Система информационной безопасности медицинского учреждения

Система тревожной сигнализации организуется "без права отключения".

Устройства ТС на объекте должны устанавливаться:

­ в хранилищах, кладовых, сейфовых комнатах;

­ в помещениях хранения оружия и боеприпасов;

­ на рабочих местах кассиров;

­ на рабочих местах персонала, производящего операции с наркотическими средствами и психотропными веществами;

­ в кабинетах руководства организации и главного бухгалтера;

­ у центрального входа и запасных выходах в здание;

­ на постах и в помещениях охраны, расположенных в здании, строении, сооружении и на охраняемой территории;

­ в коридорах, у дверей и проемов, через которые производится перемещение ценностей;

­ на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах);

­ в других местах по требованию руководителя (собственника) объекта или по рекомендации сотрудника вневедомственной охраны.

Ручные и ножные устройства ТС должны размещаться в местах, по возможности незаметных для посетителей. Руководители, ответственные лица, собственники объекта совместно с представителем подразделения вневедомственной охраны определяют места скрытой установки кнопок или педалей тревожной сигнализации на рабочих местах сотрудников.

Руководство объекта, сотрудников службы безопасности и охраны следует оснащать мобильными устройствами ТС, работающими по радиоканалу (радиокнопками или радиобрелоками).

Места хранения денежных средств, драгоценных металлов, камней и изделий из них (столы операционно-кассовых работников, металлические шкафы или сейфы, кассовые аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть оборудованы специальными техническими средствами (ловушками), формирующими сигналы тревоги без участия персонала при попытках нарушителя завладеть ценностями. Указанные технические средства должны включаться в шлейфы тревожной сигнализации объекта.

Организация передачи информации о срабатывании сигнализации.

Передача извещений о срабатывании охранной сигнализации с объекта на ПЦО может осуществляться с ППК малой емкости, внутреннего пульта охраны или устройств оконечных система передачи извещений (СПИ).

Количество рубежей охранной сигнализации, выводимых на ПЦО отдельными номерами, определяется совместным решением руководства объекта и подразделения вневедомственной охраны исходя из категории объекта, анализа риска и потенциальных угроз объекту, возможностей интеграции и документирования ППК (внутренним пультом охраны или устройством оконечным) поступающей информации, а также порядком организации дежурства персонала охраны на объекте.

Минимально необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего охраняемого объекта должно быть, для подгруппы.

БI - один объединенный рубеж (первый - периметр);

AI, БII - два объединенных рубежа (первый - периметр и второй - объем).

Кроме того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые, оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.

При наличии на объекте пульта внутреннего охраны с круглосуточным дежурством собственной службы безопасности или частного охранного учреждения, на ПЦО выводятся:

­ один общий сигнал, объединяющий все рубежи охранной сигнализации объекта за исключением рубежей специальных помещений объекта;

­ рубежи охранной сигнализации (периметр и объем) специальных помещений.

При этом должна быть обеспечена регистрация всей поступающей информации каждого рубежа охраны помещений на внутреннем пульте охраны.

С охраняемых объектов "автодозвон" должен осуществляться по двум и более телефонным номерам.

Для исключения доступа посторонних лиц к извещателям, ППК, разветвительным коробкам, другой установленной на объекте аппаратуры охраны должны приниматься меры по их маскировке и скрытой установке. Крышки клеммных колодок данных устройств должны быть опломбированы (опечатаны) электромонтером ОПС или инженерно-техническим работником подразделения вневедомственной охраны с указанием фамилии и даты в технической документации объекта.

Распределительные шкафы, предназначенные для кроссировки шлейфов сигнализации, должны закрываться на замок, быть опломбированы и иметь блокировочные (антисаботажные) кнопки, подключенные на отдельные номера пульта внутренней охраны "без права отключения", а при отсутствии пульта внутренней охраны - на ПЦО в составе тревожной сигнализации.

При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 - «Нормы и правила проектирования установок пожаротушения и сигнализации».

Здание медицинского учреждения относится к административным сооружениям, поэтому его помещения при применении автоматической пожарной сигнализации, следует оборудовать дымовыми пожарными извещателями.

Дымовой пожарный извещатель - пожарный извещатель, реагирующий на частицы твердых или жидких продуктов горения и (или) пиролиза в атмосфере.

В каждом защищаемом помещении следует устанавливать не менее двух пожарных извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.

Дымовые пожарные извещатели рекомендуется применять для оперативного, локального оповещения и определения места пожара в помещениях, в которых одновременно выполняются следующие условия:

­ основным фактором возникновения очага загорания в начальной стадии является появление дыма;

­ в защищаемых помещениях возможно присутствие людей.

Такие извещатели должны включаться в единую систему пожарной сигнализации с выводом тревожных извещений на прибор приемно-контрольный пожарный, расположенный в помещении дежурного персонала. Прибор приемно-контрольный пожарный - это устройство, предназначенное для приема сигналов от пожарных извещателей, обеспечения электропитанием активных пожарных извещателей, выдачи информации на световые, звуковые оповещатели и пульты централизованного наблюдения, а также формирования стартового импульса запуска прибора пожарного управления.

Ручной пожарный извещатель - устройство, предназначенное для ручного включения сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения.

Ручные пожарные извещатели следует устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из здания.

Но эффективная система пожарной сигнализации должна обязательно включать в себя систему оповещения людей о пожаре.

Система оповещения и управления эвакуацией (СОУЭ) - комплекс организационных мероприятий и технических средств, предназначенный для своевременного сообщения людям информации о возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна функционировать в течение времени, необходимого для завершения эвакуации людей из здания.

Здание рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями (сиреной или тонированным сигналом).

Для обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в защищаемом помещении.

На внешней стене здания перед входом следует расположить комбинированный, светозвуковой оповещатель.

1.14.3 Требования нормативно-методических документов по защите информации на объект

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений

Статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.

Статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Современный в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).

Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

­ статья 272. Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами на конфиденциальность)

­ статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. (имеет дело с вредоносным ПО)

­ статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ)

Включение в сферу действия уголовный кодекс (УК) Российской Федерации (РФ) вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информационных технологиях и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

1.15 Обоснование выбора методов и средств защиты

В плане правовой защиты, в ЛПУ обязан иметься рад нормативно-правовых документов:

- правила внутреннего распорядка служащих предприятия;

- должностные обязанности руководителей, специалистов и служащих предприятия;

- Положение о конфиденциальной информации;

Необходимо разработать такой список нормативно-правовой документации :

- Устав;

- коллективный трудовой договор;

- трудовые договоры с сотрудниками предприятия;

- договорные обязательства.

- Перечень сведений, составляющих конфиденциальную информацию;

- договорное обязательство о неразглашении коммерческой тайны;

- Акт о выделении к уничтожению документов и дел

- Приложение к заявлению об увольнении

- Подписка о сохранении коммерческой тайны

- Обязательства работника о сохранении коммерческой тайны.

- Обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну

- Система допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;

По организационной стороны в связи созданием службы защиты информации (СлЗИ) необходимо разработать такие документы:

- Положение о СлЗИ;

- Должностные инструкции сотрудников СлЗИ.(начальник службы безопасности, инженер по защите информации, начальник отдела конфиденциального делопроизводства);

- Инструкция по защите конфиденциальной информации;

СлЗИ будет выполнять ряд функций необходимых по поддержанию надлежащего уровня КСЗИ.

Так как на данный момент у мед. учреждения уже были такие технические средства как :

­ Датчики дыма

­ Сигнализация

­ Тревожная кнопка

­ Модуль пожаротушения

Выводы

В результате анализа медицинского учреждения можно сделать определенные выводы.

Защита на данный момент у медицинского учреждения есть, но она является не достаточной. С самой лучшей стороны выглядит ситуация с програмнно-апаратными средствами, так как организована необходимая защита, но ёё тоже следует доработать. Намного хуже обстоят дела с организационными, и инженерно-технические применяемыми мерами в медицинском учреждении. Правовая база строго регламентируется законами, и доработок не требует.

Для организации эффективной защиты от различных преднамеренных угроз необходимо четко представлять, что намеривается сделать злоумышленник. Для совершения преступления необходимо наличие одновременно трех составляющих - желания, способности и возможности. Соответственно, для предотвращения преступления необходимо убрать один из этих «необходимых, но недостаточных» элементов. Применяя КСЗИ разработанную для охраняемого объекта, можно существенно снизить или устранить две составляющие - желание и возможности.

Следует признать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Чем меньше возможность человека влиять на систему, тем ниже риск ошибок и саботажа. Предлагаемая современная интеллектуальная система безопасности будет сводить это влияние к минимуму.

Также при выборе технических средств было уделено особое внимание надежности. Без этого система попросту не эффективна. Так как ложные тревоги являются неизбежным "злом" при эксплуатации. Интенсивность ложных срабатываний связана с надежностью, принципом действия и режимом использования технического средства.

Возможности злоумышленников тоже прогрессируют чрезвычайно быстро. И поэтому в предлагаемой КСЗИ учтена возможность модернизации, «наращивании» до более совершенного уровня. Внимание коснулось и затраты на охранные мероприятия которые должны быть соизмеримыми с возможными убытками от преступных посягательств.

Результатом внедрения комплексной системой защиты информации будет являться :

- улучшенная организационная структура системы защиты информации в медицинском учреждении, ее кадровое обеспечение;

- повыситься оснащенность медицинского учреждения высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;

Так же планируется улучшить имеющуюся систему обработки конфиденциальных данных, в результате доработки :

- улучшится стабильность, а так же быстродействие системы. Повысится удобство администрирования.

Предлагаемая комплексная система защиты информации, а в частности входящие в неё различные меры защиты, обеспечат необходимый уровень защиты конфиденциальной информации.

В результате будет создана система, соответствующая задачам обеспечения защиты информации в медицинском учреждении, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности медицинского учреждения.

2. Описание постановки задач

2.1 Постановка задачи

К задачам защиты информации в медицинском учреждении относятся :

1. Обеспечение деятельности медицинского учреждения режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной, в зависимости от нужд и прав. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать медицинскому учреждению возможность функционировать так же быстро и оправдывать затраты средств на защиту информации.

2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности медицинского учреждения.

4. Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.

2.2 Цель и назначение системы безопасности

Целями и назначением системы безопасности в медицинском учреждении являются:

- предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и врачебной тайны);

- предотвращение угроз безопасности личности и медицинского учреждения;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение, конфиденциальности документированной информации в соответствии с законодательством.

3. Описание комплексной системы защиты информации

В комплексную систему защиты информации входит:

Правовая защита

Правовое обеспечение системы защиты информации включает:

- Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;

- Формулирование и доведение до сведения всего персонала мед. учреждения (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации.

Организационная защита

Организационная защита обеспечивает:

- организацию охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

- Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

- Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

- Программные средства.

3.1 Правовая защита

Согласно документам, регламентирующим деятельность в области защиты информации :

Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Законом об информации установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Соблюдение врачебной тайны

Описано в ФЗ РФ от 21 ноября 2011 г. N 323-ФЗ

1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.

3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.

4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;

5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;

7) в целях расследования несчастного случая на производстве и профессионального заболевания;

8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

9) в целях осуществления учета и контроля в системе обязательного социального страхования;

10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.

Список необходимых организационно-распорядительных документов в сфере защиты персональных данных и во исполнение Федерального закона РФ от 27 июня 2006 года № 152-ФЗ

1.Приказ

- О назначении ответственного за организацию обработки персональных данных (далее ПДн);

- О назначении сотрудников имеющих доступ к ПДн;

- О создании комиссии (Классификация каждой информационной системы персональных данных (далее ИСПДн), установка класса защищенности АС, уничтожение документов ограниченного распространения);

- О назначении ответственных лиц по работе с шифровальными (криптографическими средствами);

- О утверждении перечня информационных систем ПДн;

- Об утверждении перечня конфиденциальной информации;

- Об установлении границ контролируемой зоны ИСПДн;

- Об утверждении инструкции о порядке работы с документвсм ограниченного распространения, не содержащих государственную тайну;

- Об утверждении инструкции по опечатыванию кабинетов;

- Об утверждении инструкции о внутреобъектовом порядке режимных помещений;

- Об утверждении инструкции о внутреобъектовом порядке режимных помещений;

- Об утверждении инструкции по резервному копированию (восстановлению) информации;

- Об утверждении инструкции о средствах антивирусной защиты ИСПДн;

- Об утверждении инструкции ответственного за организацию обработки ПДн;

- Об утверждении Положения об осуществлении внутреннего контроля соответствия обработки ПДн Федеральному закону Российской Федерации от 27 июня 2006 года №152-ФЗ и принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора;

- Об утверждении Положения о комиссии по вопросам информационной безопасности;

- Об утверждении политики обработки ПДн;

- Об утверждении Положения о рассотрении запросов субъектов ПДн или их представителей;

- Об утверждении инструкции пользователя при обработке ПДн без средств автоматизации;

- Об утверждении Положения об обработке ПДн;

- Об утверждении Положения об оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июня 2006 года №152-ФЗ “О персональных данных”;

- Об утверждении перечня мест хранения материальных носителей ПДн;

- Об утверждении инструкции работника Учреждения по эксплуатации автоматизированного рабочего места и пользования ведомственной сетью передачи данных;

- Об утверждении схемы передачи ПДн по каналам связи Учреждения;

- Об утверждении инструкции по эксплуатации машинных носителей информации;

- О создании комиссии по вопросам информационной безопасности;

- Об утверждении модели угроз безопасности ПДн при обработке в инфомарционных системах ПДн;

- О назначении пользователей и правил работы со средствами криптографической защиты информации;

2.Журнал

- Журнал учета обращении субъектов ПДн или их представителей;

- Журнал учета лиц о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации;

- Журнал ознакомления работников, непосредственно ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику “Учреждения” в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;

- Журнал учета фактов несанкцианированого доступа к ПДн и принятых мер;

- Журнал поэкземплярного учета криптосредств;

- Журнал учета

Для организации Службы защиты информации (СлЗИ) такие документы:

- Положение о СлЗИ;

- Должностные инструкция начальник службы безопасности;

- Должностные инструкция инженер по защите информации;

- Должностные инструкция начальник отдела конфиденциального делопроизводства;

- Инструкция по защите конфиденциальной информации;

К уже существующему уставу мед. учреждения необходимо внести в устав следующие дополнения:

-- мед. учреждение имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;

-- обязано обеспечить сохранность коммерческой тайны;

-- состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем мед. учреждения;

-- имеет право не предоставлять информацию, содержащую коммерческую тайну;

-- руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

-- создавать организационные структуры по защите коммерческой тайны;

-- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

-- включать требования по защите коммерческой тайны в договора по всем видам деятельности;

-- требовать защиты интересов учреждения перед государственными и судебными органами;

-- распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.

Раздел «Конфиденциальная информация»:

Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение этих дополнений дает право администрации:

- создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

- включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);

- требовать защиты интересов учреждения перед государственными и судебными органами;

- распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

А также необходимо проставить грифы конфиденциальности:

- Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).

- Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность (коммерческая тайна); документы, содержащие данные о пациентах, не предоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).

- Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловых сделках с партнерами или пациентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.

Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»

· Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.

· Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.

· Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:

Раздел «Порядок приема и увольнения рабочих и служащих»

При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:

· проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;

· оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:

· принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;

· осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.

· при решении об увольнении или отстранении от обязанностей заранее ограничить его доступ к системе.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны:

· знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;

· дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;

· бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.

Раздел «Основные обязанности администрации»

Администрация и руководители подразделений обязаны:

· обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;

· последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;

· включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;

· неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.

3.2 Организационная защита

3.2.1 Создание службы защиты информации

Необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей учреждения, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия.

Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования - высшее профессиональное образование и стаж работы в области защиты информации не менее 3 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.

В медицинском учреждении целесообразно организовать Службу защиты информации в следующем составе:

- Руководитель СлЗИ;

- инженер по защите информации.

- Начальник отдела конфиденциального делопроизводства

Функции конфиденциального делопроизводства возложить на уже имеющегося сотрудника, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря, главного бухгалтера).

Для работы СлЗИ необходимо подготовить ряд нормативных документов:

- Положение о СлЗИ;

- Инструкцию по безопасности конфиденциальной информации.

- Перечень сведений, составляющих конфиденциальную информацию.

- Инструкцию по работе с конфиденциальной информацией.

- Должностные инструкции сотрудников СлЗИ.

- Инструкцию по обеспечению пропускного режима в компании.

- Памятку работнику (служащему) о сохранении конфиденциальной информации.

Назначение на должность начальника СлЗИ учреждения, а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.

Основными функциями СлЗИ являются проблемы организации защиты сведений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работников учреждения умению хранить секреты своего учреждения; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.

СлЗИ готовит руководству учреждения предложения по вопросам защиты конфиденциальной информации, порядка определения составляющих эту информацию, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим тайну. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии КСЗИ, недобросовестном поведении сотрудников а так же обнаружение новых угроз и брежи в системе защиты информации.

СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками учреждения, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток нарушителей получить несанкционированный доступ к защищаемой информации и т.д. Она должна находиться на высоком уровне в организационной структуре учреждения с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники учреждения должны знать политику учреждения по защите этой информации и меры наказания за нарушение этих правил.

Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию учреждения, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня - исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

СлЗИ применяет меры в которые входит:

- повседневный контроль со стороны руководства учреждения и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников учреждения, имеющих постоянное общение с населением; Врачи, санитары и прочие сотрудники, так или иначе вынужденные общаться с населением;

- обеспечение соблюдения всеми сотрудниками учреждения требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирующими поведение работников на предприятии.

Все посещения учреждения посторонними лицами не могут строго регламентированы. Вход не оборудован никакими СКУД, фиксация проходящих и выходящих посетителей не ведется. Основных входов - 3, Главный вход в поликлинику, вход в приемное отделение, вход в стационар.

Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;

- выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников учреждения, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).

Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;

- защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками учреждения, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;

- важным звеном защиты конфиденциальной информации учреждения является работа с пациентами. При ведении приема важно убедиться, что пациент преследует те же цели, что и врач, то есть обращение по волнующему его вопросу о состоянии его здоровья, а не получение конфиденциальной информации о других лицах или иных сведениях к которым он не имеет доступ.

3.2.2 Проверка лояльности персонала медицинского учреждения

Тут два эффективных метода. Первый метод основан на использовании полиграфа «детектора лжи».

Использование "Детектора лжи" психологически оправдано.

Когда сотрудник ощущает возможность совершить действие, о котором не узнает руководство, он остается наедине со своей совестью и корыстными побуждениями. Принесут ли действия сотрудника ущерб учреждению, и как далеко он может зайти в жажде наживы, или из личного интереса зависит только от него самого.

Таким образом, ресурсы учреждения в закрытых областях действий сотрудников оказываются во власти индивидуальных влечений, далеко не всегда контролируемых совестью работника. Если прибавить к этому удивительную изворотливость ума, позволяющую оправдать свои действия не только перед другими, но и перед собой, то для контроля индивидуальной совести остается мало места. 

При проверке на лояльность сотрудников можно использовать универсальный компьютерный полиграф «Поларг», соответствующий техническим условиям ТУ 4389-001-07560771-99. Зарегистрирован в Госстандарте России за № 200/026794 от 30.03.2000г. Универсальный компьютерный полиграф «Поларг» позволяет регистрировать восемь физиологических показателей человека, применять любые методики и тесты опросов с использованием полиграфа, получать валидизированную оценку реакций, зарегистрированных с помощью полиграфа.

Выпуск универсального компьютерного полиграфа «Поларг» осуществляется под техническим контролем Института криминалистики ФСБ России.

Полиграф можно купить и нанять специально обученных людей умеющих работать с ним. Аппаратное средство достаточно дорого, но при штате большого количества сотрудников выгоднее приобрести и обучить работе одного сотрудника СлЗИ, такие затраты быстро окупятся, учитывая штат.

И второй метод достаточно дешевый по сравнению с первым, это найти организацию либо людей которые предоставляют услуги проверки лояльности сотрудников путем внедрения в объект специально обученных разведчиков. Задача разведчиков войти в доверие к сотрудникам мед. учреждения в виде потенциальных пациентов и постараться выполнить специальную разработанную программу такой проверки лояльности персонала, которая учтет все особенности именно медицинского учреждения. Медицинское учреждение не потратит время на выявление нарушения работников.

А возможность постоянной качественной проверки лояльности персонала помогут снизит риски медицинского учреждения, связанные с сотрудниками.

3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к.

Сотрудники больницы, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.

Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в поликлинику, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации и врачебной тайны.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

3.3 Инженерно-техническая защита

3.3.1 Физические

Построения системы обеспечения безопасности объекта для медицинского учреждения

Рисунок 3.1 - Общая схема системы обеспечения безопасности объекта

Структура существующей системы

Серверная

Серверная комната находится в помещении 3 кабинета, сразу возле главного входа, что организует большую проходимость у дверей. Так же в помещении серверной выдаются полиса “Росгосстрах”, а это значит что в нем оборудовано место с ПЭВМ, оператором, ответственным за выдачу и самый главный недостаток, пациенты. Так же в серверной находится шкаф сетевого оборудования, который включает в себя несколько программируемых маршрутизаторов в т.ч. для связи с другими ЛПУ и органами управления. Свитчи, концентратор VipNet, необходимый для передачи информации по зашифрованному каналу связи, миниАТС отвечающую за работу всех IP-телефонов, для данной организации, USP для гарантии сохранности оборудования, подключенным посредством него оборудования в т.ч. сам сервер.

Сервер работает на базе ОС Windows Server 2003, оборудован антивирусной защитой Dr.Web 6.0, Системой резервного копирования Cobian, настроенной таким образом, что каждый день в нерабочее время, создается резервная копия БД. Жесткий диск на 500Gb, имеет зеркало, так что в случае краха оборудования, базу данных можно будет восстановить с небольшим откатом. Серверный ПК несет в себе обязанности

1. Сервера БД (ТМ МИС, Мединфо, CorRecept)

2. Интернет Сервера

3. Сервера Терминалов

4. Сервера печати

5. ISS сервера (связь с сайтом ЛПУ)

6. Зеркалирования информации

При такой нагрузке и количестве выполняемых задач создаются огромные проблемы. Не смотря на архитектуру процессора (intel core i5), и 4Gb RAM, сервер изрядно подтормаживает, а иногда и вовсе зависает, не выдерживая нагрузки выполняемых задач. Ко всему прочему ПО, используемое в ЛПУ, не очень хорошо оптимизировано, но постоянно дорабатывается, выпускаются обновления, заплатки, улучшения.

Ко всему прочему очень сложно администрировать сервер, выполняющий такое количество функций очень проблематично. При администрировании возникают проблемы связанных служб, к тому же перезагрузка сервера ведет к полной остановке работы всего ЛПУ с перерывом примерно 10 минут.

АРМ

В нашем мед. Учреждении вся работа с БД осуществляется посредством использования терминального доступа, через встроенную утилиту RemoteDesktop. То есть наличие пароля, дает возможность доступа к БД с абсолютно любого АРМ, подключенного к сети. Все АРМ распределены по больнице в зависимости от надобности и потребности, получить к ним доступ не составляет труда, некоторые кабинеты находятся на “отшибе” и вероятность обнаружения поимки злоумышленника остается ничтожной. К тому же, нет никакого разграничения доступа для всех пользователей АРМ, вне зависимости от выполняемых обязанностей, что приводит нас к ситуации, когда любые ползователи обладают равными правами.

Так же на АРМ функционируют все USB порты, что дает возможность использования любых доступных накопителей с интерфейсом USB 2.0.

АРМ организованы на базе тонких пациентов, все изменения операционной системы хранятся в оперативной памяти и устраняются после перезагрузки. Функция отключается программно, посредством ввода пароля Возможность установки стороннего ПО, требующих права Администратора отсутствует. Так же все АРМ оборудованы АнтиВирусной защитой Dr.Web 6.0. Все АРМ имеют статический IP-адрес, отсутствует привязка по MAC.

Из огромных брешей в системе можно выделить одинаковые пароли для терминала, для всех пользователей АРМ, за исключением пароля администратора. Все АРМ типовые, закуплены и установлены во всех больницах города, комплектация дополняется лишь переферийными устройствами.

АРМ комплектация	Тонкие пациенты TONK, Монитор Viewsonic 22, клавиатура, мышь. Допускается использования сканера, принтера или МФУ.

ЛВС и внутренняя связь

Локальная сеть раскинута, посредством которой работают АРМ в учреждении, раскинута на все здание, включая стационар, поликлинику. Пролегает через коридор в кабель канале, разветвляется свитчами, находящимися в специальных шкафчиках. Вся ЛВС приходит на центральный свитч в серверную комнату, где посредством программируемого маршрутизатора она соединяется с другими ЛПУ. Диапазон IP адресов ограничен 10.30.131.1-10.30.131.255. Никакой привязки по MAC-адресу, кроме доступа в интернет не существует.

Посредством ЛВС так же работают IP-телефоны, которые находятся в той же подсети что и ПК, т.к. выделенный диапазон для нашего ЛПУ. Предусматривает адреса типа 10.30.131.*

Персонал и пациенты

ЛПУ находится в микрорайоне. Малое количество населения, высокий уровень безработицы, частный сектор, огромное количество знакомств при тесном общении создают следующую картину. Почти все люди одного возраста знакомы с большой вероятностью, что способствует панибратскому, доверительному отношению с пациентами и не лучшим образом сказывается на обстановке с точки зрения защиты информации. Так же следует отметить невысокую осведомленность населения и практически полное неумение обращаться с оборудованием в частности ПК. Однако, существуют специалисты, но их в населенном пункте всего несколько человек, можно отслеживать их посещение ЛПУ.

Низкая заработная плата везде и повсеместно сопровождает персонал медицинского учреждения. Начиная от техничек и плотников, заканчивая врачами. Приемлемая заработная плата наблюдается лишь у руководства и бухгалтерии, уровень остального персонала едва превышает МРОТ, к тому же людей обязуют выполнять обязанности, не оговоренные в трудовом договоре и никак не оплачивающиеся, что не мотивирует персонал добросовестно работать и может стать толчком для совершения НСД с целью наживы или разглашение персональных даных, если представится такой случай.