Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

(ДВГУПС)

Кафедра: «Информационные технологии и системы»

К ЗАЩИТЕ ДОПУСТИТЬ

Зав. кафедрой

___________ М.А. Попов,

«___» ___________ 2017 г.

ОПРЕДЕЛЕНИЕ НОРМ И ПРАВИЛ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ЛЕЧЕБНОГО УЧРЕЖДЕНИЯ

Пояснительная записка к выпускной квалификационной работе бакалавра

ВКР 10.03.01 24Б ПЗ

Студент гр. 24Б Н.К. Ильина

Руководитель В.Н. Никитин

доцент

Нормоконтроль В.И.Шестухина

доцент, к.п.н., доцент

Хабаровск  2017

Abstract

Subject of the final qualifying work: "Definition of norms and rules of information security management of a medical institution".

The purpose of the final qualifying work is to developing norms and rules for ensuring information security in the regional state budget health care institution "City Hospital №4" in Komsomolsk-on-Amur.

In the course of the work, a study was carried out by the Institution to identify shortcomings in the organization of information security. Based on the data received, a number of rules and regulations were developed to effectively manage the security of information in the Institution, which includes recommendations on physical security and access control, asset management, and the duties of the staff of the Institution. In the future, based on these rules, it is possible to create a number of organizational and administrative documents for ensuring information security.

Содержание

Введение 4

1 Теоретические основы обеспечения безопасности информации 6

1.1 Необходимость информационной безопасности 6

1.2 Определение требований к информационной безопасности 7

1.3 Оценка и обработка рисков 8

1.4 Политика информационной безопасности 9

2 Разработка норм и правил управления информационной безопасностью Учреждения 11

2.1 Сведения об Учреждении, необходимые для разработки норм и правил 11

2.1.1 Общая характеристика предприятия и его деятельности 11

2.1.2 Сведения об информационных системах Учреждения 12

2.1.3 Категории информационных ресурсов, подлежащих защите 14

2.1.4 Недостатки информационной безопасности в Учреждении 15

2.2 Практические правила управления информационной безопасностью Учреждения 15

2.2.1 Организационные аспекты информационной безопасности 16

2.2.2 Управление активами 20

2.2.3 Вопросы информационной безопасности, связанные с персоналом 21

2.2.4 Физическая безопасность 24

2.2.5 Контроль доступа 28

2.2.6 Управление передачей данных и операционной деятельностью 34

2.2.7 Разработка и эксплуатация информационных систем 46

2.2.8 Инциденты информационной безопасности 50

Заключение 53

Список используемых источников 54

Введение

В настоящее время в России ни одно учреждение не обходится без обработки информации. Информация может существовать в различных формах: она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Организациям необходимо обеспечить защиту информации ограниченного доступа в соответствии с требованиями действующего законодательства в данной области. Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.

Актуальность данной работы заключается в том, что в большинстве медицинских учреждений вопросы информационной безопасности рассматриваются поверхностно, или не рассматриваются в принципе, а также отсутствуют какие-либо мероприятия, направленные на обеспечение безопасности информации.

Объект исследования: информационная безопасность в КГБУЗ «Городская больница №4» (далее – Учреждение).

Предмет исследования: информационная безопасность Учреждения.

Целью моей выпускной квалификационной работы является разработка норм и правил по обеспечению информационной безопасности в краевом государственном бюджетном учреждении здравоохранения «Городская больница №4» г. Комсомольска-на-Амуре.

Решаемые задачи для достижения поставленной цели работы:

• изучение документации в области защиты информации;

• исследование исходных данных по Учреждению, существующих средств информационной безопасности в нем;

• разработка для Учреждения норм и правил управления информационной безопасностью.

Работа состоит из введения, двух основных разделов, заключения, списка используемых источников и четырех приложений.

1 Теоретические основы обеспечения безопасности информации

1.1 Необходимость информационной безопасности

Информация – это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности деятельности Учреждения и минимизации ущерба.

Информационная безопасность – механизм защиты, обеспечивающий:

• конфиденциальность: доступ к информации только авторизованных пользователей;

• целостность: достоверность и полноту информации и методов ее обработки;

• доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными и более агрессивными.

Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации.

При проектировании многих информационных систем вопросы безопасности не учитывались, из-за этого в таких информационных системах нарушалась работоспособность, функционирование, а также они сталкивались с потерей (хищением) информации. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

1.2 Определение требований к информационной безопасности

Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов:

• оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.

• юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее партнеры, подрядчики и поставщики услуг.

• специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

Требования безопасности определяются с помощью систематической оценки рисков. Расходы на меры и средства контроля и управления должны быть соизмеримы с возможным ущербом для организации в результате отказа от обеспечения безопасности.

Результаты оценки рисков помогут в определении конкретных мер и приоритетов в области менеджмента рисков информационной безопасности, а также внедрению мер и средств контроля и управления, выбранных для защиты от этих рисков.

Оценка рисков должна периодически повторяться, чтобы учитывать любые изменения, которые могли бы повлиять на результаты оценки риска.

1.3 Оценка и обработка рисков

Оценка рисков должна идентифицировать риски, определить количество и приоритеты рисков на основе критериев для принятия риска и целей, значимых для организации. Результаты должны служить ориентиром и определять соответствующие действия руководства, а также реализацию мер и средств контроля и управления, выбранных для защиты от этих рисков.

Оценка риска – это систематический анализ:

• вероятного ущерба, наносимого организации в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;

• вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.

Оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуациях, связанных с рисками, например в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков, а также при значительных изменениях. Такие оценки рисков следует проводить регулярно, способом, дающим сравнимые и воспроизводимые результаты.

Чтобы быть эффективной, оценка рисков информационной безопасности должна иметь четко определенную область применения.

Областью применения оценки рисков может быть целая организация, ее подразделения, отдельная информационная система, определенные компоненты системы, или услуги, где это возможно, реально и полезно.

В отношении каждого из выявленных рисков, после оценки риска, необходимо принимать решение по его обработке. Возможные варианты обработки рисков включают в себя:

• применение соответствующих мер и средств контроля и управления для снижения рисков;

• сознательное и объективное принятие рисков в том случае, если они, несомненно, удовлетворяют политике и критериям организации в отношении принятия рисков;

• предотвращение рисков путем недопущения действий, которые могут стать причиной возникновения рисков;

• перенос взаимодействующих рисков путем разделения их с другими сторонами, например страховщиками или поставщиками.

1.4 Политика информационной безопасности

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области информационной безопасности, которые организация использует в своей деятельности.

Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:

• определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

• изложение целей и принципов информационной безопасности, сформулированных руководством;

• краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований.

• определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

• ссылки на документы, дополняющие политику информационной безопасности.

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.