Пояснительная записка (Разработка профиля защиты персональных данных в информационной системе лечебного учреждения)
Описание файла
Файл "Пояснительная записка" внутри архива находится в папке "Разработка профиля защиты персональных данных в информационной системе лечебного учреждения". Документ из архива "Разработка профиля защиты персональных данных в информационной системе лечебного учреждения", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Пояснительная записка"
Текст из документа "Пояснительная записка"
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»
Кафедра "Информационные технологии и системы" |
К ЗАЩИТЕ ДОПУСТИТЬ |
Заведующий кафедрой |
М.А. Попов, |
" " июня 2017 г. |
Разработка профиля защиты ПЕРСОНАЛЬНЫХ ДАННЫХ в информационной системе Лечебного учреждения |
Пояснительная записка к дипломному проекту |
ДП 10.05.03 25К 00 ПЗ |
Студент гр. 25К | Е. С. Куликов |
Руководитель доцент, к.т.н., доцент | В. Н. Никитин |
Консультант по БЖД доцент, к.т.н. | А. А. Балюк |
Консультант по экономике ст. преподаватель | С. Н. Курякина |
Нормоконтроль доцент, к.п.н., доцент | В. И. Шестухина |
Хабаровск - 2017
Содержание
Введение 4
1. Исследование объекта защиты 9
1.1 Общая информация об информационной системы Лечебного учреждения. 9
1.2. Сегмент информационной системы «Поликлиника» 13
1.3. Сегмент информационной системы «Лечебный процесс» 16
1.4. Существующие меры защиты информации 20
1.5. Классификация информационной системы 20
1.5.1. Классификация сегмента «Поликлиника» 21
1.5.2. Классификация сегмента «Лечебный процесс» 22
1.6. Модель угроз безопасности информации, обрабатываемых в информационной системе Лечебного учреждения. 23
2. Разработка методов и способов защиты персональных данных 50
2.1. Определение набора организационных и технических мер 50
2.2. Требования к защите персональных данных 53
2.3. Технические средства защиты информации 55
2.3.1. Dallas Lock 8.0-K 57
2.3.2. ПАК «Соболь» 3.0 57
2.3.3. XSpider 7.8.24 58
2.3.4. Acronis Backup & Recovery 11 Advanced Server 59
2.3.5. Средство операционной системы Windows 7 SP1 59
2.3.6. Антивирус Касперского 6.0 для Windows Workstations 59
2.3.7. АПКШ «Континент»3.7 60
2.4. Организационные меры защиты информации 60
2.5. Выполнение набора мер техническими средствами защиты информации 63
2.6. Профиль системы защиты персональных данных 70
3. Экономика. Оценка экономической эффективности внедрения системы защиты персональных данных 72
3.1. Расчет капиталовложения 73
3.2. Расчет выгоды 74
3.3. Расчет периодических затрат 77
3.4. Расчет нормы дисконта 78
3.5. Расчет чистого дисконтированного дохода и индекса доходности 79
4. Безопасность жизнедеятельности. Разработка мероприятий по пожарной безопасности в лечебном учреждении 81
4.1. Пожар. Фазы развития пожара. Классификация пожаров. Физико-химические процессы, протекающие при пожаре 81
4.2. Мероприятия по обеспечению пожарной безопасности 82
4.3. Обеспечение учреждения первичными средствами пожаротушения. Действия персонала при возникновении пожара 88
Заключение 90
Список использованных источников 91
Принятые сокращения 95
Приложение А 96
Приложение Б 100
Приложение В 104
Приложение Д 113
Введение
В лечебных учреждениях обрабатываются большие объемы персональных данных, такие как сведения о состоянии здоровья, полис ОМС, врачебная тайна, фамилия, имя, отчество, дата рождения, адрес. Согласно 323 Федеральному закону «Об основах охраны здоровья граждан в Российской Федерации» [2], разглашение этих сведений лицам, которым они стали известны при обучении, исполнении, трудовых, должностных и иных обязанностей не допускаются, в том числе и после смерти человека.
В лечебных учреждениях обрабатываются большие объемы персональных данных пациентов и сотрудников учреждения, что является большим объемом информации, которую необходимо защищать от реализации угроз информационной безопасности.
В лечебных учреждениях в последнее время происходит массовая утечка персональных данных и врачебной тайны, что, безусловно, доказывает актуальность данной выпускной квалификационной работы (ВКР).
Цель ВКР заключается в разработке профиля защиты персональных данных, которые обрабатываются в информационной системе КГБУЗ «Перинатальный центр» Хабаровского края, удовлетворяющего требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности.
Объект исследования ВКР – информационная система персональных данных Краевого государственного бюджетного учреждения здравоохранения «Перинатальный центр» Хабаровского края (далее – Лечебное учреждение).
Предметом исследования является информационная безопасность информационной системы Лечебного учреждения.
Для достижения поставленной цели были проведены следующие мероприятия:
-
формирование требований к защите ПДн, обрабатываемых в информационной системе;
-
разработка профиля защиты персональных данных.
Формирование требований к защите ПДн заключалось в:
-
принятии решения о необходимости обеспечения безопасности персональных данных, которые обрабатываются в информационной системе;
-
классификации информационной системы Лечебного учреждения по требованиям безопасности информации;
-
определении потенциала вероятного нарушителя, определении угроз безопасности информации, разработке модели угроз безопасности информации;
-
определении требований к системе защиты персональных данных, обрабатываемых в информационной системе Лечебного учреждения.
После формирования требований к защите ПДн началось непосредственно проектирование системы защиты ПДн, которое заключалось в:
-
определении организационных и технических мер защиты информации;
-
определении типов и видов средств защиты защищаемой информации, имеющих сертификат соответствия требованиям безопасности информации и обеспечивающих реализацию технических мер защиты;
-
определении параметров настройки программного обеспечения;
-
определении структурно-функциональных характеристик системы защиты персональных данных, включая количество и места размещения её элементов;
-
определении мер защиты информации при передаче защищаемой информации в иные информационные системы через сети общего пользования.
При разработке системы защиты информации, обрабатываемой в информационной системе Лечебного учреждения, необходимо иметь четкое представление о структурно-функциональных характеристиках информационной системы, а также условиях её эксплуатации.
Информационная система по своей структуре представляет собой распределенную информационную систему, элементы которого расположены в нескольких рядом стоящих зданиях, а именно: здание поликлиники, перинатального корпуса. Здание Поликлиники и Перинатального корпуса объединены в локальную вычислительную сеть. Автоматизированная обработка персональных данных осуществляется на 32 автоматизированных рабочих местах и двух серверах, расположенных за пределами Лечебного учреждения.
В своей работе Лечебное учреждение передает защищаемую информацию, в частности персональные данные, в другие организации и учреждения на законной основе, то есть информационная система Лечебного учреждения взаимодействует с информационными системами других организаций и учреждений.
В Лечебном учреждении осуществляется подключение к сетям общего пользования, в частности к сети Интернет.
Информационная система Лечебного учреждения является многопользовательской, то есть каждый сотрудник Лечебного учреждения, допущенный к работе в информационной системе имеет собственный логин и пароль для аутентификации и авторизации.
Каждый сотрудник Лечебного учреждения, допущенный к работе в информационной системе имеет свои собственные права доступа к информации, перечень разрешенных действий в информационной системе и сферу ответственности.
Функции по управлению информационной системы не распределяются между администраторами, а также не используются различные методы, повышающие безопасность, например, использование различных сетевых адресов или выделенных каналов для администрирования.
ВКР состоит из введения, пяти основных разделов, заключения, списка используемых источников и пяти приложений.
В первом разделе производится исследование объекта защиты. Представлены общие сведения о Лечебном учреждении, цели и задачи его деятельности, описание сегментов информационной системы Лечебного учреждения и существующие меры защиты. Проводится классификация сегментов информационной системы Лечебного учреждения, определение вероятного нарушителя и актуальных угроз безопасности информации. Раздел делится на шесть подразделов:
-
общие сведения об информационной системе Лечебного учреждения;
-
сегмент «Лечебный процесс»;
-
сегмент «Поликлиника»;
-
существующие меры защиты информации;
-
классификация информационной системы;
-
модель угроз безопасности информации, обрабатываемых в информационной системе Лечебного учреждения.
Во втором разделе осуществляется разработка системы защиты персональных данных в соответствии с требованиями законодательства РФ в области информационной безопасности. Раздел делится на шесть подразделов:
-
определение набора организационных и технических мер;
-
требования к защите персональных данных;
-
технические средства защиты информации;
-
организационные меры защиты информации;
-
меры по противодействию актуальным угроза безопасности информации;
-
профиль системы защиты персональных данных.
В третьем разделе (раздел «Экономика») выполняется оценка затрат на создание и внедрение системы защиты персональных данных в информационную систему Лечебного учреждения.
В четвертом разделе (раздел «Безопасность жизнедеятельности») производится разработка мероприятий по обеспечению пожарной безопасности в Лечебном учреждении.
В списке использованных источников приводятся используемые документы, литература, Интернет-сайты, и другие источники информации, используемой в данной ВКР.
В приложении А приводится выписка из Заключения по результатам аудита информационной системы КГБУЗ «Перинатальный центр» Хабаровского края.
В приложении Б приводится выписка из Модели угроз безопасности информации, обрабатываемых в информационной системе КГБУЗ «Перинатальный центр» Хабаровского края.
В приложении В приводится выписка из Аналитического обоснования необходимости создания системы защиты персональных данных в информационной системе КГБУЗ «Перинатальный центр» Хабаровского края.
В приложении Г приводится выписка из Технического задания на создание системы защиты персональных данных в информационной системе КГБУЗ «Перинатальный центр» Хабаровского края.
В приложении Д приводится выписка из Технического проекта на создание системы защиты персональных данных в информационной системе КГБУЗ «Перинатальный центр» Хабаровского края.
-
Исследование объекта защиты
-
Общая информация об информационной системе Лечебного учреждения
Краевое государственное бюджетное учреждение здравоохранения «Перинатальный центр» министерства здравоохранения Хабаровского края – лечебно-профилактическое государственное учреждение, являющееся организационной составляющей единой системы, специализированной госпитальной и консультативно-диагностической помощи для беременных и новорожденных.
Основными задачами КГБУЗ «Перинатальный центр» являются:
-
оказание специализированной госпитальной и консультативно-диагностической помощи для беременных и новорожденных;
-
фармацевтическую деятельность;
-
деятельность по профилактике заболеваний и формированию здорового образа жизни у граждан;
-
разработка и реализация главных задач, связанных с улучшением качества жизни женщин и новорожденных, укрепление репродуктивного здоровья и повышения информативности населения в данной области;
-
участие в разработке и реализации государственных программ в сфере здравоохранения;
-
деятельность в области обслуживания медицинской техники для обеспечения собственных нужд;
-
поддержка необходимой готовности к оперативному осуществлению мероприятий, направленных на спасение жизни и сохранения здоровья людей при чрезвычайных ситуациях, ликвидацию медико-санитарных последствий чрезвычайных ситуаций.
Информационная система позволяет упростить и автоматизировать процесс хранения, обработки и передачи персональных данных для поддержания работоспособности Лечебного учреждения.
В связи с тем, что АРМ расположены в разных контролируемых зонах и для упрощения процесса администрирования, информационная система Лечебного учреждения разделена на сегменты. Обработка персональных данных осуществляется в сегментах «Поликлиника» и « Лечебный процесс». Оба сегмента имеют одну категорию персональных данных.
Администрированием информационной системы занимается один работник, назначенный приказом главного врача Лечебного учреждения. Разделение на сегменты производится сертифицированным ФСТЭК программным комплексом Cisco ASA 5520 (Сертификат № 2142 до 27.07.2019). Для каждого сегмента используется собственный контроллер домена, при помощи которого осуществляется администрирование рабочих станций и управление групповыми политиками безопасности. Доступ к управлению настройками контроллеров домена (далее – AD) осуществляется удаленно с АРМ Администратора (АРМ 1) либо непосредственно с самого сервера – контроллера домена, расположенного в серверной.
Администратор имеет доступ к установке и настройке программного обеспечения, изменению конфигурации устройств и сетей, управлению контроллерами доменов, а также имеет возможность подключаться ко всем АРМ пользователей удаленно со своего рабочего места. Персональные данные хранятся на серверах БД, находящимся за пределами Лечебного учреждения, к которым имеют доступ ограниченный перечень лиц.