Проектирование комплексной системы защиты информации на предприятии
Объекты и предметы защиты в медицинском учреждении. Источники и способы дестабилизирующего воздействия на защищаемую информацию. Комплексная система защиты информации. Организационные меры по системе допуска сотрудников к конфиденциальной информации.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 21.10.2017 |
Размер файла | 342,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«ОМСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
Кафедра «Комплексная защита информации»
ДИПЛОМНАЯ РАБОТА
на тему: «Проектирование комплексной системы защиты информации на предприятии»
Студента Белоглазова Михаила Валерьевича
группы РЗ-519
Руководитель работы: канд. физ.-мат. наук,
Доцент К.В.Логинов
Омск 2014
Содержание
Введение
1. Анализ проблемы и методов ее решения
1.1 Общие сведения о защищаемом объекте
1.2 Описание защищаемого объекта информатизации
1.3 Объекты и предметы защиты в медицинском учреждении
1.4 Угрозы защищаемой информации
1.5 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
1.6 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
1.7 Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
1.8 Вероятная модель злоумышленника
1.9 Фактическая защищенность медицинского учреждения
1.10 Прошлые случаи кражи в БУЗОО
1.11 Недостатки в защите медицинского учреждения
1.12 Финансовые возможности медицинского учреждения
1.13 Этапы построения КСЗИ для мед. Учреждения
1.14 Выводы
2. Описание постановки задач
2.1 Постановка задачи
2.2. Цель и назначение системы безопасности
2.3 Анализ рисков
3. Описание комплексной системы защиты информации
3.1 Правовая защита
3.2 Организационная защита
3.2.1 Создание службы защиты информации
3.2.2 Проверка лояльности персонала медицинского учреждения
3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
3.3 Инженерно-техническая защита
3.3.1 Структура существующей системы
3.3.1.1 Серверная
3.3.1.2 АРМ
3.3.1.3 ЛВС и внутренняя связь
3.3.1.4 Персонал и пациенты
3.3.1.5. Вывод
3.3.2 Выбор средств защиты
3.3.3 Выбор программных средств защиты
3.3.4Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
4. Экономическая часть
Введение
информация защита медицинский допуск
Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.
Основание для разработки
Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.
Назначение разработки
Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.
Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.
Требования к КСЗИ
В требования входит:
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- минимизация доступа к информации;
- независимость системы управления;
- простота защиты;
- устойчивость защиты при неблагоприятных обстоятельствах;
- минимизация механизмов защиты.
- обеспечение безопасности информации, ее средств, предотвращение утечки информации и предупреждение любого несанкционированного доступа к носителям;
- оттачивание механизмов оперативного реагирования на угрозы;
- ведение лога процесса защиты информации;
Стадии и этапы разработки
Первая стадия: доработка и создание нормативно-правовых документов. Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.
Во вторую стадию, входит организационная защита.
В третью стадию, входит подбор инженерно-технических решений. Инженерно-техническая защита - использование различных ТС для обеспечения защиты конфиденциальной информации.
В четвертую стадию входит анализ конечной КСЗИ, выводы о ее работе, обеспечении целостности, доступности и конфеденциальности.
Реферат
Дипломная работа содержит пояснительную записку на ??? листах, ?? Рисунка, ?? таблиц, ?? источников и графическую часть из ? чертежей.
Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.
Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.
В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации улучшения в комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность улучшения данной системы.
Определения, обозначения и сокращения
АС - автоматизированная система.
БУЗОО - лечебное профилактическое учреждение.
БД - база данных.
МСЭ - межсетевой экран.
ОС - операционная система.
ПО - программное обеспечение.
СБ - система безопасности.
СОА - система обнаружения атак.
ПС - пожарная сигнализация
ППКОП - прибор приёмно-контрольного охрано-пожарного пункта
ОПС - охрано-пожарная сигнализация
ОТС - охрано-тревожная сигнализация
ИСБ - интегрированная система безопасности
ЛВС - локально вычислительная сеть
СИРД - средства изготовления и размножения документов
ОТСС - основные технические средства и системы
ВТСС - вспомогательные технические средства и системы
ТСОИ - технические средства обработки информации
ФСТЭК - федеральная служба по техническому и экспортному контролю
РД - руководящий документ
СлЗИ - служба защиты информации
ПЭВМ - персональная электронная вычислительная машина
БУЗОО - Лечебно-Профилактическое Учреждение
ЗАО - закрытое акционерное общество
ЭВМ - электронная вычислительная машина
КПП - контрольно-пропускной пункт
ЧОП -частное охранное предприятие
АРМ - автоматизированное рабочее место
СНиП - строительные нормы и правила
КЗ - контролируемая зона
КСЗИ - комплексная система защиты информации
СОТ - система охранного телевидения
ТК - телевизионная камера
СВМ - специальные видеомагнитофоны
АСПИ - автоматизированная система передачи извещений
РСПИ -радиосистемы передачи извещений
ППК - приёмно-контрольный прибор
ТС -тревожная сигнализация
ПУО -пульт центральной охраны
СПИ -система передачи извещений
СОУЭ -система оповещения и управления эвакуацией
УК -уголовный кодекс
ФЗ -федеральный закон
Введение
Для начала, при разработке комплексной системы защиты информации медицинского учреждения является ясное понимание роли системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.
В медицинском учреждении используются большой объем информации.
Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законами №152, 323 ФЗ.
Безопасность медицинского учреждения представляет собой совокупность мер, отвечающих за разные типы угроз, включающих в себя такие меры, как установка различных типов сигнализации и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться незамеченных мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы.
Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, безответственность сотрудников мед. учреждении. Ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем меньше ошибок в безопасности информации.
С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.
Система защиты информации базируется на таких составляющих как, организационная, правовая, инженерно-техническая защита.
Система должна сохранять целостность данных даже при чрезвычайных ситуациях, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе неблагоприятно влияющие или вовсе, нарушающие работу системы.
Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.
1. Анализ проблемы и методов ее решения
1.1 Общие сведения о защищаемом объекте
Полное наименование учреждения - Бюджетное Учреждение Здравоохранения Омской Области. Сокращенное наименование БУЗОО.
Зарегистрировано 28 июня 1976 года в Администрации г. Омска.
МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.
Осуществляется следующие виды врачебных услуг:
акушерское дело, акушерство и гинекология, вакцинация, гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология, офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.
1.2 Описание защищаемого объекта информатизации
В качестве изучаемого объекта была взята МУЗ ГБ№6. Тип деятельности: осуществление специализированной медицинской помощи по: контролю качества медицинской помощи; стоматологии; терапевтической; ортопедической; хирургической; ортодонтии; экспертизе временной нетрудоспособности, а так же плановые осмотры для предприятий на прилегающей территории.
Специфика организации работы.
Режим работы объекта. Рабочее время: 8:00 - 18:00. Без перерыва на обед. Рабочие дни: понедельник - пятница. Выходные: суббота, воскресенье. Работа по праздникам, возможны сокращенные рабочие дни.
Режим доступа на организацию - свободный, в рабочие дни. Имеется КПП для машин, охранные пункты для пешеходов - отсутствуют. Доступ к оборудованию имеет только специализированный персонал, за каждым закреплено свое рабочее место.
Состав сотрудников и посетителей.
Количество сотрудников - 72 человека. Штат: 30 врачей, 5 операторы ПК, 3 бухгалтерия, 5 экономисты, 30 санитары, 2 охранника, 2 плотника.
Количество посетителей - до 1000 человек в день, стихийно.
Объект зашиты БУЗОО МУЗ ГБ№6 относится к классу 1.
По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.
В учреждении имеется сервер который выполняет функцию файлового сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.
Площадь здания 1500 м2. Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.
Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.
Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.
Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.
В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.
Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.
В коридоре и кабинетах на высоте 2,2м. - 2,4м. смонтированы кабель каналы, с кабелем UTP-8.
В отделах присутствуют: АРМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.
Телефонных аппаратов 18 штук. Тип розеток евро розетка. Тип проводки двухпроводная.
Система электропитания: сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.
1.4 Объекты и предметы защиты в ИСПДн мед.учреждения
Основными объектами защиты в медицинском учреждении являются:
- персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).
- объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и приема пациентов;
Конфеденциальная информация (сведения о пациентах, состоянии их здоровья, результатах исследований);
Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:
- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;
- Личные дела работников в бумажном и электронном виде;
-Реестр ОМС;
-Другие медицинские сведения, классифицируемые как специальные медицинские данные;
- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, в бумажном и электронном виде.
Документы, которые имеют конфиденциальный характер и требующие зашиты:
1. Выписки рецептов
2. Документы о направлении на исследования
3. Результаты анализов
4. Документы об уплате стоимости услуг
5. Медицинские карточки пациентов
6. Внутренние приказы и распоряжения
7. Материалы кадрового делопроизводства
8. Персональные данные сотрудников
9. Должностные инструкции по отдельным подразделениям
10. Программный код, разработанный в компании
11. Проектные данные (схемы, чертежи, расчеты, планы работ)
12. Схемы информационных потоков и коммуникаций
13. Архитектура информационной системы
14. Активационные коды на лицензионное ПО
15. Приказ о категорировании и классификации объектов вычислительной техники
16. Приказ о вводе в эксплуатацию ПЭВМ
17. Приказ о введении режима коммерческой тайны на предприятии
18. Положение об отделе администрирования и технического сопровождения информационных систем
19. Положение о группе инженерно-технической защиты информации
20. Положение об охранно-пропускном режиме предприятия
21. Положение о структуре службы безопасности
22. Положение об отделе защиты информации
23. Положение о компьютерной сети поликлиники
24. Положение о системном администрировании компьютерной сети поликлиники
25. Должностные инструкции сотрудников предприятия
26. Трудовые договоры сотрудников, работающих с конфиденциальной информацией
27. Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ
28. Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации
29. Бюджет поликлиники
30. Договоры предоставления услуг
31. Договоры, заключенные с поставщиками оборудования
32. Договоры, заключенные с пациентами
1.5 Угрозы защищаемой информации
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Схема 1 Угрозы защищаемой информации в медицинском учреждении
Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
1. Утрата сведений, составляющих медицинскую тайну, коммерческую тайну лечебного учреждения и иную, защищаемую информацию, а также искажение такой информации;
2. Утечка - несанкционированное ознакомление с защищаемой информацией посторонних лиц, а также утечка информации, по каналам связи и за счет побочных электромагнитных излучений;
3. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, поликлиники функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов и иных форс-мажорных обстоятельств.
1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
К источникам дестабилизирующего воздействия на информацию относятся:
люди;
технические средства отображения, хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;
3. природные явления.
Схема 2 Источники дестабилизирующего воздействия на защищаемую информацию
Самым распространенным многообразным и опасным источником дестабилизирующего воздействия, на защищаемую информацию, являются люди. К ним относятся:
сотрудники данного медицинского учреждения ;
лица, не работающие в БУЗОО, но имеющие доступ к защищаемой информации в силу служебного положения;
сотрудники посторонних фирм и орагнов, оказывающих услуги;
лиц, для которых защищаемая информация представляет ценность.
Эти категории людей подразделяются на две группы:
имеющие доступ к носителям данной защищаемой информации и техническим средствам для ее отображения, хранения, обработки, воспроизведения, передачи
не имеющие такового.
Самым многообразным этот источник является потому что, по сравнению с другими источниками, к нему относится значительно большее количество видов и способов дестабилизирующего воздействия на информацию.
Самым опасным этот источник является т.к. он самый массовый; воздействие с его стороны носит постоянный характер; его воздействие может быть не только непреднамеренным но и нарочным, и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации.
Виды и способы дестабилизирующего воздействия на информацию различаются по источникам. Самое большее количество видов и способов дестабилизирующего воздействия относится к людям.
К видам дестабилизирующего воздействия на защищаемую информацию со стороны ТС отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.
1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:
стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;
физическое воздействие со стороны злоумышленника;
стремление показать свою значимость.
стремление получить материальную выгоду (подзаработать);
дивиантное поведение;
стремление нанести вред руководству или коллеге по работе;
стремление оказать бескорыстную услугу приятелю
стремление продвинуться по службе;
Причинами непреднамеренного воздействия на информацию со стороны людей могут быть:
неквалифицированное выполнение операций;
недобросовестное отношение к выполняемой работе;
небрежность, неосторожность, неаккуратность;
- физическое недомогание (, стресс, апатия).
Причинами дестабилизирующего воздействия на информацию со стороны ТС отображения, хранения, обработки воспроизведения, передачи информации и средств связи могут быть:
- плохое качество средств;
- недостаток средств;
низкое качество режима функционирования средств;
перезагруженность средств;
низкое качество технологии выполнения работ.
В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.
1.8 Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
К числу наиболее вероятных каналов утечки, при существующей СКЗИ можно отнести:
- посещения БУЗОО;
- разговоры в нерабочих помещениях;
- обиженных сотрудников фирм;
- технические каналы;
1.9 Вероятная модель злоумышленника
Медицинское учреждение работает с пациентами которые предоставляют всю необходимую информацию, в результате обладая этой информацией БУЗОО обязано не допустить попадания её к третьим лицам. Утечка информации из нашего учреждения может нанести серьезный урон не только самой себе, но прежде всего пациентам.
Потенциальными злоумышленниками могут быть, недобросовестные пациенты, и сотрудники фирмы, а так же сторонние лица заинтересованные в получении конфиденциальной информации.
Если угроза исходит от лиц, не являющиеся сотрудниками медицинского учреждения, то возможность проникновения в выделенное помещение в нерабочее время исключается, во-первых, выделенное помещение оборудовано сигнализацией, а так же заперто на хорошую железную дверь, ключ к которой находится под пристальным наблюдением охраны. Дверь постоянно запирается, если выделенное помещение пустует.
Для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему поликлиники изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, возможен так же случай запугивания сотрудников.
Для исключения возможности несанкционированного доступа к данным сотрудниками поликлиники в выделенное помещение допускается только системный администратор. Так же могут допускаться лица, обслуживающие оборудование от других организаций, но только в присутствии администратора.
Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники учреждения, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.
1.10 Фактическая защищенность медицинского учреждения
В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:
Организационные мероприятия:
1. Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.
2. Во все помещения здания имеет доступ лишь персонал поликлиники и пациенты.
3. Посетители, ожидающие приема, находятся в коридоре.
4. Вход людей в здание осуществляется через главный вход. Охрана на входе отсутствует, никаких СКУД не установлено.
5. Вход людей в помещение БУЗОО МУЗГБ №6 осуществляется через двустворчатую пластиковую дверь.
6. Вся конфеденциальная информация пересылается посредством электронной почты, доступ к которой имеется у большого количества сотрудников.
Правовые мероприятия:
1. Инструкции сотрудников, ответственных за защиту информации
2. Утверждены должностные обязанности руководителей, специалистов и служащих предприятия
3. Плановые проверки
Инженерно-технические меры:
1. Установка извещателей пожарной сигнализации во всех помещениях поликлиники
2. Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией
Программно-аппаратные меры:
1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение - MS Office 2003, антивирусное программное обеспечение - Dr. Web 6.0.
2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.
3. Пакет Microsoft Office 2003; Интернет-шлюз UserGate.
4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.
5. Установлен сервер на основе MS Server 2003.
5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.
Инженерно-техническая укрепленность объекта защиты
В соответствии с руководящим документом (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.
Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.
Оконные конструкции так же удовлетворяют требованиям класса Б II.
Основная проблема предприятия:
1.11 Прошлые случаи кражи в БУЗОО
Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.
1.12 Недостатки в защите медицинского учреждения
Внешние недостатки:
- Часть ЛВС выходит за пределы контролируемой зоны
- Информация не защищена от утечки по каналу ПЭМиН
Внутренние недостатки:
- недостаточное внимание к обеспечению защиты информации со стороны руководства;
- довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников учреждения;
- одинаковые и простые пароли для всех АРМ, а так же ПО;
- сервер, на котором хранится база даных имеет прямой доступ в интернет, что порождает лишнюю угрозу;
- недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в мед. Учреждении;
- Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ);
- Генераторы электромагнитного шума в помещении не установлены;
- Окна организации выходят во двор;
- Отсутствует защита телефонных, а так же UTP-8 линий;
Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.
Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.
1.13 Финансовые возможности медицинского учреждения
В связи с выходом законов и стремительном развитии нормативно правовых актов в сфере защиты информации, муниципальные учреждения финансируются, для создания КСЗИ с соблюдением всех норм и правил, установленных на территории РФ. Для улучшения этой КСЗИ, финансирование будет идти из своего бюджета, по этому:
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- минимизация общих механизмов защиты.
1.14 Этапы построения КСЗИ для мед. учреждения
Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:
- обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;
- предотвратить кражу и утечку, а так же любую порчу конфиденциальной информации;
Планируемые мероприятия должны:
- способствовать достижению определенных задач, соответствовать общему замыслу;
- являться оптимальными.
Не должны:
- противоречить законам, требованиям руководителя организации;
- дублировать другие действия.
1.15 Выводы
В результате анализа медицинского учреждения можно сделать определенные выводы.
Защита на данный момент у медицинского учреждения есть, но она является не достаточной. С самой лучшей стороны выглядит ситуация с програмнно-апаратными средствами, так как организована необходимая защита, но ёё тоже следует доработать. Намного хуже обстоят дела с организационными, и инженерно-технические применяемыми мерами в медицинском учреждении. Правовая база строго регламентируется законами, и доработок не требует.
Для организации эффективной защиты от различных преднамеренных угроз необходимо четко представлять, что намеривается сделать злоумышленник. Для совершения преступления необходимо наличие одновременно трех составляющих - желания, способности и возможности. Соответственно, для предотвращения преступления необходимо убрать один из этих «необходимых, но недостаточных» элементов. Применяя КСЗИ разработанную для охраняемого объекта, можно существенно снизить или устранить две составляющие - желание и возможности.
Следует признать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Чем меньше возможность человека влиять на систему, тем ниже риск ошибок и саботажа. Предлагаемая современная интеллектуальная система безопасности будет сводить это влияние к минимуму.
Также при выборе ТС было уделено особое внимание надежности. Без этого система попросту не эффективна. Так как ложные тревоги являются неизбежным "злом" при эксплуатации. Интенсивность ложных срабатываний связана с надежностью, принципом действия и режимом использования технического средства.
Возможности злоумышленников тоже прогрессируют чрезвычайно быстро. И поэтому в предлагаемой КСЗИ учтена возможность модернизации, «наращивании» до более совершенного уровня. Внимание коснулось и затраты на охранные мероприятия которые должны быть соизмеримыми с возможными убытками от преступных посягательств.
Результатом внедрения комплексной системой защиты информации будет являться:
- улучшенная организационная структура системы защиты информации в медицинском учреждении, ее кадровое обеспечение;
- повыситься оснащенность медицинского учреждения высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;
Так же планируется улучшить имеющуюся систему обработки конфиденциальных данных, в результате доработки:
- улучшится стабильность, а так же быстродействие системы. Повысится удобство администрирования.
Предлагаемая комплексная система защиты информации, а в частности входящие в неё различные меры защиты, обеспечат необходимый уровень защиты конфиденциальной информации.
В результате будет создана система, соответствующая задачам обеспечения защиты информации в медицинском учреждении, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности медицинского учреждения.
2. Описание постановки задач
2.1 Постановка задачи
К задачам защиты информации в медицинском учреждении относятся:
1. Обеспечение деятельности медицинского учреждения режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной, в зависимости от нужд и прав. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать медицинскому учреждению возможность функционировать так же быстро и оправдывать затраты средств на защиту информации.
2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-ТС и методов выявления и нейтрализации источников угроз безопасности медицинского учреждения.
4. Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.
2.2 Цель и назначение системы безопасности
Целями и назначением системы безопасности в медицинском учреждении являются:
- предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и врачебной тайны);
- предотвращение угроз безопасности личности и медицинского учреждения;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение, конфиденциальности документированной информации в соответствии с законодательством.
2.3 Расчет информационных рисков
Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:
· стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 -- минимальная стоимость ресурса, 2 -- средняя стоимость ресурса и 3 -- максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;
· мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 -- минимальная мера уязвимости (слабое воздействие), 2 -- средняя (ресурс подлежит восстановлению), 3 -- максимальная (ресурс требует полной замены после реализации угрозы);
· оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года) и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
· оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле:
SLE = AV x EF;
· итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле:
ALE = SLE x ARO.
Таким образом, конечная формула расчета рисков представляет собой произведение:
ALE = ((AV x EF = SLE) x ARO).
Полученные результаты излагаются в табличной форме (см. Таблицу 2).
Как видим, большинство из описанных параметров принимается на основе мнения эксперта. Это связано с тем, что количественная оценка вероятности реализации угрозы затруднена ввиду относительной новизны информационных технологий и, как следствие, отсутствия достаточного количества статистических данных. В случае оценки стоимости ресурса (AV) количественная оценка (например, в денежном эквиваленте) чаще всего не проводится, и тогда оценка параметра SLE затруднена.
Основная БД |
Реестр ОМС |
Информация о сотрудниках |
||
AV |
3 |
2 |
1 |
|
EF |
2 |
1 |
1 |
|
Основная БД |
Реестр ОМС |
Информация о сотрудниках |
||
ARO |
2 |
1 |
1 |
|
SLE |
6 |
2 |
1 |
|
ALE |
12 |
2 |
1 |
Как видно из таблицы, наибольший риск приходится на Основную БД. Т.к. эта информация имеет огромную ценность, вероятность ее утечки нужно свести к нулю. Реестр ОМС имеет ALE = 2, мы принимаем такой риск, соответственно и для информации о сотрудниках
2.4 Методики управления рисками
После проведения первичной оценки рисков полученные значения следует систематизировать по степени важности для выявления низких, средних и высоких рисков. Методика управления рисками подразумевает несколько способов действий. Риск может быть:
· принят (assumption), т. е. пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;
· снижен (mitigation) -- с целью уменьшения величины риска будут приняты определенные меры;
· передан (transference) -- компенсацию потенциального ущерба возложат на страховую компанию, либо риск трансформируют в другой риск -- с более низким значением -- путем внедрения специальных механизмов.
Некоторые методики дополнительно предусматривают еще один способ управления -- «упразднение» (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако, на мой взгляд, такой подход неконструктивен ввиду того, что, если величина риска достаточно велика, порождающий его компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска (mitigation).
После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже -- передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа. Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Так, например, если величины рассчитанных рисков лежат в диапазоне от 1 до 18, низкие риски находятся в диапазоне от 1 до 7, средние -- в диапазоне от 8 до 13, высокие -- в диапазоне от 14 до 18.
Таким образом, управление рисками сводится к снижению величин высоких и средних рисков до характерных для низких рисков значений, при которых возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (AV, EF, SLE) путем принятия определенных мер. В основном это возможно применительно к EF и SLE, так как AV (стоимость ресурса) -- фиксированный параметр. Однако возможно и его снижение. Например, если хранящаяся на сервере информация относится к конфиденциальной, но проверка выявила, что гриф «конфиденциально» в силу каких-либо причин может быть снят. В результате стоимость ресурса автоматически уменьшается. В системе Internet-банкинга, например, параметр EF можно уменьшить путем фиксации ответственности сторон в договорном порядке. В этом случае считается, что стороны предупреждены об ответственности, которую может повлечь за собой нарушение правил эксплуатации системы, и, таким образом, фактор уязвимости снижается.
Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.
Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.
В нашем случае мы будем уменьшать ARO и EF, путем применения технический средств.
3. Описание комплексной системы защиты информации
В комплексную систему защиты информации входит:
Правовая защита
Правовое обеспечение системы защиты информации включает:
- Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;
- Формулирование и доведение до сведения всего персонала мед. учреждения (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;
Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации.
Организационная защита
Организационная защита обеспечивает:
- организацию охраны, режима, работу с кадрами, с документами;
- использование ТС безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Инженерно-техническая защита - использование различных ТС для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:
- Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);
- Аппаратные - устройства, защищающие от утечки, разглашения и от ТС промышленного шпионажа
- Программные средства.
3.1 Правовая защита
Согласно документам, регламентирующим деятельность в области защиты информации:
Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Законом об информации установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Список необходимых организационно-распорядительных документов в сфере защиты персональных данных и во исполнение Федерального закона РФ от 27 июня 2006 года № 152-ФЗ
1.Приказ
- О назначении ответственного за организацию обработки персональных данных (далее ПДн);
- О назначении сотрудников имеющих доступ к ПДн;
- О создании комиссии (Классификация каждой информационной системы персональных данных (далее ИСПДн), установка класса защищенности АС, уничтожение документов ограниченного распространения);
- О назначении ответственных лиц по работе с шифровальными (криптографическими средствами);
- О утверждении перечня информационных систем ПДн;
- Об утверждении перечня конфиденциальной информации;
- Об установлении границ контролируемой зоны ИСПДн;
Подобные документы
Основные понятия дестабилизирующего воздействия на защищаемую информацию. Причины, вызывающие дестабилизирующее воздействие на информацию со стороны людей. Методы и модели оценки уязвимости информации. Факторы, влияющие на уровень защиты информации.
реферат [412,2 K], добавлен 19.06.2014Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
курсовая работа [2,6 M], добавлен 16.04.2008Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Обоснование актуальности проблемы защиты информации. Концепция защиты информации в адвокатской фирме "Юстина". Каналы и методы несанкционированного доступа к защищаемой информации. Организация комплексной системы защиты информации в адвокатской конторе.
курсовая работа [92,4 K], добавлен 21.10.2008Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
курсовая работа [350,4 K], добавлен 10.06.2014Организация системы защиты информации во всех ее сферах. Разработка, производство, реализация, эксплуатация средств защиты, подготовка соответствующих кадров. Криптографические средства защиты. Основные принципы инженерно-технической защиты информации.
курсовая работа [37,5 K], добавлен 15.02.2011Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.
курсовая работа [458,9 K], добавлен 23.05.2013Угрозы в сфере информационного обеспечения. Цели и задач и создания комплексной системы защиты информации на предприятии. Применение скрытия и уничтожения информации, дезинформации противника, легендирования. Анализ функций системы защиты предприятия.
курсовая работа [60,7 K], добавлен 23.06.2012