Система информационной безопасности медицинского учреждения

Размещено на http://www.allbest.ru/

Техническое задание

Введение

Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.

Основание для разработки

Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.

Назначение разработки

Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.

Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.

Требования к КСЗИ

В требования входит:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- минимизация привилегий по доступу к информации;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- минимизация общих механизмов защиты.

- Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

- Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности мед. учреждения.

- Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.

Стадии и этапы разработки

Первая стадия доработка и создание нормативно-правовых документов. Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Во вторую стадию входит организационная защита. Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

В третью стадию входит подбор инженерно-технических решений. Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации.

Реферат

Дипломная работа содержит пояснительную записку на 162 листах, 33 Рисунка, 19 таблиц, 00 источников и графическую часть из 6 чертежей.

Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.

Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.

В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации и внедрения комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность внедрения данной системы.

Определения, обозначения и сокращения

АС - автоматизированная система.

ЛПУ - лечебное профилактическое учреждение.

БД - база данных.

МСЭ - межсетевой экран.

ОС - операционная система.

ПО - программное обеспечение.

СБ - система безопасности.

СОА - система обнаружения атак.

ПС - пожарная сигнализация

ППКОП - прибор приёмно-контрольного охрано-пожарного пункта

ОПС - охрано-пожарная сигнализация

ОТС - охрано-тревожная сигнализация

ИСБ - интегрированная система безопасности

ЛВС - локально вычислительная сеть

СИРД - средства изготовления и размножения документов

ОТСС - основные технические средства и системы

ВТСС - вспомогательные технические средства и системы

ТСОИ - технические средства обработки информации

ФСТЭК - федеральная служба по техническому и экспортному контролю

РД - руководящий документ

СлЗИ - служба защиты информации

ПЭВМ - персональная электронная вычислительная машина

ЛПУ - Лечебно-Профилактическое Учреждение

ЗАО - закрытое акционерное общество

ЭВМ - электронная вычислительная машина

КПП - контрольно-пропускной пункт

ЧОП -частное охранное предприятие

АРМ - автоматизированное рабочее место

СНиП - строительные нормы и правила

КЗ - контролируемая зона

КСЗИ - комплексная система защиты информации

СОТ - система охранного телевидения

ТК - телевизионная камера

СВМ - специальные видеомагнитофоны

АСПИ - автоматизированная система передачи извещений

РСПИ -радиосистемы передачи извещений

ППК - приёмно-контрольный прибор

ТС -тревожная сигнализация

ПУО -пульт центральной охраны

СПИ -система передачи извещений

СОУЭ -система оповещения и управления эвакуацией

УК -уголовный кодекс

ФЗ -федеральный закон

Введение

Отправной точкой при разработке комплексной системы защиты информации медицинского учреждения, является ясное понимание роли и места системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.

В медицинском учреждении используются большой объем информации.

Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законом №152.

Безопасность медицинского учреждения представляет собой своеобразную многоуровневую систему барьеров, включающих в себя такие меры, как установка различных типов сигнализации, организация наблюдения и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться «тонких» мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы.

Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, неумение, безответственность сотрудников мед. учреждении. Можно утверждать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем ниже рилпу ошибок в безопасности информации.

С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.

Комплексная система защиты информации строиться на таких составляющих как организационная, правовая, инженерно-техническая защита.

Система так-же должна сохранять целостность данных даже при форс мажорных обстоятельствах, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе нарушающие работу системы.

Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.

1. Анализ проблемы и методов ее решения

1.1 Общие сведения о защищаемом объекте

Полное официальное наименование учреждения - БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ ОМСКОЙ ОБЛАСТИ "ГОРОДСКАЯ БОЛЬНИЦА № 6". Сокращенное наименование БУЗОО МУЗ ГБ№6.

Зарегистрировано 28 июня 1976 года в Администрации г. Омска.

МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.

Осуществляется следующие виды врачебных услуг:

акушерское дело, акушерство и гинекология (за искл. использования вспомогательных репродуктивных технологий), вакцинация (проведение профилактических прививок), гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология (за искл. кохлеарной имплантации), офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.

1.2 Описание защищаемого объекта информатизации

В качестве изучаемого объекта была взята МУЗ ГБ№6. Тип деятельности: осуществление специализированной медицинской помощи по: контролю качества медицинской помощи; стоматологии; терапевтической; ортопедической; хирургической; ортодонтии; экспертизе временной нетрудоспособности, а так же плановые осмотры для предприятий на прилегающей территории.

Специфика организации работы.

Режим работы объекта. Рабочее время: 8:00 - 18:00. Без перерыва на обед. Рабочие дни: понедельник - пятница. Выходные: суббота, воскресенье. Работа по праздникам, возможны сокращенные рабочие дни.

Режим доступа на организацию - свободный, в рабочие дни. Имеется КПП для машин, охранные пункты для пешеходов - отсутствуют. Доступ к оборудованию имеет только специализированный персонал, за каждым закреплено свое рабочее место.

Состав сотрудников и посетителей.

Количество сотрудников - 72 человека. Штат: 30 врачей, 5 операторы ПК, 3 бухгалтерия, 5 экономисты, 30 санитары, 2 охранника, 2 плотника.

Количество посетителей - до 1000 человек в день, стихийно.

Объект зашиты БУЗОО МУЗ ГБ№6 относится к классу 1.

По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.

В учреждении имеется сервер который выполняет функцию файлового сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.

Площадь здания 1500 м². Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.

Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.

Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.

Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.

В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.

Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.

В коридоре и кабинетах на высоте 2,2м. - 2,4м. смонтированы кабель каналы, с кабелем UTP-8.

В отделах присутствуют: ПЭВМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.

Телефонных аппаратов 18 штук. Тип розеток евророзетка. Тип проводки двухпроводная.

Система электропитания : сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.

Планы этажа показан в приложении Б.

1.3 Объекты и предметы защиты в медицинском учреждении

Основными объектами защиты в медицинском учреждении являются:

- персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).

- объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с пациентами;

Медицинская тайна (сведения о пациентах, состоянии их здоровья, результатах исследований);

Персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).

- документированная информация, регламентирующая статус учреждения, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)

- материальные носители охраняемой законом информации (личные дела работников, личные дела пациентов, электронные базы данных работников и пациентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

- средства защиты информации (Интернет-шлюз, , система сигнализации и др.)

- технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших пациентов)

Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;

- Личные дела работников в бумажном и электронном виде;

- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, в бумажном и электронном виде.

Документы, которые имеют конфиденциальный характер и требующие зашиты:

1. Выписки рецептов

2. Документы о направлении на исследования

3. Результаты анализов

4. Документы об уплате стоимости услуг

5. Медицинские карточки пациентов

6. Внутренние приказы и распоряжения

7. Материалы кадрового делопроизводства

8. Персональные данные сотрудников

9. Должностные инструкции по отдельным подразделениям

10. Программный код, разработанный в компании

11. Проектные данные (схемы, чертежи, расчеты, планы работ)

12. Схемы информационных потоков и коммуникаций

13. Архитектура информационной системы

14. Активационные коды на лицензионное ПО

15. Приказ о категорировании и классификации объектов вычислительной техники

16. Приказ о вводе в эксплуатацию ПЭВМ

17. Приказ о введении режима коммерческой тайны на предприятии

18. Положение об отделе администрирования и технического сопровождения информационных систем

19. Положение о группе инженерно-технической защиты информации

20. Положение об охранно-пропускном режиме предприятия

21. Положение о структуре службы безопасности

22. Положение об отделе защиты информации

23. Положение о компьютерной сети поликлиники

24. Положение о системном администрировании компьютерной сети поликлиники

25. Должностные инструкции сотрудников предприятия

26. Трудовые договоры сотрудников, работающих с конфиденциальной информацией

27. Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ

28. Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации

29. Бюджет поликлиники

30. Договоры предоставления услуг

31. Договоры, заключенные с поставщиками оборудования

32. Договоры, заключенные с пациентами

В списке помещений, подлежащих оснащению системой противодействия экономическому шпионажу следует отнести:

- Кабинет главного врача;

- Лаборатория;

- Бухгалтерия;

- Серверная;

1.4 Угрозы защищаемой информации

Размещено на http://www.allbest.ru/

Схема 1 - Угрозы защищаемой информации в медицинском учреждении

Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:

1. Утрата сведений, составляющих медицинскую тайну, коммерческую тайну лечебного учреждения и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;

2. Утечка - несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;

3. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезполиклиники функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.

1.5 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

К источникам дестабилизирующего воздействия на информацию относятся:

люди;

технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;

3. природные явления.

Схема 2 - Источники дестабилизирующего воздействия на защищаемую информацию

Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди. К ним относятся:

сотрудники данного медицинского учреждения ;

лица, не работающие в ЛПУ, но имеющие доступ к защищаемой информации в силу служебного положения (из контролирующих органов государственной и муниципальной власти и др.);

сотрудники посторонних фирм оказывающих услуги;

лиц, для которых защищаемая информация представляет ценность, хакеры.

Эти категории людей подразделяются на две группы:

имеющие доступ к носителям данной защищаемой информации, техническим средствам ее отображения, хранения, обработки, воспроизведения, передачи и системам обеспечения их функционирования и

не имеющие такового.

Самым многообразным этот источник является потому, что ему, по сравнению с другими источниками, присуще значительно большее количество видов и способов дестабилизирующего воздействия на информацию [2].

Самым опасным этот источник является потому, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников - к отдельным формам).

Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям.

Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:

1.Непосредственное воздействие на носители защищаемой информации.

2.Несанкционированное распространение конфиденциальной информации.

3.Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.

4.Нарушение режима работы перечисленных средств и технологии обработки информации.

5.Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

Способами непосредственного воздействия на носители защищаемой информации могут быть:

физическое разрушение носителя (поломка, разрыв и др.);

создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т.д.);

удаление информации с носителей (замазывание, стирание, обесцвечивание и др.);

создание искусственных магнитных полей для размагничивания носителей;

внесение фальсифицированной информации в носители;

непреднамеренное оставление их в неохраняемой зоне, чаще всего в общественном транспорте, магазине, на рынке, что приводит к потере носителей.

Несанкционированное распространение конфиденциальной информации может осуществляться путем:

словесной передачи (сообщения) информации;

передачи копий (снимков) носителей информации;

показа носителей информации;

ввода информации в вычислительные сети;

опубликования информации в открытой печати;

использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;

потеря носителей информации.

К способам вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования, приводящим к уничтожению, искажению и блокированию, можно отнести:

неправильный монтаж средств;

поломку (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей;

создание аварийных ситуаций для технических средств (поджог, искусственное затопление, взрыв и др.);

отключение средств от сетей питания;

вывод из строя или нарушение режима работы систем обеспечения функционирования средств;

вмонтирование в электросну вычислительную машину (ЭВМ) разрушающих радио- и программных закладок;

нарушение правил эксплуатации систем.

Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:

повреждение отдельных элементов средств;

нарушение правил эксплуатации средств;

внесение изменений в порядок обработки информации;

- заражение программ обработки информации вредоносными программами;

выдача неправильных программных команд;

превышение расчетного числа запросов;

создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;

- передача ложных сигналов - подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;

нарушение (изменение) режима работы систем обеспечения функционирования средств.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.

К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, наводнение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, уничтожению, искажению, блокированию и хищению.

Способами воздействия со стороны и стихийных бедствий и атмосферных явлений могут быть:

- разрушение (поломка);

- затопление;

- сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств;

- нарушение режима работы средств и систем, а также технологии обработки информации [2].

1.6 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении

К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:

стремление получить материальную выгоду (подзаработать);

стремление нанести вред (отомстить) руководству или коллеге по работе;

стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;

стремление продвинуться по службе;

стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;

физическое воздействие (побои, пытки) со стороны злоумышленника;

стремление показать свою значимость.

Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:

неквалифицированное выполнение операций;

халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;

небрежность, неосторожность, неаккуратность;

- физическое недомогание (болезни, переутомление, стресс, апатия).

Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:

- недостаток или плохое качество средств;

низкое качество режима функционирования средств;

перезагруженность средств;

низкое качество технологии выполнения работ.

В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.

1.7 Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении

К числу наиболее вероятных каналов утечки информации можно отнести:

- совместную с другими фирмами деятельность, участие в переговорах;

- фиктивные запросы;

- посещения ЛПУ;

- общения представителей учреждения о характеристиках предоставляемых услуг;

- консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;

- совещания, конференции и т.п.;

- разговоры в нерабочих помещениях;

- обиженных сотрудников фирм;

- технические каналы;

- материальные потоки (транспортировка спецпочты).

При поликлиники защиты информации в медицинском учреждении необходимо учитывать следующие возможные методы и способы сбора информации:

- опрос сотрудников изучаемой учреждения при личной встрече;

- навязывание дискуссий по интересующим проблемам;

- ведение частной переписки со специалистами.

Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран нарушители могут прибегнуть в том числе и к противоправным действиям, шпионажу.

Наиболее вероятно использование следующих способов добывания информации:

- визуальное наблюдение;

- подслушивание;

- техническое наблюдение;

- прямой опрос, выведывание;

- ознакомление с материалами, документами, изделиями и т.д.;

- сбор открытых документов и других источников информации;

- хищение документов и других источников информации;

- изучение множества источников информации, содержащих по частям необходимые сведения.

Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы

Таблица 1 - Классификация возможных каналов утечки информации

Каналы утечки информации с объекта защиты
1	Оптический канал	Окно помещения
2	Радиоэлектронный канал	ПЭВМ
		СИРД
		Телефон
		ВТСС
		ОТСС
		Система ОПС
		Система энергоснабжения и розетки
3	Акустический канал	Теплопровод подземный
		Водопровод подземный
		Стены помещения
		Система центрального отопления
		Вентиляция
4	Материально-вещественный канал	Документы на бумажных носителях
		Персонал предприятия
		Твердотельные накопители

Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации в БУЗОО МУЗГБ №6.

1.8 Вероятная модель злоумышленника

Медицинское учреждение работает с пациентами которые предоставляют всю необходимую информацию, в результате обладая этой информацией ЛПУ обязано не допустить попадания её к третьим лицам. Утечка информации из нашего учреждения может нанести серьезный урон не только самой себе, но прежде всего пациентам.

Потенциальными злоумышленниками могут быть, недобросовестные пациенты, и сотрудники фирмы, а так же сторонние лица заинтересованные в получении конфиденциальной информации.

Если угроза исходит от лиц, не являющиеся сотрудниками медицинского учреждения, то возможность проникновения в выделенное помещение в нерабочее время исключается, во-первых, выделенное помещение оборудовано сигнализацией, а так же заперто на хорошую железную дверь, ключ к которой находится под пристальным наблюдением охраны. Дверь постоянно запирается, если выделенное помещение пустует.

Для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему поликлиники изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, возможен так же случай запугивания сотрудников.

Для исключения возможности несанкционированного доступа к данным сотрудниками поликлиники в выделенное помещение допускается только системный администратор. Так же могут допускаться лица, обслуживающие оборудование от других организаций, но только в присутствии администратора.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники учреждения, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

1.9 Фактическая защищенность медицинского учреждения

В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:

Организационные мероприятия:

1. Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.

2. Во все помещения здания имеет доступ лишь персонал поликлиники и пациенты.

3. Посетители, ожидающие приема, находятся в коридоре.

4. Вход людей в здание осуществляется через главный вход. Охрана на входе отсутствует, никаких СКУД не установлено.

5. Вход людей в помещение БУЗОО МУЗГБ №6 осуществляется через двустворчатую пластиковую дверь.

6. Вся конфеденциальная информация пересылается посредством электронной почты, доступ к которой имеется у большого количества сотрудников.

Правовые мероприятия:

1. Инструкции сотрудников , ответственных за защиту информации

2. Утверждены должностные обязанности руководителей, специалистов и служащих предприятия

Инженерно-технические меры:

1. Во всех помещениях поликлиники установлены извещатели пожарной сигнализации

2. Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией

Программно-аппаратные меры:

1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение - MS Office 2003, антивирусное программное обеспечение - Dr. Web 6.0.

2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.

3. Пакет Microsoft Office; Интернет-шлюз UserGate.

4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.

5. Установлен сервер на основе OS Server 2003.

5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.

Инженерно-техническая укрепленность объекта защиты

В соответствии с руководящий документ (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.

В защищаемом помещении конфиденциальная информация обрабатывается на ПЭВМ, а также хранится в сейфе на материальном носителе (бумаге). Отсюда следует, что помещение должно иметь 2 категорию защищенности:

- вторая категория - помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.

К таким помещениям на объекте защиты относится, отдел юридический, кабинет главного врача, лаборатория, кабинет старшей медсестры.

В соответствии с требованиями РД 78.36.003-2002 объект защиты соответствует классу Б II. Согласно этому строительные конструкции объекта должны соответствовать первому классу защищенности, то есть кирпичные перегородки должны быть толщиной 138 мм по строительным нормам и правилам (СНиП) III-17-78, а железобетонные конструкции толщиной 160 мм по ГОСТ 9561-91. Как уже указывалось выше, толщина кирпичной кладки внутри объекта защиты составляет 1 кирпич, что равно 250мм, а железобетонные блоки имеют ширину 200 мм. То есть строительные конструкции удовлетворяют первому классу защищенности.

Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.

Оконные конструкции так же удовлетворяют требованиям класса Б II.

Основная проблема предприятия:

1.10 Прошлые случаи кражи в СК

Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.

1.11 Недостатки в защите медицинского учреждения

Внешние недостатки:

- недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

Внутренние недостатки:

- недостаточное внимание к обеспечению защиты информации со стороны руководства (нет отдельной службы защиты информации);

- довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников учреждения (записывание паролей на бумаге, использование одинаковых паролей и т.д.);

- полное отсутствие разграничения доступа

- Сервер, на котором хранится база даных имеет прямой доступ в интернет.

- недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в мед. учреждении (в данный момент в штате нет ни одного специалиста по защите информации).

- Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ)

- Генераторы электромагнитного шума в помещении не установлены и не могут использоваться.

- Окна организации выходят во двор.

- Отсутствует защита телефонных, а так же UTP-8 линий.

- Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.

- На предприятии существуют устаревшие методы и принципы организации работы с документами.

Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.

Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.

1.12 Финансовые возможности медицинского учреждения

В связи с выходом законов и стремительном развитии нормативно правовых актов в сфере защиты информации, муниципальные учреждения финансируются, для создания КСЗИ с соблюдением всех норм и правил, установленных на территории РФ. Для улучшения этой КСЗИ, финансирование будет идти из своего бюджета, по этому:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- минимизация привилегий по доступу к информации;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- минимизация общих механизмов защиты.

1.13 Этапы построения КСЗИ для мед. учреждения

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

- обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;

- предотвратить кражу и утечку, а так же любую порчу конфиденциальной информации;

- документировать процесс защиты тайны, чтобы в случае попыток незаконного завладения любой нежелательной информацией для учреждения можно было защитить свои права юридически и наказать нарушителя.

Планируемые мероприятия должны:

- способствовать достижению определенных задач, соответствовать общему замыслу;

- являться оптимальными.

- Не должны:

- противоречить законам, требованиям руководителя организации;

- дублировать другие действия.

Правовая защита - специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.

Кроме того, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.

Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

Организационную защиту обеспечивает:

- Организация режима охраны, работы с кадрами, документами;

- Использование технических средств безопасности;

- Использование информационно-аналитической работы по выявлению угроз.

Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации. информация защита безопасность надежность

Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

- Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

- Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

- Программные средства.

1.14 Требования руководящих документов к системе безопасности объекта

1.14.1 Требования руководящих документов к системам видеонаблюдения

Одним из основных руководящих документов включающих требования к системам видеонаблюдения является РД 78.36.003-2002. Этот документ включает требования изданных ранее изданных руководящих документов. Рассмотрим основные его положения, касающиеся систем видеонаблюдения.

Согласно РД 78.36.003-2002 системы охранного телевидения (СОТ) должны обеспечивать передачу визуальной информации о состоянии охраняемых зон, помещений, периметра и территории объекта в помещение охраны. Применение охранного телевидения позволяет в случае получения извещения о тревоге определить характер нарушения, место нарушения, направление движения нарушителя и определить оптимальные меры противодействия. Кроме того, система охранного телевидения позволяет проводить наблюдение охраняемых зон объекта.

В состав СОТ, согласно ГОСТ Р 51558-2000 входят:

Обязательные устройства для всех СОТ:

­ телевизионная камера (ТК);

­ видеомонитор;

­ источник электропитания, в том числе резервный;

­ линии связи.

Дополнительные устройства для конкретных СОТ:

­ устройство управления и коммутации видеосигналов;

­ обнаружитель движения;

­ видеонакопитель.

На объекте ТК следует оборудовать:

­ периметр территории;

­ КПП;

­ главный и служебные входы;

­ помещения, коридоры, по которым производится перемещение денежных средств и материальных ценностей;

­ помещения, в которых непосредственно сосредоточены материальные ценности, за исключением хранилищ ценностей;

­ другие помещения по усмотрению руководства (собственника) объекта или по рекомендации сотрудника подразделения вневедомственной охраны.

Р 78 36.008-99 определяет общие требования с системам видеонаблюдения:

1. Условия эксплуатации:

­ в закрытых отапливаемых помещениях;

­ в закрытых неотапливаемых помещениях;

­ на улице под навесом;

­ на открытом воздухе;

­ в особых условиях (повышенная влажность, запыленность, вибрация).

2. Безопасность:

­ пожарная безопасность;

­ электробезопасность;

­ заземление;

­ отсутствие вредного влияния на здоровье пользователей и лиц, находящихся на объекте.

3. Надежность:

­ средняя наработка на отказ;

­ среднее время восстановления работоспособности;

­ средний срок службы;

­ гарантия исполнителя.

4. Продолжительность работы:

­ непрерывная круглосуточная работа;

­ работа в дневное время;

­ работа в ночное время;

­ периодическое включение.

5. Электропитание:

­ номинальные значения и допустимые отклонения напряжения и частоты в сети переменного тока;

­ категория энергоснабжения объекта или его отдельных зон;

­ способы резервирования питания;

­ переход на резервное питание и обратно - автоматический/ручной;

­ продолжительность работы от источника резервного питания в дежурном и тревожном режимах;

­ сетевые фильтры.

6. Техническое обслуживание и ремонт:

­ организация, проводящая техническое обслуживание и ремонт;

­ виды, состав и периодичность выполнения работ;

­ наличие и состав "холодного" резерва;

­ переход на резерв - автоматический или путем замены блоков, модулей.

7. Возможности расширения системы охранного телевидения:

­ свободные входы для ТК;

­ свободные выходы для видеомониторов/видеомагнитофонов;

­ интеграция с системами сигнализации, контроля и управления доступом;

­ интеграция с телеметрической системой ТК;

­ без нарушения работоспособности смонтированной СОТ;

­ с выключением смонтированной СОТ.

8. Состав документации:

­ спецификация оборудования с указанием его стоимости;

­ структурные (скелетные) схемы;

­ схемы (планы) размещения компонентов СОТ с указаниями по их монтажу;

­ схемы (планы) размещения источников охранного (дежурного) освещения с указанием мощности и типа (лампы накаливания, люминесцентные лампы, инфракрасные прожекторы);

­ схемы электрических соединений;

­ схемы прокладки линий связи и электропроводок;

­ схемы электрические принципиальные подключения оборудования;

­ техническое описание и инструкция по эксплуатации СОТ;

­ документация, поставляемая фирмой-изготовителем в комплекте с оборудованием, на русском языке.

Учет требований и рекомендаций руководящих документов позволит создать надежную систему видеонаблюдения.

1.14.2 Требования руководящих документов к системам охранно-пожарной сигнализации

РД 78.36.003-2002 предусматривает требования к системам охранной сигнализации.

Защита периметра территории и открытых площадок.

Технические средства охранной сигнализации периметра должны выбираться в зависимости от вида предполагаемой угрозы объекту, помеховой обстановки, рельефа местности, протяженности и технической укрепленности периметра, типа ограждения, наличия дорог вдоль периметра, зоны отторжения, ее ширины.

Охранная сигнализация периметра объекта проектируется, как правило, однорубежной.

Для усиления охраны, определения направления движения нарушителя, блокировки уязвимых мест следует применять многорубежную охрану.

Технические средства охранной сигнализации периметра могут размещаться на ограждении, зданиях, строениях, сооружениях или в зоне отторжения. Охранные извещатели должны устанавливаться на стенах, специальных столбах или стойках, обеспечивающих отсутствие колебаний, вибраций.

В качестве пультов внутренней охраны могут использоваться ППК средней и большой емкости (концентраторы), СПИ, автоматизированные системы передачи извещений (АСПИ) и радиосистемы передачи извещений (РСПИ). Пульты внутренней охраны могут работать как при непосредственном круглосуточном дежурстве персонала на них, так и автономно в режиме "Самоохраны".

Установка охранных извещателей по верху ограждения должна производиться только в случае, если ограждение имеет высоту не менее 2 м.

На КПП, в помещении охраны следует устанавливать технические устройства графического отображения охраняемого периметра (компьютер, световое табло с мнемосхемой охраняемого периметра и другие устройства).

Все оборудование, входящее в систему охранной сигнализации периметра должно иметь защиту от вскрытия.

Открытые площадки с материальными ценностями на территории объекта должны иметь предупредительное ограждение и оборудоваться объемными, поверхностными или линейными извещателями различного принципа действия.

Защита здания, помещений, отдельных предметов.

Техническими средствами охранной сигнализации должны оборудоваться все помещения с постоянным или временным хранением материальных ценностей, а также все уязвимые места здания (окна, двери, люки, вентиляционные шахты, короба и т. п.), через которые возможно несанкционированное проникновение в помещения объекта.

Объекты подгрупп AI, AII и БII оборудуются многорубежной системой охранной сигнализации, объекты подгруппы БI - однорубежной.

Первым рубежом охранной сигнализации, в зависимости от вида предполагаемых угроз объекту, блокируют:

­ деревянные входные двери, погрузочно-разгрузочные люки, ворота - на "открывание" и "разрушение" ("пролом");

­ остекленные конструкции - на "открывание" и "разрушение" ("разбитие") стекла;

­ металлические двери, ворота - на "открывание" и "разрушение",

­ стены, перекрытия и перегородки, не удовлетворяющие требованиям настоящего Руководящего документа или за которыми размещаются помещения других собственников, позволяющие проводить скрытые работы по разрушению стены - на "разрушение" ("пролом"),

­ оболочки хранилищ ценностей - на "разрушение" ("пролом") и "ударное воздействие";

­ решетки, жалюзи и другие защитные конструкции, установленные с наружной стороны оконного проема - на "открывание" и "разрушение";

­ вентиляционные короба, дымоходы, места ввода/вывода коммуникаций сечением более 200x200 мм - на "разрушение" ("пролом");

Защита персонала и посетителей объекта.

Для оперативной передачи сообщений на пульт центральной охраны (ПЦО) и/или в дежурную часть органов внутренних дел о противоправных действиях в отношении персонала или посетителей (например, разбойных нападениях, хулиганских действиях, угрозах) объект должен оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками, радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и другими устройствами.