унифицированных методических указаний, так как необходимо учитывать требования разных ведомств.
4. Профессиональные объединения: Профессиональные объединения страховщиков имеют право создавать и использовать информационные системы, содержащие сведения об обязательном страховании, включая ПДн. Однако при этом они обязаны обеспечивать выполнение всех требований по защите информации ограниченного доступа.

Таким образом, для медицинских страховщиков требуется не просто слепое выполнение предписаний, а глубокий, комплексный анализ и адаптация общих нормативных требований к своей уникальной деятельности, что подчеркивает необходимость детального проектирования системы защиты персональных данных.

Предпроектное обследование информационной системы учета застрахованных

Путешествие к надежной системе защиты персональных данных начинается задолго до установки первого программного обеспечения или настройки межсетевого экрана. Оно стартует с тщательного и всестороннего предпроектного обследования информационной системы. Этот этап подобен медицинской диагностике: без точного понимания состояния пациента невозможно назначить эффективное лечение.

Цели и задачи предпроектного обследования

Предпроектное обследование ИСПДн – это не просто формальность, а отправная точка для всей последующей работы по созданию системы защиты персональных данных (СЗПДн). Его главная цель – получить исчерпывающую информацию об объекте защиты, чтобы на ее основе разработать адекватную и эффективную стратегию безопасности.

Ключевые задачи, решаемые на этом этапе, включают:

• Идентификация обрабатываемых ПДн: Выявление всего спектра персональных данных, которые циркулируют в системе, и, что особенно важно, определение тех категорий ПДн, которые подлежат защите от несанкционированного доступа. В случае медицинского страхования это включает не только стандартные ПДн (ФИО, паспортные данные), но и специальные категории (сведения о здоровье).
• Инвентаризация информационных систем и активов: Полное и детальное описание всех компонентов ИСПДн – аппаратных средств, программного обеспечения, сетевой инфраструктуры, мест хранения данных, а также рабочих мест, где происходит обработка ПДн. Это позволяет составить полную карту инфраструктуры.
• Анализ бизнес-процессов обработки ПДн: Изучение того, как именно происходит обработка данных – от момента их сбора до уничтожения. Это включает выявление технологических процессов, ролей сотрудников, участвующих в обработке, и используемых методов.
• Оценка законности обработки ПДн: Проверка соответствия всех операций с ПДн требованиям российского законодательства, включая наличие необходимых согласий (если применимо) и соблюдение принципов целевого использования данных.
• Выявление текущих средств и методов обеспечения безопасности: Анализ уже существующих мер защиты и оценка их эффективности, что позволяет избежать дублирования и оптимизировать будущие инвестиции.
• Исследование физической безопасности и схем помещений: Оценка мер физической защиты, таких как контроль доступа к серверным комнатам, рабочим местам, а также анализ схем помещений для выявления потенциальных уязвимостей.

По итогам предпроектного обследования формируется развернутый Акт обследования ИСПДн, который становится фундаментом для всех последующих этапов проектирования СЗПДн.

Методики идентификации информационных ресурсов и оценки их критичности

После того как цели определены, наступает этап скрупулезного сбора данных. Идентификация информационных ресурсов и активов – это процесс, который позволяет не просто перечислить компоненты системы, но и понять их ценность и роль в бизнес-процессах.

Инвентаризация ИСПДн и рабочих мест начинается с составления реестра всех аппаратных средств (серверы, рабочие станции, сетевое оборудование), программного обеспечения (операционные системы, прикладные программы, базы данных), а также мест, где хранятся и обрабатываются ПДн. Важно также идентифицировать каждого сотрудника, имеющего доступ к ПДн, и его роль в процессе обработки.

Затем проводится анализ ценности ИТ-актива для бизнеса. Для каждого компонента системы необходимо ответить на вопрос: «Насколько этот актив важен для непрерывности и эффективности деятельности страховой компании?» Например, база данных с клиентскими досье будет иметь гораздо более высокую ценность, чем тестовый сервер без реальных данных.

Параллельно с ценностью оцениваются последствия от нарушения конфиденциальности, целостности и доступности (CIA-триада) каждого актива.

• Конфиденциальность: Что произойдет, если данные станут доступны неуполномоченным лицам? (Например, утечка диагнозов пациентов).
• Целостность: Что, если данные будут изменены или уничтожены? (Например, подделка страховых историй или медицинских заключений).
• Доступность: Что, если доступ к данным будет временно или постоянно заблокирован? (Например, невозможность оформить страховой полис или выплатить компенсацию).

Для каждого актива определяется его критичность для деятельности организации. Это может быть сделано с использованием качественной оценки рисков. Например, можно использовать 3-х или 5-балльную шкалу для вероятности реализации угрозы и ее воздействия.

Пример качественной оценки рисков:

Критерий / Балл	1 (Низкий)	3 (Средний)	5 (Высокий)
Вероятность	Может произойти раз в 5+ лет	Может произойти раз в 1-5 лет	Может произойти несколько раз в год
Воздействие	Незначительные потери, легко устранимые	Заметные потери, временные нарушения бизнес-процессов	Существенные потери, серьезный ущерб репутации, крупные штрафы

Комбинируя эти оценки в матрице (например, 3×3 или 5×5), можно получить качественное определение уровня риска для каждого актива (например, «Низкий», «Средний», «Высокий» или «Критический»). Это позволяет приоритизировать усилия по защите.

Наконец, проводится идентификация уязвимостей и угроз. Для каждого выявленного актива анализируются потенциальные слабости (уязвимости) и внешние/внутренние факторы (угрозы), которые могут привести к нарушению безопасности. Например, устаревшее программное обеспечение является уязвимостью, а хакерская атака, использующая эту уязвимость, – угрозой.

Применение стандартов и фреймворков для предпроектного анализа

Чтобы предпроектное обследование было не просто сбором фактов, а методологически выверенным процессом, используются признанные международные стандарты и фреймворки.

ISO/IEC 27001 – это международный стандарт для систем менеджмента информационной безопасности (СМИБ). Он предоставляет структурированный подход к управлению ИБ, включая требования к оценке рисков. Хотя он не является прямым предписанием для ИСПДн в РФ, его принципы и методологии могут быть успешно адаптированы. В контексте предпроектного обследования, ISO/IEC 27001 предлагает структурированный подход к:

• Определению области применения СМИБ (какие системы и данные будут включены в систему защиты).
• Формальной оценке рисков, включающей идентификацию, анализ и оценку рисков ИБ.
• Выбору мер контроля для снижения рисков до приемлемого уровня.

Фреймворк COBIT (Control Objectives for Information and related Technology), разработанный ISACA, является еще одним мощным инструментом. Особенно полезным является его расширение COBIT for Risk, которое фокусируется на управлении рисками информационных технологий. COBIT for Risk предоставляет детализированные рекомендации по:

• Идентификации, анализу и оценке рисков ИТ.
• Определению аппетита к риску организации.
• Разработке стратегии реагирования на риски.
• Мониторингу и отчетности по рискам.

Адаптация этих стандартов к предпроектному обследованию ИСПДн медицинского страхования позволяет не только выполнить требования российского законодательства, но и построить систему защиты, соответствующую лучшим мировым практикам, что особенно важно в условиях постоянно меняющихся киберугроз.

Построение модели угроз безопасности и модели нарушителя для ИС медицинского страхования

После тщательного предпроектного обследования, когда карта инфраструктуры и потоков данных составлена, наступает этап прогнозирования опасностей. Создание адекватных модели угроз безопасности и модели нарушителя — это не просто упражнение в формальной логике, а критически важный шаг, позволяющий увидеть мир глазами потенциального злоумышленника и предусмотреть наиболее вероятные векторы атак.

Основы моделирования угроз по методике ФСТЭК России

Модель угроз безопасности информации — это фундаментальный документ, который обосновывает выбор организационных и технических мер по обеспечению безопасности персональных данных (ПДн) и определяет приоритетность их внедрения. Она является неотъемлемой частью жизненного цикла любой защищаемой информационной системы и разрабатывается в соответствии с законодательством. Главная задача модели угроз – выявить объекты защиты и потенциальные маршруты, по которым может быть реализована атака.

Основным методическим ориентиром для разработки модели угроз в России является «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 05 февраля 2021 г. Эта методика универсальна и применима для различных типов систем, включая ИСПДн, Государственные информационные системы (ГИС) и объекты критической информационной инфраструктуры (КИИ).

Ключевые этапы моделирования угроз по методике ФСТЭК включают:

1. Описание информационной системы (ИС): На этом этапе детально описываются структурно-функциональные характеристики ИС, ее компоненты, границы, связи с внешними системами и технологии обработки информации.
2. Описание угроз безопасности информации: Формулируется перечень потенциальных угроз, которые могут нарушить конфиденциальность, целостность и доступность информации в системе.
3. Разработка модели нарушителя: Определяются категории потенциальных нарушителей, их мотивы, уровень квалификации, технические возможности и потенциальные точки воздействия.
4. Определение возможных уязвимостей: Выявляются слабые места в ИС и ее компонентах, которые могут быть использованы нарушителем для реализации угроз.
5. Анализ способов реализации угроз: Для каждой угрозы описываются конкретные методы и техники, которые могут быть применены нарушителем для ее осуществления.
6. Оценка негативных последствий: Определяются возможные последствия от реализации угроз для деятельности организации, ее репутации и финансового состояния.
7. Ранжирование угроз: Для каждой угрозы оцениваются вероятность ее реализации и потенциальный ущерб, на основе чего угрозы ранжируются по степени актуальности. Это позволяет сосредоточить ресурсы на защите от наиболее критичных воздействий.

Согласно методике ФСТЭК, в модель угроз необходимо включать все действующие подсистемы, сети, каналы связи, что обеспечивает комплексный охват всех потенциальных векторов атак.

Специфика угроз безопасности информации в медицинском страховании

Медицинское страхование оперирует одними из самых чувствительных данных – сведениями о здоровье, которые представляют собой специальную категорию ПДн и часто относятся к врачебной тайне. Эта специфика определяет уникальный ландшафт угроз.

Типовые угрозы в медицине и страховании:

• Утечки данных: Это, пожалуй, наиболее болезненная угроза. Утечки могут включать данные тяжелобольных или недавно умерших людей, что может быть использовано для мошенничества или продажи на черном рынке.
• Вирусные атаки и программы-шифровальщики (Ransomware): Эти угрозы могут заблокировать доступ к критически важным медицинским и страховым системам, что чревато остановкой работы, невозможностью оказания услуг и огромными финансовыми потерями.
• Фишинг: Целевые фишинговые атаки на сотрудников страховых компаний могут привести к компрометации учетных записей и последующему несанкционированному доступу к ПДн.
• DDoS-атаки: Отказ в обслуживании информационных систем может парализовать работу страховой компании, лишив клиентов доступа к услугам и информации.
• Вмешательство в работу медицинских приборов и систем (Medical Device Hacking): Хотя страховые компании напрямую не управляют медицинским оборудованием, компрометация данных, поступающих от этих устройств, может повлиять на процесс страхования и оценки рисков.

Актуальная статистика по утечкам данных в российской медицинской отрасли подчеркивает особую уязвимость этого сектора. По данным InfoWatch, за первое полугодие 2025 года, более 20% (21,4%) утечек данных из российских медицинских учреждений были вызваны внутренними нарушителями. Это значительно выше среднемирового показателя (2,3%) и указывает на то, что сотрудники компании зачастую являются главным источником риска. В отчете InfoWatch за первые 9 месяцев 2022 года указывалось, что каждое второе внутреннее нарушение в медучреждениях России было умышленным, а в мире доля умышленных утечек данных по вине персонала достигала 73%. Эти данные свидетельствуют о необходимости уделять повышенное внимание не только внешним, но и внутренним угрозам, связанным с человеческим фактором.

Разработка модели нарушителя

Модель нарушителя – это описание потенциального злоумышленника, его целей, возможностей и методов, которые он может использовать для реализации угроз. Для ИС медицинского страхования необходимо учитывать различные категории нарушителей:

1. Внешние нарушители:
   • Киберпреступники (хакеры): Мотивированы финансовой выгодой (продажа данных, выкуп), политическими или идеологическими соображениями. Обладают высокой квалификацией и используют изощренные методы атак.
   • Конкуренты: Могут быть заинтересованы в получении конфиденциальной информации о клиентах, продуктах или стратегиях компании.
   • Государственные структуры / спецслужбы: В некоторых случаях могут быть заинтересованы в получении информации, например, в рамках расследований.
2. Внутренние нарушители:
   • Сотрудники с различными уровнями доступа: От рядовых пользователей до системных администраторов. Их мотивы могут быть разнообразны: финансовая выгода (продажа данных), месть, недовольство, халатность, любопытство. Как показывают данные InfoWatch, именно внутренние нарушители представляют значительную угрозу для медицинских организаций.
   • Бывшие сотрудники: Могут обладать знаниями о системе и иметь обиду на компанию, что делает их потенциально опасными.
   • Партнеры и подрядчики: Имеют ограниченный, но иногда привилегированный доступ к системе. Их действия также могут быть как умышленными, так и непреднамеренными.

Для ИС медицинского страхования необходимо учитывать, что страховщик работает с информацией о здоровье, но не является медицинским учреждением, подчиняется Банку России, но не является кредитной организацией. Это усложняет сбор унифицированных методических указаний по моделированию нарушителя, требуя комбинированного подхода и анализа лучших практик из разных областей.

Роль СКЗИ в нейтрализации угроз

В условиях, когда конфиденциальность данных является наивысшим приоритетом, средства криптографической защиты информации (СКЗИ) играют ключевую роль. Они используются для шифрования данных при хранении и передаче, обеспечения аутентификации и электронной подписи, тем самым значительно повышая уровень защиты от несанкционированного доступа и изменения информации.

Приказ ФСБ России от 10 июля 2014 года № 378 детально регламентирует применение СКЗИ для обеспечения безопасности ПДн. Он устанавливает требования к классам СКЗИ, которые должны выбираться в зависимости от уровня защищенности ИСПДн и типа актуальных угроз. Например, для систем с высоким уровнем защищенности и критичными угрозами могут потребоваться СКЗИ более высокого класса, обеспечивающие усиленные криптографические алгоритмы. Модель угроз должна четко определить, какие типы угроз могут быть нейтрализованы с помощью СКЗИ, и какие классы СКЗИ необходимы для этого. Это гарантирует, что криптографическая защита будет адекватна потенциальным рискам.

Таким образом, комплексный подход к моделированию угроз и нарушителя, усиленный применением СКЗИ, позволяет создать прочный фундамент для разработки эффективной и надежной системы защиты персональных данных в ИС медицинского страхования.

Методы и технические средства защиты персональных данных в ИС учета застрахованных

Когда потенциальные угрозы и нарушители определены, а уровни защищенности ИСПДн рассчитаны, наступает время для практической реализации – выбора и внедрения конкретных методов и технических средств защиты. Этот этап требует глубокого понимания как технологических решений, так и нормативных требований.

Обзор сертифицированных средств защиты информации

Выбор средств защиты информации (СЗИ) для системы защиты персональных данных (СЗПДн) осуществляется оператором в строгом соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России. Принципиально важно, что все применяемые СЗИ должны пройти процедуру оценки соответствия, то есть быть сертифицированными. Это гарантирует, что они соответствуют установленным стандартам безопасности и способны выполнять заявленные функции.

Основные виды технических средств защиты информации включают:

1. Средства защиты от несанкционированного доступа (НСД):
   • Идентификация и аутентификация: Системы, подтверждающие личность пользователя. Это могут быть парольные системы, двухфакторная аутентификация (2FA) с использованием токенов или SMS-кодов, биометрические системы (отпечатки пальцев, распознавание лица). Для медицинских данных часто требуется многоуровневая аутентификация.
   • Управление доступом: Системы, разграничивающие права пользователей к информационным ресурсам. Реализуются через ролевую модель доступа, где каждому пользователю или группе присваиваются определенные разрешения (чтение, запись, изменение, удаление) к конкретным данным или функциям системы.
   • Контроль целостности и изоляция среды: Механизмы, предотвращающие несанкционированное изменение данных и программ, а также изолирующие критически важные компоненты системы.
2. Средства антивирусной защиты: Комплексные решения для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянов, программ-шифровальщиков, шпионского ПО). Должны обладать актуальными базами данных угроз и работать в режиме реального времени.
3. Сканеры уязвимостей: Инструменты, предназначенные для автоматического поиска уязвимостей в операционных системах, прикладном программном обеспечении, сетевом оборудовании. Регулярное сканирование позволяет своевременно выявлять и устранять потенциальные «дыры» в защите.
4. Межсетевые экраны (файрволы): Аппаратные или программные комплексы, контролирующие и фильтрующие сетевой трафик между различными сегментами сети или между локальной сетью и внешней сетью (интернетом). Предотвращают несанкционированный доступ извне и утечки данных.
5. Средства криптографической защиты информации (СКЗИ): Используются для шифрования данных при их хранении (на жестких дисках, в базах данных) и передаче (по защищенным каналам связи), а также для обеспечения электронной подписи и аутентификации. Их применение регулируется Приказом ФСБ России № 378, который определяет требования к классам СКЗИ в зависимости от уровня защищенности ИСПДн.
6. Средства защиты среды виртуализации: Для систем, использующих виртуализацию (что характерно для современных ИСПДн), требуются специализированные решения, обеспечивающие изоляцию виртуальных машин, контроль доступа к гипервизору и защиту от атак, направленных на виртуальную инфраструктуру.
7. Системы мониторинга и предотвращения вторжений (IDS/IPS): Системы обнаружения вторжений (IDS) отслеживают сетевой трафик и системные события на предмет аномалий и признаков атаки. Системы предотвращения вторжений (IPS) способны не только обнаруживать, но и активно блокировать подозрительную активность.

При внедрении системы защиты персональных данных производится закупка, установка и настройка всех необходимых средств защиты информации. При этом крайне важно обеспечить их корректное функционирование, совместимость с существующим программным обеспечением и техническими средствами, а также минимизировать влияние на производительность ИСПДн.

Применение мер защиты согласно Приказу ФСТЭК России № 21 и ГОСТ Р 59407-2021

Внедрение технических средств не может быть хаотичным. Оно должно соответствовать четким предписаниям регуляторов.

Приказ ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…» является краеугольным камнем при проектировании СЗПДн. Он детализирует состав и содержание мер защиты, которые необходимо реализовать в ИСПДн, исходя из актуальных угроз и применяемых информационных технологий. Эти меры включают:

• Идентификацию и аутентификацию субъектов доступа и объектов доступа.
• Управление доступом субъектов доступа к объектам доступа.
• Ограничение программной среды.
• Защиту машинных носителей информации.
• Регистрацию событий безопасности.
• Антивирусную защиту.
• Обнаружение вторжений (НСД).
• Контроль (анализ) защищенности персональных данных.
• Обеспечение целостности информационной системы и персональных данных.
• Обеспечение доступности персональных данных.
• Защиту среды виртуализации.
• Защиту технических средств.
• Защиту информационной системы, ее средств, систем связи и передачи данных.
• Выявление инцидентов и реагирование на них.
• Управление конфигурацией ИСПДн и СЗПДн.

Каждая из этих мер имеет свои особенности реализации, которые должны быть учтены в техническом проекте.

В дополнение к Приказу ФСТЭК № 21, ГОСТ Р 59407-2021 «Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных» предоставляет ценное руководство по планированию и построению архитектур ИСПДн. Он определяет ключевые компоненты обеспечения безопасности информации, имеющие решающее значение для защиты ПДн, и помогает выстроить логически стройную и эффективную систему. ГОСТ фокусируется на контроле обработки, доступа и передачи ПДн, предлагая общие принципы для интеграции различных СЗИ в единую защитную архитектуру.

Особенности защиты ПДн на платформах «1С» и «ТрастМед»

В российской практике информационные системы учета застрахованных в страховых компаниях часто строятся на базе таких популярных платформ, как «1С» и «ТрастМед». Эти платформы, несмотря на свою функциональность, имеют свои специфические вызовы в области информационной безопасности.

Платформа «1С:Предприятие»: Широко используется для учета и управления бизнес-процессами. Для обеспечения защиты ПДн в системах на базе «1С» необходимо:

• Разграничение прав доступа: В самой платформе «1С» предусмотрены механизмы управления ролями и правами пользователей. Важно настроить их максимально гранулированно, предоставляя доступ только к тем данным и функциям, которые необходимы сотруднику для выполнения его должностных обязанностей.
• Журналирование событий: «1С» имеет встроенные механизмы протоколирования действий пользователей. Их нужно активировать и регулярно анализировать для выявления подозрительной активности.
• Защита базы данных: База данных «1С» (часто PostgreSQL, MSSQL) должна быть защищена средствами СУБД (шифрование, аудит доступа) и дополнительными сертифицированными СЗИ, например, средствами контроля привилегированного доступа или мониторинга баз данных (DAM).
• Антивирусная защита и СЗИ от НСД: Серверы и рабочие станции, где установлены компоненты «1С», должны быть защищены сертифицированными антивирусными решениями и средствами защиты от несанкционированного доступа.
• Защита каналов связи: При работе с удаленными базами данных «1С» или при обмене информацией с внешними системами необходимо использовать СКЗИ для шифрования трафика.

Платформа «ТрастМед»: Является специализированным решением для медицинских страховых организаций, ориентированным на учет застрахованных и взаимодействие с медицинскими учреждениями. Здесь, помимо общих принципов, особенно актуальны:

• Защита специальных категорий ПДн: «ТрастМед» обрабатывает чувствительную медицинскую информацию, поэтому к ней предъявляются повышенные требования по шифрованию данных при хранении и передаче, а также по обеспечению строжайшего контроля доступа.
• Интеграция с внешними системами: «ТрастМед» активно взаимодействует с территориальными фондами ОМС, медицинскими организациями. Каналы обмена данными должны быть защищены с использованием СКЗИ, соответствующих требованиям ФСБ России.
• Защита от утечек данных (DLP): Ввиду высокой ценности обрабатываемых данных, целесообразно внедрение систем предотвращения утечек данных (DLP), которые контролируют передачу конфиденциальной информации по различным каналам (почта, мессенджеры, USB-накопители).
• Защита от вредоносного ПО: Поскольку система взаимодействует с множеством внешних источников, риск заражения вредоносным ПО возрастает, что требует усиленной антивирусной защиты.

Внедрение сертифицированных СЗИ в ИС, построенные на «1С» и «ТрастМед», требует глубокого понимания архитектуры этих платформ и их специфики, чтобы обеспечить эффективную защиту без нарушения их функциональности и производительности.

Методология определения класса защищенности ИСПДн и оценки рисков

Определение адекватного уровня защиты информационной системы персональных данных (ИСПДн) – это не интуитивное решение, а строго регламентированная процедура. Она основана на методологии, позволяющей точно классифицировать систему и оценить связанные с ней риски. Без этого невозможно ни обоснованно выбрать технические средства, ни разработать эффективные организационные меры.

Определение уровня защищенности ИСПДн по Постановлению Правительства РФ № 1119

В Российской Федерации ключевым документом, определяющим требования к защите ПДн при их обработке в информационных системах, является Постановление Правительства РФ от 01.11.2012 № 1119. Этот документ устанавливает четыре уровня защищенности персональных данных, каждый из которых представляет собой комплексный показатель выполнения требований, направленных на нейтрализацию актуальных угроз безопасности ИСПДн.

Определение уровня защищенности зависит от нескольких взаимосвязанных факторов:

1. Категория обрабатываемых ПДн:
   • Общедоступные: данные, сделанные субъектом ПДн общедоступными.
   • Иные категории (не специальные, не биометрические): стандартные ПДн (ФИО, адрес, телефон).
   • Специальные: сведения о расовой, национальной принадлежности, политических взглядах, состоянии здоровья, интимной жизни. В медицинском страховании это основной тип данных.
   • Биометрические: сведения, характеризующие физиологические и биологические особенности человека.
2. Принадлежность данных:
   • ПДн, обрабатываемые только в отношении сотрудников оператора.
   • ПДн, обрабатываемые в отношении субъектов, не являющихся сотрудниками оператора.
3. Количество субъектов ПДн:
   • Менее 100 000 субъектов.
   • Более 100 000 субъектов.
4. Тип актуальных угроз:
   • Угрозы 1-го типа: связаны с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционные системы, СУБД, виртуализация). Это наиболее серьезные угрозы.
   • Угрозы 2-го типа: связаны с наличием недокументированных возможностей в прикладном программном обеспечении.
   • Угрозы 3-го типа: не связаны с недокументированными возможностями программного обеспечения. Это наименее серьезные угрозы.

Примеры условий для определения уровней защищенности (УЗ) ИСПДн:

• УЗ-1 (наивысший):
  • Актуальны угрозы 1-го типа ИЛИ
  • Актуальны угрозы 2-го типа при обработке специальных категорий ПДн более 100 000 субъектов, не являющихся сотрудниками оператора.
  • Например, для ИСПДн медицинского страховщика, обрабатывающей специальные категории ПДн более 100 000 клиентов и имеющей актуальные угрозы 1-го типа, устанавливается 1-й уровень защищенности.
• УЗ-2:
  • Актуальны угрозы 1-го типа при обработке общедоступных ПДн ИЛИ
  • Актуальны угрозы 2-го типа при обработке специальных или биометрических ПДн (как сотрудников, так и менее 100 000 не-сотрудников) ИЛИ
  • Актуальны угрозы 2-го типа при обработке общедоступных ПДн более 100 000 субъектов, не являющихся сотрудниками оператора.
• УЗ-3:
  • Актуальны угрозы 2-го типа при обработке общедоступных или иных категорий ПДн (как сотрудников, так и менее 100 000 не-сотрудников) ИЛИ
  • Актуальны угрозы 3-го типа при обработке специальных или биометрических ПДн (как сотрудников, так и менее 100 000 не-сотрудников) ИЛИ
  • Актуальны угрозы 3-го типа при обработке иных категорий ПДн более 100 000 субъектов, не являющихся сотрудниками оператора.
• УЗ-4 (низший):
  • Актуальны угрозы 3-го типа при обработке общедоступных или иных категорий ПДн (как сотрудников, так и менее 100 000 не-сотрудников).

Важно отметить, что классификация ИСПДн по классам (К1, К2, К3, К4), которая ранее осуществлялась по «приказу трех» (Совместный приказ ФСТЭК, ФСБ, Мининформсвязи РФ от 13.02.2008), была отменена с 11 марта 2013 года. В настоящее время классификация (по классам) осуществляется только для Государственных информационных систем (ГИС) в рамках выполнения требований Приказа ФСТЭК № 17. Для обычных ИСПДн, в том числе в страховой компании, проводится именно определение уровня защищенности.

Методика определения УЗ ПДн включает инвентаризацию ИС, классификацию обрабатываемых ПДн, определение количества субъектов ПДн, анализ подключений к сетям и, конечно, моделирование угроз.

Качественные и количественные методы оценки рисков информационной безопасности

Оценка рисков является существенным инструментом в построении защиты и предназначена для выявления рисков для бизнеса организации и определения мер безопасности, предпринимаемых для их снижения. Риск информационной безопасности в классическом виде определяется как функция трех переменных: вероятности существования угрозы, вероятности существования уязвимости (незащищенности) и потенциального воздействия (ущерба).

Существуют два основных подхода к оценке рисков ИБ:

1. Качественная оценка рисков:
   • Ориентирована на влияние рисков на достижение бизнес-целей и проводится с использованием экспертных оценок.
   • Использует шкалы (например, 3-х или 5-балльные) для определения вероятности угрозы и степени ее воздействия (последствий).
   • Результаты часто представляются в виде матрицы рисков (например, «Низкий», «Средний», «Высокий» уровень риска).
   • Примеры методик: CRAMM, Octave, FRAP.
   • Преимущества: Относительная простота, возможность применения при неполных данных, наглядность результатов.
   • Недостатки: Субъективность экспертных оценок.
2. Количественная оценка рисков:
   • Применяется для угроз, которые можно сопоставить с конечными количественными значениями (деньги, проценты, время).
   • Включает идентификацию угроз и уязвимостей, оценку вероятности наступления события в числовом выражении и возможного ущерба в денежном эквиваленте, а затем расчет уровня риска.
   • Позволяет получить конкретные финансовые показатели ожидаемых потерь.
   • Примеры методик: FAIR (Factor Analysis of Information Risk), Microsoft.
   • Преимущества: Объективность, возможность финансового обоснования инвестиций в ИБ, сравнение различных рисков по их финансовому воздействию.
   • Недостатки: Требует более точных данных, сложнее в реализации.

Практический расчет уровня риска для ИС медицинского страхования

Для демонстрации применения количественного метода оценки рисков рассмотрим конкретный пример для информационной системы учета застрахованных в медицинском страховании.

Пример расчета уровня риска:

Предположим, мы анализируем риск утечки специальных категорий персональных данных (сведений о состоянии здоровья) из ИС учета застрахованных.

1. Оценка вероятности реализации угрозы (P):
   • На основе исторических данных, отраслевой статистики (например, утечки в медицине) и экспертных оценок, определим, что вероятность такой утечки составляет 0,05 (или 5%) в год. Это означает, что в среднем, подобный инцидент может произойти один раз в 20 лет.
2. Оценка возможного ущерба от реализации угрозы (U):
   • Потенциальный ущерб от утечки данных в медицинском страховании может включать:
     • Штрафы от регуляторов: Федеральный закон № 152-ФЗ предусматривает значительные штрафы за нарушение требований по защите ПДн. Предположим, штраф может составить 500 000 рублей.
     • Репутационные потери: Снижение доверия клиентов, отток застрахованных, что может привести к потере части дохода. Оценим это в 2 000 000 рублей в год.
     • Затраты на расследование инцидента: Привлечение экспертов, восстановление данных, уведомление субъектов ПДн. Оценим в 1 000 000 рублей.
     • Судебные издержки и компенсации: Возможные иски от пострадавших субъектов ПДн. Оценим в 1 500 000 рублей.
   • Суммарный возможный ущерб (U) = 500 000 + 2 000 000 + 1 000 000 + 1 500 000 = 5 000 000 рублей.
3. Расчет уровня риска (УР):
   • Формула: Уровень риска = Вероятность × Возможный ущерб
   • УР = P × U
   • УР = 0,05 × 5 000 000 рублей = 250 000 рублей в год.

Этот расчет показывает, что ожидаемые ежегодные потери от данной угрозы составляют 250 000 рублей. Этот показатель позволяет руководству компании принять обоснованное решение об инвестициях в СЗПДн. Например, если внедрение системы защиты, способной снизить вероятность этой угрозы, обойдется в 1 000 000 рублей, а ожидаемые потери без нее составят 250 000 рублей в год, то срок окупаемости инвестиций (при прочих равных) составит 4 года.

Подобные расчеты позволяют не только выявить наиболее критичные риски, но и аргументированно подходить к вопросам бюджетирования информационной безопасности, переводя их из области абстрактных требований в плоскость конкретной финансовой целесообразности.

Организационные меры и эксплуатационная документация для СЗПДн

Технические средства защиты информации, какими бы совершенными они ни были, являются лишь частью пазла. Без продуманной системы организационных мер и исчерпывающей эксплуатационной документации любая, даже самая передовая, система защиты персональных данных (СЗПДн) будет работать неполноценно или вовсе неэффективно. Человеческий фактор и процессы играют здесь ключевую роль.

Разработка комплекта организационно-распорядительных документов (ОРД)

Комплект организационно-распорядительных документов (ОРД) — это каркас, на котором держится вся система защиты персональных данных. ОРД не только регламентируют деятельность оператора ПДн, но и формируют разрешительную систему предоставления прав доступа, определяют ответственных лиц, устанавливают правила обработки ПДн и организуют контроль за состоянием их безопасности. Разработка и внедрение такого комплекта направлены на реализацию мер защиты, предусмотренных Техническим заданием, и на выполнение прочих обязанностей Операторов ПДн.

Исчерпывающий перечень необходимых ОРД для медицинской страховой компании включает:

1. Положение об обработке и защите персональных данных: Основополагающий документ, описывающий общие принципы, цели, порядок и условия обработки ПДн в организации, а также меры по их защите.
2. Политика конфиденциальности: Открытый документ, информирующий субъектов ПДн о принципах и порядке обработки их данных. Часто публикуется на официальном сайте компании.
3. Перечень обрабатываемых персональных данных: Документ, классифицирующий все категории ПДн, которые обрабатывает оператор, с указанием их источников, целей обработки, сроков хранения и условий уничтожения.
4. Приказ о назначении ответственного за организацию обработки ПДн: Утверждает лицо, отвечающее за общий надзор и координацию всех процессов, связанных с ПДн.
5. Приказ о назначении администратора безопасности ИСПДн: Определяет сотрудника или отдел, ответственный за непосредственное внедрение, эксплуатацию и контроль СЗПДн.
6. Обязательство о неразглашении ПДн: Документ, который подписывают все сотрудники, имеющие доступ к ПДн, подтверждающий их обязанность соблюдать конфиденциальность.
7. Согласие субъекта на обработку ПДн: Шаблоны и порядок получения согласий от субъектов ПДн (если применимо, с учетом исключений для ОМС).
8. Регламенты и инструкции:
   • Регламент по трансграничной передаче данных: Определяет правила передачи ПДн на территорию иностранных государств (если таковая осуществляется).
   • Регламент проведения контрольных мероприятий: Описывает порядок проведения внутренних аудитов и проверок состояния защиты ПДн.
   • Регламент учета, хранения и уничтожения носителей ПДн: Устанавливает правила работы с физическими и электронными носителями, содержащими ПДн.
   • Регламент допуска сотрудников и третьих лиц к обработке ПДн: Детализирует процедуры предоставления, изменения и отзыва прав доступа.
   • Регламент реагирования на запросы субъектов ПДн: Определяет порядок работы с обращениями субъектов по вопросам обработки их данных.
   • Регламент резервного копирования ПДн: Описывает процедуры создания, хранения и восстановления резервных копий данных.
   • Инструкции для пользователей ИСПДн: Содержат правила безопасной работы с системой и конфиденциальными данными.
   • Инструкции для администраторов ИСПДн и СЗПДн: Детальные руководства по настройке, обслуживанию и мониторингу системы защиты.
9. Журналы:
   • Журнал регистрации входящих запросов и обращений субъектов ПДн.
   • Журнал инструктажа пользователей и обслуживающего персонала по вопросам ИБ.
   • Журнал учета мероприятий по защите информации (установка обновлений, аудиты, инциденты).
   • Журнал учета машинных носителей ПДн.

Разработка такого комплекта документов требует внимательного изучения законодательства и адаптации к специфике деятельности страховой компании.

Требования к эксплуатационной документации на СЗПДн

Эксплуатационная документация на СЗПДн — это техническая основа для бесперебойного и безопасного функционирования системы. Она должна быть максимально полной, актуальной и понятной для пользователей и администраторов.

Ключевые элементы эксплуатационной документации включают:

1. Технический паспорт ИСПДн: Содержит общие сведения о системе, ее назначении, составе, характеристиках и конфигурации.
2. Пояснительная записка к проекту СЗПДн: Обосновывает принятые проектные решения, описывает актуальные угрозы и модели нарушителя, а также выбранные меры защиты.
3. Инструкция по установке и настройке СЗПДн: Детальное руководство для администраторов по развертыванию и конфигурированию всех компонентов системы защиты.
4. Руководство администратора СЗПДн: Описывает процедуры управления, мониторинга, обслуживания и устранения неисправностей СЗПДн.
5. Руководство пользователя СЗПДн: Информирует конечных пользователей о правилах безопасной работы с системой, использования средств аутентификации, действий при инцидентах.
6. Схемы взаимодействия компонентов СЗПДн: Наглядные диаграммы, иллюстрирующие архитектуру системы защиты, расположение компонентов, сетевые связи.
7. План реагирования на инциденты информационной безопасности: Пошаговое руководство по действиям при обнаружении инцидентов, включая их классификацию, локализацию, устранение последствий и восстановление.
8. План обеспечения непрерывности бизнес-процессов и восстановления после сбоев (BCP/DRP): Документ, описывающий действия по поддержанию работоспособности критически важных ИСПДн в случае чрезвычайных ситуаций и их восстановлению.

Вся эксплуатационная документация должна соответствовать требованиям, зафиксированным в Техническом задании на создание СЗПДн, обеспечивая требуемый уровень защищенности и нейтрализацию актуальных угроз. Приказ ФСТЭК России № 21 также содержит указания на состав и содержание организационных и технических мер, которые необходимо отразить в документации.

Например, меры по управлению доступом должны быть детально описаны: как предоставляются и отзываются права, кто за это отвечает, как контролируется соблюдение этих правил. Меры по управлению конфигурацией должны обеспечивать управление изменениями конфигурации ИСПДн и СЗПДн, анализ потенциального воздействия этих изменений и документирование всего процесса.

Обучение персонала и контроль за соблюдением требований

Даже самая совершенная документация останется мертвой буквой без активного участия человеческого фактора. Обучение сотрудников правилам работы с ПДн и средствами защиты информации является важнейшей организационной мерой. Это не разовое мероприятие, а непрерывный процесс, включающий:

• Первоначальный инструктаж: Для всех новых сотрудников, получающих доступ к ПДн.
• Регулярное обучение: Периодические тренинги и семинары по актуальным киберугрозам, изменениям в законодательстве, правилам использования СЗИ.
• Повышение осведомленности: Распространение информационных материалов, проведение фишинговых симуляций для тренировки бдительности.

Параллельно с обучением необходим контроль за соблюдением требований. Это включает:

• Регулярные внутренние аудиты ИБ: Проверки соответствия процессов и систем установленным требованиям.
• Мониторинг событий безопасности: Анализ журналов СЗИ и ИСПДн для выявления подозрительной активности.
• Периодическая оценка защищенности: Проведение тестов на проникновение и сканирование уязвимостей.

Только такой комплексный подход, сочетающий технические решения, четкие регламенты и обученный персонал, может обеспечить эффективное функционирование системы защиты персональных данных в страховой компании.

Анализ экономической целесообразности создания и внедрения системы защиты персональных данных

Вопрос защиты персональных данных зачастую воспринимается как исключительно технический или юридический. Однако для бизнеса это всегда вопрос инвестиций, которые должны быть экономически обоснованы. Анализ экономической целесообразности создания и внедрения системы защиты персональных данных (СЗПДн) позволяет перевести дискуссию из плоскости «обязанность» в плоскость «выгода», демонстрируя, как инвестиции в ИБ способствуют снижению рисков, повышению доверия и, в конечном итоге, укреплению финансового положения компании.

Методы оценки эффективности систем защиты информации

Эффективность системы защиты информации (СЗИ) определяется как степень соответствия результатов защиты информации поставленной цели. Поскольку «цель» может быть многомерной, для оценки эффективности СЗИ используются различные методы, которые можно сгруппировать по нескольким подходам:

1. Классический (интегральный показатель): Основывается на расчете одного или нескольких интегральных показателей, агрегирующих частные показатели эффективности различных компонентов СЗИ. Например, общий показатель, учитывающий уровень защиты от НСД, антивирусной защиты, криптографической стойкости и т.д.
2. Официальный (нормативно-ориентированный): Оценка осуществляется путем проверки соответствия внедренных мер и функционирования СЗИ требованиям, изложенным в нормативных документах (ФЗ № 152-ФЗ, ПП № 1119, Приказы ФСТЭК и ФСБ). Это самый распространенный подход для целей регуляторного аудита.
3. Экспертный: Базируется на мнениях и оценках высококвалифицированных специалистов в области ИБ. Используется, когда количественные данные ограничены или ситуация уникальна.
4. Статистический: Анализ исторических данных об инцидентах ИБ, их частоте и ущербе для прогнозирования будущих рисков и оценки эффективности предотвращения.
5. Вероятностный: Применение теорий вероятностей для оценки вероятности реализации угроз и расчета ожидаемого ущерба.
6. Информационно-энтропийный: Использование метрик теории информации для оценки количества информации, которая может быть утечена или искажена.
7. Многокритериальный (нейросетевой): Применение сложных математических моделей и алгоритмов (в том числе на базе нейронных сетей) для учета множества факторов и вынесения комплексной оценки.
8. Метод минимизации рисков: Оценка эффективности СЗИ путем измерения степени снижения рисков информационной безопасности после внедрения защитных мер. Этот метод наиболее релевантен для экономического обоснования.
9. Матричный (формальный): Использование матриц для сопоставления угроз, уязвимостей и мер защиты, а также для расчета уровня рисков.
10. Многоуровневый и комбинаторный (оптимизационный): Применение комбинации различных методов и подходов для получения наиболее полной и точной оценки.

Показатель эффективности СЗИ должен обладать рядом характеристик: иметь технический смысл, в полной мере отражать целевое назначение системы, быть количественным и эффективным в статистическом смысле. Количественный метод оценки рисков ИБ, как уже упоминалось, позволяет сопоставить угрозы и риски с денежными, процентными, временными или человеческими ресурсами, что является основой для экономического обоснования.

Расчет экономической эффективности внедрения СЗПДн

Экономическая целесообразность создания СЗПДн для страховой компании может быть обоснована не только через прямое предотвращение потерь, но и через повышение доверия клиентов, улучшение репутации и соблюдение законодательства. Основная методология расчета экономической эффективности основана на минимизации возможных потерь от реализации угроз информационной безопасности.

Процесс расчета экономической эффективности может быть структурирован следующим образом:

1. Определение текущего уровня риска (УР_{текущий}):
   • Как было показано ранее, УР = Вероятность × Возможный ущерб. Этот показатель отражает ожидаемые ежегодные потери от всех актуальных угроз без внедрения СЗПДн.
2. Определение целевого уровня риска (УР_{целевой}):
   • Определяется приемлемый уровень риска, которого необходимо достичь после внедрения СЗПДн. Система защиты не может полностью устранить все риски, но должна снизить их до приемлемого для организации уровня.
3. Оценка затрат на внедрение СЗПДн (З_СЗПДн):
   • Включает прямые затраты на покупку программного обеспечения, аппаратных средств, услуги по проектированию и внедрению, обучение персонала, разработку ОРД.
4. Расчет экономической эффективности (ЭЭ):
   • Экономический эффект от внедрения СЗПДн можно оценить как разницу между предотвращенными потерями и затратами на систему.
   • Предотвращенный ущерб (ПУ) = УР_{текущий} — УР_{целевой}.
   • ЭЭ = ПУ — З_СЗПДн (за определенный период, например, год).
   • Если ЭЭ > 0, то проект экономически целесообразен.

Пример учета повышения доверия клиентов как экономического эффекта:

Доверие клиентов и партнеров – это нематериальный актив, который сложно, но возможно конвертировать в финансовые показатели.

• Репутационные риски: Нарушение конфиденциальности ПДн приводит к серьезным репутационным потерям. Например, если после утечки данных из страховой компании 5% клиентов перейдут к конкурентам, а средняя прибыль с клиента составляет 10 000 рублей в год, и база клиентов – 1 000 000 человек, то ежегодные потери составят: 1 000 000 × 0,05 × 10 000 = 500 000 000 рублей. Снижение вероятности такой утечки благодаря СЗПДн предотвращает эти колоссальные потери.
• Привлечение новых клиентов: Компания с репутацией надежного хранителя данных может привлекать больше клиентов, что приводит к увеличению дохода. Можно оценить, на сколько процентов увеличится приток клиентов при подтверждении высокого уровня ИБ, и конвертировать это в прибыль.

Экономическое обоснование внедрения СЗПДн должно учитывать не только прямые финансовые потери от штрафов и судебных исков, но и минимизацию правовых рисков, а также положительное влияние на имидж компании, что в долгосрочной перспективе приносит существенную финансовую выгоду.

Использование стандартов для оценки рисков и страхования

Для более комплексного анализа и управления кибер-рисками можно обратиться к специализированным стандартам. ГОСТ Р 59516-2021 «Информационные технологии (ИТ). Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности» является примером такого инструмента.

Этот ГОСТ предоставляет руководство по:

• Идентификации и оценке рисков ИБ, которые могут быть покрыты страхованием.
• Определению стоимости страхования кибер-рисков.
• Формированию требований к полисам страхования.

Хотя сам по себе стандарт не является прямым руководством по расчету эффективности СЗПДн, он позволяет включить в экономический анализ фактор страхования. Например, снижение рисков благодаря внедрению СЗПДн может привести к уменьшению страховых премий, что является дополнительной статьей экономии. Кроме того, наличие адекватной СЗПДн может быть требованием страховых компаний при заключении договоров киберстрахования, что делает инвестиции в защиту информации обязательным условием для получения финансовой защиты от инцидентов ИБ.

Управление рисками ИБ направлено на поддержание их на приемлемом для организации уровне. Анализ экономической целесообразности позволяет не только достичь этого уровня, но и показать, что инвестиции в ИБ – это не просто расходы, а стратегически важные вложения в устойчивость и развитие бизнеса.

Заключение

В условиях стремительной цифровизации и постоянно растущего объема обрабатываемых персональных данных, особенно в столь чувствительной сфере, как медицинское страхование, разработка и внедрение эффективной системы защиты информации становятся не просто требованием законодательства, а фундаментальным условием выживания и процветания организации. Настоящая курсовая работа, посвященная техническому проектированию системы защиты персональных данных в ИС учета застрахованных, подтверждает эту аксиому, демонстрируя комплексный подход к обеспечению безопасности и соответствия законодательству Российской Федерации.

В ходе исследования был детально проанализирован обширный нормативно-правовой ландшафт, регулирующий защиту ПДн в России, с особым акцентом на специфику медицинского страхования. Мы выяснили, что ФЗ № 152-ФЗ, ПП № 1119, приказы ФСТЭК России № 21 и ФСБ России № 378, а также ряд других актов, формируют строгую, но логичную систему требований, которую необходимо учитывать при каждом шаге проектирования. Особое внимание было уделено нюансам, связанным с обработкой специальных категорий ПДн (сведений о здоровье) и особенностям взаимодействия страховых компаний с регуляторами и фондами ОМС.

Мы глубоко погрузились в методологии предпроектного обследования, показав его критическую роль как отправной точки для выявления информационных ресурсов, оценки их ценности и критичности. Использование качественных шкал и матриц рисков, а также адаптация международных стандартов, таких как ISO/IEC 27001 и COBIT for Risk, позволяют получить объективную картину состояния безопасности до начала проектирования.

Центральное место в работе заняло построение адекватной модели угроз безопасности и модели нарушителя. Основываясь на «Методике оценки угроз безопасности информации» ФСТЭК России, мы не только определили типовые угрозы для медицинского страхования (утечки данных, программы-шифровальщики, фишинг), но и акцентировали внимание на актуальной статистике, демонстрирующей значительную долю внутренних нарушителей в российской медицинской отрасли. Разработка детализированной модели нарушителя, учитывающей мотивы и возможности внешних и внутренних злоумышленников, позволила выявить наиболее уязвимые точки системы.

В разделе о методах и технических средствах защиты были представлены обзоры сертифицированных СЗИ (от НСД, антивирусные средства, межсетевые экраны, СКЗИ), а также детализированы меры, предусмотренные Приказом ФСТЭК России № 21 и ГОСТ Р 59407-2021. Особое внимание было уделено специфике защиты ПДн на платформах «1С» и «ТрастМед», широко используемых в России, что позволяет применить полученные знания на практике.

Мы также подробно рассмотрели методологию определения уровня защищенности ИСПДн по Постановлению Правительства РФ № 1119, представив детализированные примеры условий для каждого из четырех уровней. Сравнительный анализ качественных и количественных методов оценки рисков был дополнен практическим числовым примером расчета уровня риска, демонстрирующим, как ожидаемые финансовые потери могут быть точно определены.

Наконец, было подчеркнуто значение организационных мер и эксплуатационной документации. Разработка исчерпывающего комплекта ОРД, включая политики, регламенты и инструкции, а также постоянное обучение персонала и контроль за соблюдением требований, являются неотъемлемыми компонентами комплексной системы защиты. Анализ экономической целесообразности показал, что инвестиции в СЗПДн — это не просто расходы, а стратегические вложения, предотвращающие колоссальные финансовые и репутационные потери, а также способствующие укреплению доверия клиентов и партнеров.

В целом, курсовая работа подтверждает достижение поставленных целей, предоставляя студентам и аспирантам глубокое, всестороннее и практически ориентированное руководство по техническому проектированию системы защиты персональных данных в одной из наиболее чувствительных отраслей – медицинском страховании. Реализация такого проекта позволит страховым компаниям не только соответствовать строгим требованиям законодательства, но и построить устойчивую, надежную систему, способную противостоять постоянно эволюционирующим киберугрозам, сохраняя при этом конфиденциальность и доверие своих клиентов.

Список использованной литературы

1. Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник / Под ред. акад. РАН Б.Н. Топорникова. СПб.: Юридический центр Пресс, 2001.
2. Герасименко В.А., Малюк А.А. Основы защиты информации. М., 2000.
3. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. М.: Радио и связь, 2000. 192 с.
4. Диева С.А., Шаеаева А.О. Организация и современные методы защиты информации. М.: Концерн «Банковский Деловой Центр», 2004.
5. Мельников В.В. Безопасность информации в автоматизированных системах. М.: Финансы и статистика, 2003. 368 с.
6. Мельников В.В., Клейменов С.А., Петраков А.М. Информационная безопасность. М.: Академия, 2005. 336 с.
7. Назаров С.В. Локальные вычислительные сети. Книга 1. М.: Финансы и статистика, 2000. 24 с.
8. Хореев П.Б. Методы и средства защиты информации в компьютерных системах. М.: Академия, 2005.
9. Ярочкин В.И. Информационная безопасность. М.: Гаудеамус, 2004. 544 с.
10. Методики управления рисками информационной безопасности и их оценки (часть 1) // Хабр. URL: https://habr.com/ru/articles/406029/ (дата обращения: 24.10.2025).
11. Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process // Хабр. URL: https://habr.com/ru/companies/ruvds/articles/655497/ (дата обращения: 24.10.2025).
12. Методы оценки рисков информационной безопасности // Контур. URL: https://kontur.ru/articles/2902 (дата обращения: 24.10.2025).
13. Особенности защиты данных в медицинских организациях // ITSEC. URL: https://itsec.ru/articles/features-of-data-protection-in-medical-organizations/ (дата обращения: 24.10.2025).
14. Анализ методов и методика оценки эффективности систем защиты информации // CyberLeninka. URL: https://cyberleninka.ru/article/n/analiz-metodov-i-metodika-otsenki-effektivnosti-sistem-zaschity-informatsii/viewer (дата обращения: 24.10.2025).
15. Этапы работ // IT-Enigma. URL: https://it-enigma.ru/etapy-rabot/ (дата обращения: 24.10.2025).
16. Методика оценки рисков информационной безопасности // IB-Gladiator. URL: https://ib-gladiator.ru/metodika-ocenki-riskov-informacionnoj-bezopasnosti/ (дата обращения: 24.10.2025).
17. Модель угроз безопасности персональных данных в ИСПДн: что такое и как составлять // Б-152. URL: https://b-152.ru/blog/model-ugroz/ (дата обращения: 24.10.2025).
18. Информационная безопасность в медицине: как организовать хранение данных пациентов // 1С:БИТ. URL: https://www.1cbit.ru/blog/informatsionnaya-bezopasnost-v-meditsine/ (дата обращения: 24.10.2025).
19. Метод расчета риска информационной безопасности. Оценка рисков как // Core.ac.uk. URL: https://core.ac.uk/download/pdf/196606828.pdf (дата обращения: 24.10.2025).
20. Методы оценки эффективности систем защиты информационных систем // CyberLeninka. URL: https://cyberleninka.ru/article/n/metody-otsenki-effektivnosti-sistem-zaschity-informatsionnyh-sistem/viewer (дата обращения: 24.10.2025).
21. Классификация подходов к оценке эффективности КСЗИ и их характеристика // Audit-IB. URL: https://audit-ib.ru/blog/classifikaciya-podhodov-k-ocenke-effektivnosti-kszi-i-ih-harakteristika/ (дата обращения: 24.10.2025).
22. Классификация информационных систем персональных данных // WikiSec. URL: https://wikisec.ru/klassifikaciya-informacionnyh-sistem-personalnyh-dannyh/ (дата обращения: 24.10.2025).
23. Информационная система персональных данных: что это такое, как работает, классы и уровни защиты ИСПДн // MWS. URL: https://mws.ru/blog/chto-takoe-ispdn/ (дата обращения: 24.10.2025).
24. Информационная безопасность в здравоохранении // Ideco. URL: https://ideco.ru/blog/informatsionnaya-bezopasnost-v-zdravookhranenii.html (дата обращения: 24.10.2025).
25. Информационная безопасность в здравоохранении: что такое ИБ в медицине, как обеспечить защиту // Клерк.ру. URL: https://www.klerk.ru/buh/articles/563810/ (дата обращения: 24.10.2025).
26. Оценка эффективности систем защиты информации // CyberLeninka. URL: https://cyberleninka.ru/article/n/otsenka-effektivnosti-sistem-zaschity-informatsii/viewer (дата обращения: 24.10.2025).
27. Классификация информационной системы персональных данных // WetaGroup. URL: https://wetagroup.ru/blog/klassifikaciya-informacionnoj-sistemy-personalnyh-dannyh/ (дата обращения: 24.10.2025).
28. Нормативные документы определяющие требования по обработке и защите персональных данных // Мой Бизнес. URL: https://moi-b.ru/normativnye-dokumenty (дата обращения: 24.10.2025).
29. Методика оценки эффективности систем безопасности автоматизированных систем управления // CyberLeninka. URL: https://cyberleninka.ru/article/n/metodika-otsenki-effektivnosti-sistem-bezopasnosti-avtomatizirovannyh-sistem-upravleniya/viewer (дата обращения: 24.10.2025).
30. Создание системы защиты персональных данных // ИСПДн.инфо. URL: https://испдн.инфо/sozdanie-sistemy-zaschity-personalnyx-dannyx (дата обращения: 24.10.2025).
31. Как составить модель угроз для информационных систем персональных данных // Б-152. URL: https://b-152.ru/blog/kak-sostavit-model-ugroz-dlya-informatsionnykh-sistem-personalnykh-dannykh (дата обращения: 24.10.2025).
32. Перечень документов по защите персональных данных в 2025 году // IB-Gladiator. URL: https://ib-gladiator.ru/perechen-dokumentov-po-zashchite-personalnyh-dannyh-v-2025-godu/ (дата обращения: 24.10.2025).
33. Классификация информационных систем персональных данных // ISEC. URL: https://www.isec.ru/klassifikaciya-ispdn (дата обращения: 24.10.2025).
34. Разработка комплекта организационно-распорядительных документов по обеспечению безопасности ПДн // ДиалогНаука. URL: https://www.dialognauka.ru/services/pdn-documentation/ (дата обращения: 24.10.2025).
35. Виды информационных систем персональных данных // Приказ21.рф. URL: https://приказ21.рф/vidy-ispdn/ (дата обращения: 24.10.2025).
36. Уровень защищенности персональных данных: как правильно определить // Sky.pro. URL: https://sky.pro/media/uroven-zashchishchennosti-personalnykh-dannykh-kak-pravilno-opredelit/ (дата обращения: 24.10.2025).
37. Создание системы защиты персональных данных, приведение процессов обработки и обеспечения безопасности персональных данных в соответствие требованиям законодательства // ДиалогНаука. URL: https://www.dialognauka.ru/services/pdn-implement/ (дата обращения: 24.10.2025).
38. Предпроектное проектирование информационных систем персональных данных как этап аудита информационной безопасности // CyberLeninka. URL: https://cyberleninka.ru/article/n/predproektnoe-proektirovanie-informatsionnyh-sistem-personalnyh-dannyh-kak-etap-audita-informatsionnoy-bezopasnosti/viewer (дата обращения: 24.10.2025).
39. Требования к защите персональных данных при их обработке в информационных системах персональных данных // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_137750/ (дата обращения: 24.10.2025).
40. С чего начать моделирование угроз безопасности персональных данных // Б-152. URL: https://b-152.com/blog/s-chego-nachat-modelirovanie-ugroz-bezopasnosti-personalnykh-dannykh (дата обращения: 24.10.2025).
41. Уровни защищенности персональных данных в ИСПДн // IB-Gladiator. URL: https://ib-gladiator.ru/urovni-zashchishchennosti-personalnyh-dannyh-v-ispdn/ (дата обращения: 24.10.2025).
42. ГОСТ Р 59407-2021. Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных. URL: https://docs.cntd.ru/document/1200179830 (дата обращения: 24.10.2025).
43. Обследование информационной системы // HelpIT. URL: https://helpit.me/obsl/ (дата обращения: 24.10.2025).
44. Документы по персональным данным для ФЗ № 152 // Б-152. URL: https://b-152.ru/docs (дата обращения: 24.10.2025).
45. Как обеспечить информационную безопасность в медицинских организациях? Пример решения // Tadviser. URL: https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9A%D0%B0%D0%BA_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B8%D1%82%D1%8C_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%83%D1%8E_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%B2_%D0%BC%D0%B5%D0%B4%D0%B8%D1%86%D0%B8%D0%BD%D1%81%D0%BA%D0%B8%D1%85_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%D1%85%3F_%D0%9F%D1%80%D0%B8%D0%BC%D0%B5%D1%80_%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F (дата обращения: 24.10.2025).
46. Нормативно-методические документы по защите персональных данных — полный пакет по 152-ФЗ // Б-152. URL: https://b-152.com/docs (дата обращения: 24.10.2025).
47. Защита персональных данных в организации. Какие документы нужны? // Портал-Юг. URL: https://portal-yug.ru/blog/zashchita-personalnyh-dannyh-v-organizacii-kakie-dokumenty-nuzhny/ (дата обращения: 24.10.2025).
48. Анализ этапов предпроектного обследования информационной системы персональных данных // CyberLeninka. URL: https://cyberleninka.ru/article/n/analiz-etapov-predproektnogo-obledovaniya-informatsionnoy-sistemy-personalnyh-dannyh/viewer (дата обращения: 24.10.2025).
49. Положение о работе с персональными данными // StudFile. URL: https://studfile.net/preview/9599547/page:14/ (дата обращения: 24.10.2025).
50. II. Состав и содержание мер по обеспечению безопасности персональных данных // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_145025/ (дата обращения: 24.10.2025).
51. Методические рекомендации ИСПДн.docx // Гарант. URL: https://www.garant.ru/products/ipo/prime/doc/71320390/ (дата обращения: 24.10.2025).
52. Пишем модель угроз // Хабр. URL: https://habr.com/ru/articles/456636/ (дата обращения: 24.10.2025).
53. ИСПДн и уровни защищенности персональных данных // Selectel. URL: https://selectel.ru/blog/ispdn-and-personal-data-security-levels/ (дата обращения: 24.10.2025).
54. Расчет уровня защищенности для ИСПДн // ISEC. URL: https://www.isec.ru/raschet-urovnya-zashhishhennosti-dlya-ispdn (дата обращения: 24.10.2025).
55. Разработка документа «Техническое задание на создание системы защиты персональных данных в ИСПДн» // IC-DV. URL: https://ic-dv.ru/services/razrabotka-dokumenta-tehnicheskoe-zadanie-na-sozdanie-sistemy-zashhity-personalnyh-dannyh-v-ispdn/ (дата обращения: 24.10.2025).
56. Модель угроз // WikiSec. URL: https://wikisec.ru/model-ugroz/ (дата обращения: 24.10.2025).
57. Алгоритм создания системы защиты персональных данных // Asta-Inform. URL: https://asta-inform.ru/blog/algoritm-sozdaniya-sistemy-zashchity-personalnykh-dannykh (дата обращения: 24.10.2025).
58. Что является персональными данными по закону № 152 от 27.07.2006? // Safe-Audit. URL: https://www.safe-audit.ru/chto-yavlyaetsya-personalnymi-dannymi-po-zakonu-152-ot-27-07-2006/ (дата обращения: 24.10.2025).
59. Термины и определения // КонсультантПлюс. URL: https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=288252&dst=100002&rnd=0.9161726055845014#0247672282245229 (дата обращения: 24.10.2025).
60. Защита персональных данных при осуществлении обязательного медицинского страхования // Ресо-Мед. URL: https://reso-med.com/patients/protection-of-personal-data/ (дата обращения: 24.10.2025).
61. О защите персональных данных // Краевая детская клиническая больница. URL: https://kkdb.ru/o-zashhite-personalnyh-dannyh/ (дата обращения: 24.10.2025).
62. Требования ФСБ по защите информации // SearchInform. URL: https://www.searchinform.ru/about/blog/trebovaniya-fsb-po-zashchite-informatsii/ (дата обращения: 24.10.2025).
63. ГОСТ Р 59516-2021. Информационные технологии (ИТ). Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности. URL: https://docs.cntd.ru/document/1200179836 (дата обращения: 24.10.2025).
64. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»… // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_145025/ (дата обращения: 24.10.2025).
65. Информационная безопасность страховых компаний // SearchInform. URL: https://www.searchinform.ru/solutions/business/insurance/information-security/ (дата обращения: 24.10.2025).
66. Рекомендации по обработке персональных данных в сфере здравоохранения // PD.gov.by. URL: https://pd.gov.by/recommendations/recommendations_health/ (дата обращения: 24.10.2025).
67. Приказ ФСТЭК № 21. Приложение — Контроль соответствия // SecuritM. URL: https://securitm.ru/docs/prikaz-fstek-n21-prilozhenie (дата обращения: 24.10.2025).
68. Приказ ФСТЭК РФ от 18.02.2013 N 21 — Редакция от 14.05.2020 // Контур.Норматив. URL: https://normativ.kontur.ru/document?moduleId=1&documentId=216335 (дата обращения: 24.10.2025).
69. Защита персональных данных в медицине: что нужно знать? // Медихост. URL: https://medihost.ru/blog/zashchita-personalnykh-dannykh-v-meditsine/ (дата обращения: 24.10.2025).
70. Защита персональных данных в медицинских учреждениях // Дрим. URL: https://www.drim.ru/info-security/zashchita-personalnyh-dannyh-v-meditsinskih-uchrezhdeniyakh/ (дата обращения: 24.10.2025).
71. Требования к защите персональных данных, обрабатываемых в медицинских информационных системах // HCSI. URL: https://www.hcsi.ru/news/trebovaniya-k-zashchite-personalnykh-dannykh-obrabatyvaemykh-v-meditsinskikh-informatsionnykh-sistemakh (дата обращения: 24.10.2025).
72. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состав… » // ITGlobal. URL: https://itglobal.ru/upload/iblock/c34/c340b8a0378942b10a2f470a1a08412e.pdf (дата обращения: 24.10.2025).
73. О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных // ФСБ России. URL: http://www.fsb.ru/fsb/science/legal_support/pdn/pdn.htm (дата обращения: 24.10.2025).
74. Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных…» // Документы системы ГАРАНТ. URL: https://base.garant.ru/70720498/ (дата обращения: 24.10.2025).
75. Нормативно-методические документы ФСБ России в области защиты ИСПДн и ГИС // Аттестация.ру. URL: https://attestation.ru/articles/normativno-metodicheskie-dokumenty-fsb-rossii-v-oblasti-zashhity-ispdn-i-gis (дата обращения: 24.10.2025).
76. Разбор ФЗ-152: Как клинике выполнить требования по защите персональных данных пациентов // 1С:БИТ. URL: https://www.1cbit.ru/blog/razbor-fz-152-kak-klinike-vypolnit-trebovaniya-po-zashchite-personalnykh-dannykh-patsientov/ (дата обращения: 24.10.2025).
77. Обработка персональных данных // МАКС-М. URL: https://www.maksm.ru/o-kompanii/politika-obrabotki-personalnykh-dannykh/ (дата обращения: 24.10.2025).
78. Политика учреждения по обработке персональных данных // ГУЗ ГП 7. URL: https://guzgp7.ru/politika-uchrezhdeniya-po-obrabotke-personalnyh-dannyh/ (дата обращения: 24.10.2025).
79. ГОСТ Р 59407–2021. Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных // Aladdin R.D. URL: https://www.aladdin-rd.ru/upload/medialibrary/0f1/gost-r-59407_2021.pdf (дата обращения: 24.10.2025).
80. Виды персональных данных по закону №152-ФЗ в 2025 году // Портал-Юг. URL: https://portal-yug.ru/blog/vidy-personalnyh-dannyh-po-zakonu-152-fz-v-2025-godu/ (дата обращения: 24.10.2025).
81. Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения // RTMTech. URL: https://www.rtmtech.ru/library/chto-predstavlyaet-soboy-federalnyy-zakon-o-personalnyh-dannyh-n-152-fz-i-kakaya-otvetstvennost-za-ego-narusheniya (дата обращения: 24.10.2025).
82. Как составить политику обработки персональных данных для сайта в 2024 году // REG.RU. URL: https://www.reg.ru/blog/personalnye-dannye-na-sayte/ (дата обращения: 24.10.2025).
83. Энциклопедия решений. Понятие и виды персональных данных (август 2025) // Гарант. URL: https://base.garant.ru/57700684/ (дата обращения: 24.10.2025).
84. Что такое ИСПДн — информационные системы персональных данных, и зачем в них стоит разобраться // ВКонтакте. URL: https://vk.com/blog/ispdn-chto-eto-takoe (дата обращения: 24.10.2025).
85. Типы и классификация ИСПДн // RTMTech. URL: https://www.rtmtech.ru/library/tipy-i-klassifikaciya-ispdn (дата обращения: 24.10.2025).