Антиплагиат (Определение норм и правил управления информационной безопасностью лечебного учреждения), страница 3

Посредством оценки рисков происходитвыявление угроз активам организации, оценка уязвимости соответствующихактивов и вероятности возникновения угроз, а также оценка возможныхпоследствий.юридические, законодательные, регулирующие и договорные требования,которым должны удовлетворять 20 организация, ее 21 партнеры, подрядчики ипоставщики услуг.специфический набор принципов, целей и требований, разработанныхорганизацией в отношении обработки информации. 22Требования безопасности определяются с помощью систематической оценкирисков. Расходы на меры и средства контроля и управления должны бытьсоизмеримы с возможным ущербом 7 для организации в результате отказа отобеспечения безопасности.

79Результаты оценки рисков помогут в определении конкретных мер иприоритетов в области менеджмента рисков информационной безопасности, атакже внедрению мер и средств контроля и управления, выбранных для защитыот этих рисков.Оценка рисков должна периодически повторяться, чтобы учитывать любыеизменения, которые могли бы повлиять на результаты оценки риска.1.3 7 Оценка и обработка рисков 7Оценка рисков должна идентифицировать риски, определить количество иприоритеты рисков на основе критериев для принятия риска и целей, значимыхдля организации. Результаты должны служить ориентиром и определятьсоответствующие действия руководства, а 7 также реализацию мер и средствконтроля и управления, выбранных для защиты от этих рисков.

7Оценка риска – это систематический анализ:вероятного ущерба, наносимого 13 организации в результате нарушенийинформационной безопасности с учетом возможных последствий от потериконфиденциальности, целостности или доступности информации и другихактивов;вероятности наступления такого нарушения с учетом существующихугроз и уязвимостей, а также внедренных мероприятий по управлениюинформационной безопасностью. 1Оценки рисков следует выполнять периодически, чтобы учитыватьизменения в требованиях безопасности и в 7 ситуациях, связанных с рисками,например в отношении активов, угроз, уязвимостей, воздействий, оцениваниярисков, а также при значительных изменениях.

Такие оценки рисков следуетпроводить 7 регулярно, способом, дающим сравнимые и воспроизводимыерезультаты.Чтобы быть эффективной, оценка рисков информационной безопасностидолжна иметь четко определенную область применения. 710 7Областью применения оценки рисков может быть целая организация, ееподразделения, отдельная информационная система, определенные компонентысистемы, или услуги, где это возможно, реально и полезно.В 7 отношении каждого из выявленных рисков, после оценки риска,необходимо принимать решение по его обработке. Возможные вариантыобработки рисков включают в себя:применение соответствующих мер и средств контроля и управления дляснижения рисков;сознательное и объективное принятие рисков в том случае, если они,несомненно, удовлетворяют политике и критериям организации в отношениипринятия рисков;предотвращение рисков путем недопущения действий, которые могутстать причиной возникновения рисков;перенос взаимодействующих рисков путем разделения их с другимисторонами, например страховщиками или поставщиками.1.4 7 Политика информационной безопасности 73Политика информационной безопасности – 73 это совокупность правил,процедур, практических 73 методов и руководящих принципов в областиинформационной безопасности, 76 которые организация использует в своейдеятельности.Политика информационной безопасности должна быть утверждена, издана инадлежащим образом доведена до сведения всех сотрудников организации.

Онадолжна устанавливать ответственность руководства, а также излагать подходорганизации к управлению информационной безопасностью. Как минимум,политика должна включать следующее:определение информационной безопасности, ее общих целей и сферыдействия, а также раскрытие значимости безопасности как инструмента,обеспечивающего возможность совместного использования информации; 111изложение целей и принципов информационной безопасности,сформулированных руководством;краткое изложение наиболее существенных для организации политикбезопасности, принципов, правил и требований.

1определение общих и конкретных обязанностей сотрудников в рамкахуправления информационной безопасностью, включая информирование обинцидентах нарушения информационной безопасности;ссылки на документы, дополняющие политику информационнойбезопасности. 22Такая политика должна быть доведена до сведения всех сотрудниковорганизации в доступной и понятной форме. 1Политика информационной безопасности должна пересматриваться череззапланированные интервалы времени, 7 или, 17 если произошли значительныеизменения, с целью обеспечения уверенности в ее актуальности, 7 эффективностии адекватности.122 Разработка норм и правил управления информационной безопасностьюУчреждения2.1 Сведения об Учреждении, необходимые для разработки норм и правил2.1.1 Общая характеристика предприятия и его деятельностиКраевое государственное бюджетное учреждение здравоохранения«Городская больница No 4» является некоммерческой организацией,финансируемой за счет средств бюджета и внебюджетных источников,обеспечивающей потребности населения в медицинской помощи.Место нахождения: Хабаровский край, г.

Комсомольск-на-Амуре, ул.Володарского, д. 82.Учредителем Учреждения и собственником закрепленного за учреждениемна праве оперативного управления имущества является Хабаровский край.Учреждение находится в ведомственном подчинении министерстваздравоохранения Хабаровского края.Учреждение создано в целях обеспечения реализации предусмотренныхзаконодательством Российской Федерации полномочий 86 Хабаровского края всфере охраны здоровья граждан. В соответствии с Федеральным законом РФ от29.11.2010 г.

No326- ФЗ «Об обязательном медицинском страховании вРоссийской Федерации» 55 ежегодно заключается договор с ХК ФОМС истраховыми медицинскими организациями на выполнение объемныхпоказателей, предусмотренных «Территориальной программой государственныхгарантий бесплатного оказания гражданам РФ на территории Хабаровского краямедицинской помощи»В состав КГБУЗ «Городская больница No 4» входит стационар на 174 койки(в том числе специализированные оториноларингологическое иофтальмологическое отделения) и поликлиника проектной мощности на 20013посещений в смену.

Общая численность населения, приписанного кмедицинской организации на начало 2017 года составила 31976 человек. Приполиклинике действует стационар дневного пребывания на 25 коек.В течение года оказывается медицинская помощь 6340 больным вкруглосуточном стационаре и 124000 посещений в поликлиникеЧисленность персонала составляет 417 человек.2.1.2 Сведения об информационных системах УчрежденияРазвитие информатизации здравоохранения является одним изприоритетных направлений развития национальной системы здравоохраненияРоссийской Федерации согласно концепции развития здравоохранения напериод до 2030 года.В настоящее время повсеместно внедряются медицинские электронныеинформационные системы, личный кабинет пациента, рабочее места врача имедицинской сестры, 68 электронные системы помощи в принятии решений, 68доступ к электронным информационным и обучающим ресурсам, а также 68телемедицинские технологии.Основные направления информатизации КГБУЗ «Городская больница No 4»представлены в таблице 2.1.Основными объектами информатизации в Учреждении являются:информационные системы (как собственной, так и сторонней разработки),в которых обрабатывается информация ограниченного доступа,эксплуатируемые в Учреждении;технические средства 77 приема, обработки, хранения и передачиинформации ограниченного доступа; 50вспомогательные технические средства и системы для приема, обработки,хранения и передачи информации ограниченного доступа; 50помещения, в которых размещаются технические средства с информациейограниченного доступа;14архив медицинских карт пациентов;личные дела и архив кадрового делопроизводства;хозяйственно-договорная документация и учредительные документы;бухгалтерские документы, содержащие информацию ограниченногодоступа.Таблица 2.1 – Основные направления информатизации КГБУЗ «Городскаябольница No 4»ОбластьпримененияинформационнойсистемыНазначениеНаименованиеинформационных системДоля вобъемеработыУчреждения, %МедицинскаядеятельностьУправлениедвижениеммедицинскойинформации.Статистическаяобработка.МИС «Медиалог»ИС выписки льготныхрецептовИС учета листовнетрудоспособностиЛабораторные ИСПрограммно-аппаратныекомплексы для медицинскихисследованийИС медицинской статистики60ФинансовохозяйственнаядеятельностьБухгалтерия.Складской учет.Организациялечебногопитания.Расчет стоимостимедицинскихуслуг1С: Бухгалтериягосударственного учреждения1С: АптекаАРМ СУФДИС «Парус-Зарплата»Система БАРС.Web-СводыРИС «Госзакупки»ЕИС в сфере закупокЭлектронные торговыеплощадкиИС «Эконом-Эксперт»25АдминистративнаядеятельностьДелопроизводство.Учет и работа скадрами.Система электронногодокументооборота (СЭД)ИС «Парус-Кадры»1515Информация, хранимая, обрабатываемая и передаваемая в Учреждениисуществует как в электронном виде, так и на бумажных носителях.

В своейдеятельности Учреждение хранит, обрабатывает и передает данные,относящиеся прямо или косвенно определенному или определяемомуфизическом 58 у лицу, 82 что попадает под д ействие Федерального закона от27. 42 07.2006 No 152-ФЗ «О персональных данных» 42 .2.1.3 Категории информационных ресурсов, подлежащих защитеК объектам защиты относятся информационные ресурсы Учреждения(архивы, базы и файлы данных; отдельные документы на традиционныхносителях), содержащие зафиксированные на материальном носителе(независимо от его формы) сведения, используемые в процессе сбора,обработки, накопления, хранения, распространения, взаимодействия в рамкахисполнения возложенных на 36 Учреждение функций.Правовым основанием обработки персональных данных в информационнойсистеме Учреждения я вляются Федеральный закон от 27.

42 07.200 6 No152-ФЗ «Оперсональных данных», Федеральный закон от 21. 42 11.201 1 No323-ФЗ «Об 26основах здоровья граждан в Российской Федер 26 ации» и 82 лицензия 27-01-0019834от 10 февраля 2016 г. на осуществление медицинской деятельности, выданнаяКГБУЗ «Городская больница No 4». Учреждение зарегистрировано в реестреоператоров, осуществляющих обработку персональных данных под номером 090052455.В Учреждении хранятся и обрабатываются следующие виды общедоступнойинформации и информации ограниченного доступа:категории персональных данных: фамилия, имя, отчество; год рождения;месяц рождения; дата рождения; место рождения; адрес; социальноеположение; состояние здоровья;16категории субъектов: работники (субъекты) состоящие в трудовыхотношениях с юридическим лицом (оператором); физические лица ( 35 пациенты)состоящие в гражданско-правовых отношениях с юридическим лицом.2.1.4 Недостатки информационной безопасности в УчрежденииПри исследовании Учреждения были выявлены следующие недостатки:– физическая охрана здания предприятия организована частично;– резервное копирование информации осуществляется частично;– средства защиты информации от несанкционированного доступаиспользуются частично;– порядок использования съемных машинных носителей неактулизирован;– персонал не обучен вопросам защиты информации и персональныхданных;– пользователи работают с неоформленными учетными записями и правамиадминистратора;– отсутств ует ряд организационно-распорядительных документов пообеспечению информационной безопас 37 ности в 1 Учрежден ии.2.2 Практические правила управления информационной безопа 26 сностью 1УчрежденияОсновными целями норм и правил управления информационнойбезопасностью является:обеспечение сохранности информационных ресурсов и систем отвозможного нанесения физического ущерба путем организации контролядоступа в помещения;обеспечение защиты информации от угроз, связанных с халатностьюперсонала;17обеспечение защиты информации от угроз со стороны каналов связи.Нормы и правила устанавливают:порядок обеспечения сохранности имущества Учреждения и егоэксплуатации, необходимого для обеспечения информационной безопасности;порядок предотвращения, обнаружения и устранения последствийкомпьютерных вирусов и вредоносных программ;порядок получения доступа к сети Интернет, правил работы в ней,ограничений по ее использованию, обеспечению безопасности при работе с нейи действия при ее нарушении;порядок использования электронной почты.2.2.1 Организационные аспекты информационной безопасностиОрганизационные аспекты состоят из задач, которые решаются внутриУчреждения, и задач, которые требуют взаимодействия со стороннимиорганизациями.Главный врач Учреждения должен утверждить политику информационнойбезопасности, 5 назначить ответственных лиц в области 5 информационнойбезопасности, и координировать и анализировать внедрение информационнойбезопасности в учреждении.