636331914074638560 (Разработка профиля защиты персональных данных в информационной системе лечебного учреждения), страница 11

7Защита информации о событияхбезопасностиПАК «Соболь» 3.0Dallas Loc k 8.0-K 2Антивирусная защита (АВЗ)АВ3.1 Реализация антивирусной защиты 6АнтивирусКасперск ого 6.0 11АВ3.2Обновление базы данных признаковвредоносных компьютерных программ(вирусов) 6АнтивирусКасперск ого 6.0 11Обнаружение вторжений (СОВ) 8COB.l Обнаружение вторжений Dallas Lock 8.0-KCOB.2 Обновление базы решающих правил Dallas Lock 8.0-KПродолжение таблицы 2.4No 11 мерыСодержание мер по обеспечениюбезопасности персональных данных 6Средства защитыинформации\организационн 9 ые мерыпо защите инф 1 ормацииVIII. Контроль (анализ) защищенности персональных данных (АНЗ)АНЗ.1Выявление, анализ уязвимостейинформационной системы и оперативноеустранение вновь выявленных уязв 2 имостейXSpider 9 7.8.24АНЗ.2Контроль установки обновленийпрограммного обеспечения, включаяобновление программного обеспечениясредств защиты инф 11 ормации 8Ведение и контрольжурнала обновленияАНЗ.3Контроль работоспособности, параметровнастройки и правильностиDallas Lock 8.0-K,ПАК «Собо ль» 3.0 11функционирования программногообеспечения и средств защиты информацииАНЗ.4Контроль состава технических средств,программного обеспечения и средств защитыинф 11 ормации 8Dallas Lock 8.0-K,ПАК «Собо ль» 3.0АНЗ.5Контроль правил генерации и смены паролейпользователей, заведения и удаления учетныхзаписей пользователей, реализации правилразграничения доступа, полномочийпользователей в информационной 11 системе 6Dallas Lock 8.0-K,реализация методовуправления до 23 ступом,типов и правилразграниченияд 1 оступомОбеспечение целостности информационной системы и информаци 4 и (ОЦЛ)ОЦЛ.3Обеспечение возможности восстановленияпрограммного обеспечения, включаяпрограммное обеспечение средств защитыинформации, при возникновении нештатныхс 11 итуаций 8Dallas Loc k 8.0-KОбеспечение доступности персональных данных (ОДТ)ОДТ.4 Периодическое резервное копированиеперсональных данных на резервныемашинные носители персональных 9 данных 6Acronis Backup &Recovery 11 AdvancedServerОДТ.

5 Обеспечение возможности восстановленияперсональных данных с резервныхмашинных носителей персональных данных(резервных копий) в течение установленноговременного ин 2 тервала 6Acronis Backup &Recovery 11 AdvancedServerЗащита технических средств (ЗТС)Продолжение таблицы 2.4No 11 мерыСодержание мер по обеспечениюбезопасности персональных данных 6Средства защитыинформации\организационн 9 ые мерыпо защите инф 1 ормацииЗТС.2Организация контролируемой зоны, впределах которой постоянно размещаютсястационарные технические средства,обрабатывающие информацию, и средствазащиты информации, а также средстваобеспечения функциони 11 рованияОрганизацияконтролируем 11 ой зоныЗТС.3Контроль и управление физическим доступомк техническим сре 11 дствам, СЗИ, средствамобеспечения функционирования, а также впомещения и сооружения, в кото 24 рых они 8определение лиц исанкционированиефизического доступа 11установлены, исключающиенесанкционированный физический доступ ксредствам обработки инфо 11 рмации 24 , СЗИ исредствам обеспечения функционированияинформационной системы, в помещения исооружения, в которых они установленыЗТС.4Размещение устройств вывода (отображения)информации, исключающее еенесанкционированный п 11 росмотрРазмещение устройств 11вывода 8 информациидолжно исключатьвозможностьнесанкционированногопросмотра выводимойинформации 17ЗТС.5Защита от внешних воздействий (воздействийокружающей среды, нестабильностиэлектроснабжения, кондиционирования ииных внешних факторов) 8выполнение норм иправил пожарнойбезопасности,устройства итехническойэксплуатации 17технических средств, атакже соблюдениепараметров 17 ихзаземления иэлектропитания, а также обеспечениетемпературновлажностного режима.Продолжение таблицы 2.4No 11 мерыСодержание мер по обеспечениюбезопасности персональных данных 6Технические средствазащиты 31 информации 35реализующиетехнически е меры\организационн 21 ые мерыЗащита информационной системы, ее средств, систем связи и передачиданных (ЗИС)ЗИС.1Разделение в информационной системефункций по управлению(администрированию) информационнойсистемой, управлению (администрированию)системой защиты персональных данных,функций по обработке персональных 2 данных 6Выделение АРМ дляадминистраторов ИС идля администраторовИБ в отдельный домен 2и иных функций информационной системыЗИС.3Обеспечение защиты персональных данныхот раскрытия, модификации и навязывания(ввода ложной информации) при ее передаче(подготовке к передаче) по каналам связи,имеющим выход за пределы контролируемойзоны, в том числе беспроводным канала 2 мсвязи 6АПКШ «Континент»3.71ЗИС.21Исключение доступа пользователя кинформации, возникшей в результатедействий предыдущего пользователя черезреестры, оперативную память, внешниезапоминающие устройства и иные общие дляпользователей ресурсы информационнойсистемы 8Dallas Loc k 8.0-KЗИС.23Защита периметра (физических и (или)логических границ) информационнойсистемы при её взаимодействии с инымиинформационными система иинформационно-телекоммуникационными 11сетями 17АПКШ «Контине нт»3.7Управление конфигурацией информационной системы и системы защитыперсональных данных (УКФ)УКФ.1Определение лиц, которым разрешеныдействия по внесению изменений вконфигурацию информационной системы исистемы защиты персональных данныхОрганизационн 9 ыемерыОкончание табл 9 ицы 2.4No 11 мерыСодержание мер по обеспечениюбезопасности персональных данных 6Технические средствазащиты 31 информации 35реализующиетехнически е меры\организационные мерыУКФ.2Управление изменениями конфигурацииинформационной системы и системы защитыперсональных данныхОрганизационныемерыУКФ.3Анализ потенциального воздействияпланируемых изменений в конфигурацииинформационной системы и системы защитыперсональных данных на обеспечениезащиты персональных данных и согласованиеизменений в конфигурации информационныйсистемы с должностным лицом (работ 9 ником), 6Организационн ыемеры 2ответственным за обеспечение безопасностиперсональных данныхУКФ.4Документирование информации (данных) обизменениях в конфигурации 6 инфор мации исистемы защиты персональных данныхОрганизационныемер 9 ы2.16.

Профиль системы защиты персональных 21 данныхТаким образом, установка средств защиты информации производилась всоответствии со схемой, представленной на рисунке 2.1. Перечень АРМпользователей, серверы и АРМ Администратора с указанием местоположенияи необходимых для установки и настройки средств защиты информациипредставлен в таблице Д.1 приложения Д.Рисунок 2.1 – Профиль защиты персональных данныхЭкономика. Оценка экономической эффективности вн едрения системызащиты персональных 24 данныхЦель выпускной квалификационной 24 работы заключается в разработкепрофиля защиты персональных данных Лечебного учреждения,удовлетв оряющей требованиям руководящих докум 4 ентов и другихнормативно-правовых 4 актов в области информационной безопасности.Профиль защиты разрабатывается для Краевого государственногобюджетного учреждения здравоохранения «Перинатальный центр»Хабаровского края.Для того чтобы оценить экономическую эффективность внедрениясистемы защиты персональных данных, необходимо вычислить:чистый дисконтированный доход (NPV);индекс доходности (PI).Для расчета данных показателей необходимо вычислить следующиевеличины:капиталовложение (К) – средства, необходимые на разработку, внедрениеи аттестационные испытания системы защиты персональных данных;выгода (R) – средства, которые удастся сохранить после ввода вэкспл уатацию системы защиты персональных 22 данных;периодические затрат ы (З) – средства, необходи 22 мые для подд ержаниясистемы защиты инфор 7 мации в рабочем состоянии (продление лицензий насредства защиты информации, зарплата администратора безопасности ипрочее);ставка дисконтирования (N) – показатель, позволяющий учестьнеравноценность денежных потоков, возникающих в различные моментывремени.3.1.

Расчет капиталовложенияКапиталовложение (К) – средства, необходимые на закупку средствзащиты информации.В таблице 3.1 представлен перечень технических средств с указаниемрозничной цены и общих затрат на закупку данного средства. Цены взяты софициальных сайтов разработчиков и поставщиков данных средств защитыинформации и являются актуальными на май 2017 года.

[5,6,7,8]Таблица 3.1 – Перечень технических средств с указанием стоимостиПродуктКол-воЦенарозничная,1 шт., руб.Общаястоимость,руб.И сточникПраво на исполь 18 зованиеСредства защитыинформации Dallas Lock 18 8.0K. Сервер безопасности(защита 1-49серверов/рабочих станций)1 35000,00 35000,00http://www.dallas lock.ruПраво на использованиеСредства защитыинф 20 ормации Dallas Lock 18 8.0K. Клиент (сетевой режи 20 мработы)33 6200,00 204600,00http://www.dallaslock.ru.Программно-аппаратныйкомплекс «Соболь» 3.0 (платаPCI Express) в комплекте сключами iButton DS1992 (2шт.)33 11580,00 382140,00http://www.securitycode.ruПраво на использованиеXSpider 7.8.24,дополнительный хост клицензии на 32 хоста,гарантийные обязательства втечение 1 года + дистрибутив1 42000,00 42000,00http://www.ptsecurity.ruПраво на использованияAcronis Backup & RecoveryAdvanced Server1 47190,00 47190,00http://www.acronis.comИТОГО (SСЗ), руб.

710930,00Таким образом, общая сумма затрат на закупку средств защитыинформации составляет 710930 рублей.3.2. Расчет выгодыВыгода (R) – средства, которые удастся сохранить после ввода вэксплуатацию системы защиты персональных данных.Выгоду составляют средства, которые удастся сэкономить от оплатыштрафов за невып олнение требований законодательства РоссийскойФедерации в области информационной безопа 22 сности.Контролирующими органами в области информационной безопасностияв 97 ляются: Федеральная служба по техническому и экспортному контролю( 5 ФСТЭК), Федеральная с 7 лужба в сфере связи, информационных технологий имассовых коммуникаций (Роскомна 1 дзор) и 5 Федеральная служба безопасности(ФСБ).В 37 соответствии со статьей 24 Федерального закона No 152-ФЗ «Оперсональных данн 19 ых» [9] за нарушение требований настоящегоФедерального закон 5 а несут уголовную, административную, дисциплин 5 арнуюи 68 другую ответственность, предусмотренную законодательст 20 вом РФ.Для расчета выгоды будем рассматривать только административнуюответственность, потому что другие виды ответственности не предполагаютфинансовых затрат.В соответствии со статьей 13.12 « Нарушение правил защитыинформации» 101 Кодекса об административных правонарушениях [2] за 71использование несертифицированных информационных систем, баз и банковданных, а также несертифицированных средств защиты информации, еслиони подлежат обязательной сертификации, 71 на юридических лиц налагаетсяштраф от 20 тысяч рублей с конфискацией несертифицированных средствзащиты информации.