Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Преимущества:

• всесторонняя защита рабочих станций под управлением Microsoft Windows;

• противодействие всем типам угроз;

• оптимизация для виртуальной среды;

• минимальные системные требования;

• настраиваемый графический интерфейс. Интерфейс продукта можно полностью отключить, чтобы не отвлекать конечного пользователя от его непосредственных задач;

• расширенное сканирование памяти. Технология позволяет обезвреживать зашифрованные вредоносные программы, которые устанавливаются на компьютер скрыто от пользователя.

Рисунок – 3.11 ESET Endpoint Antivirus

• медиалог (рисунок 3.12) - система медиалог была разработана компанией Post Modern Technology совместно со специалистами сферы здравоохранения. Она предназначена для автоматизации деятельности медицинского учреждения и позволяет:

1. вести историю болезни пациентов в электронном виде;

2. автоматизировать статистическую отчетность;

3. оптимизировать планирование лечебных процессов;

4. обеспечить управление финансовыми потоками организации.

Рисунок – 3 .12 История болезни пациента в программе медиалог

Благодаря своим разнообразным функциям медиалог повышает эффективность работы врачей, работников регистратуры, сотрудников отдела статистики, бухгалтеров и менеджеров.

Модуль электронной медицинской карты системы Медиалог основан на оригинальной технологии работы с данными, разработанной для эффективного ввода, просмотра, анализа и передачи информации (рисунок 3.13).

Рисунок – 3.13 Электронная медицинская карта

Также к программным средствам защиты информации относится операционная система, прикладное программное обеспечение (офисы, архиваторы, 1С).

К аппаратным средствам защиты персональных данных в КГБУЗ «Детская городская поликлиника №1» относятся:

• персональные компьютеры с устройством, распознающим отпечаток пальцев квалифицированного сотрудника по информационной безопасности систем, где обрабатываются, изменяются, добавляются персональные данные (рисунок 3.14);

Рисунок – 3.14 ПК с устройством, распознающим отпечаток пальцев

• сканеры, где сканируются персональные данные с бумажных носителей (рисунок 3.15);

Рисунок – 3.15 Сканер

• пожарная сигнализация от стихийных бедствий, которые могут повлечь за собой уничтожение или искажение персональных данных (рисунок 3.16);

Рисунок – 3.16 Пожарная сигнализация

• шредер Fellowes DIN 1 (рисунок 3.17) - продольная резка. Обычная степень защиты. Ширина полоски - 7 мм, разрезает 1 лист формата А4 на 30 фрагментов.

Рисунок – 3.17 Шредер для уничтожения персональных данных

• разработка рекомендаций по укреплению информационной

безопасности систем, обрабатывающих персональные данные в КГБУЗ «Детская поликлиника №1»: после документационного и программно – аппаратного анализа в КГБУЗ «Детская городская поликлиника № 1» для укрепления информационной безопасности систем, обрабатывающих персональные данные потребуется:

1. регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

2. использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

3. использование защищенных каналов связи;

4. размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

5. отдельный кабинет службы информационной безопасности, для того, чтобы в любой момент в КГБУЗ «Детская городская поликлиника №1» провести аудит информационной безопасности и не потратить денежные средства для привлечения сторонних организаций;

6. повышение квалификации сотрудников отдела кадров и регистратуры для обеспечения высокого уровня защищенности от несанкционированного доступа к персональным данным;

7. обучение специалистов в области информационной безопасности для проведения ежемесячного аудита систем, обрабатывающих персональные данные сотрудников и пациентов;

8. купить два сервера: для хранения персональных данных сотрудников и для хранения копий персональных данных;

9. покупка системы хранения персональных данных на сервере;

10. программа для резервного копирования и восстановления персональных данных (Handy Backup Office Expert 7);

11. покупка шредера, предназначенного для уничтожения конфиденциальной информации (персональных данных);

12. ограничение доступа к персональным данным;

13. обновление прикладного программного обеспечения на компьютерах, которые имеются в поликлинике (Microsoft office, архиватор WinRaR, Abbyy Finereader, антивирус ESET NOD32 SMALL Business Pack newsale for 10 user);

14. установка камер видеонаблюдения в помещениях хранения персональных данных.

Смета расходов на покупку оборудования и программного обеспечения, которое потребуется купить, для повышения уровня информационной безопасности персональных данных представлена в приложении А.

Все представленное оборудование и программное обеспечение повысит уровень информационной безопасности систем, обрабатывающих персональные данные.

Рекомендации должны быть выполнены не позднее, чем в срок, указанный в договоре со сторонней организации, в данном случае через месяц.

После проведения аудита информационной безопасности систем, обрабатывающих персональные данные можно сделать вывод о том, что все нормативно – правовые и технические документы оформлены в соответствии с Конституцией Российской Федерации, Федеральными законами и ГОСТом. А программно – аппаратные средства необходимо закупить, чтобы повысить уровень защищенности персональных данных.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации.

Необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу, и способствовать повышению уровня информационной безопасности компании.

Заключение

В дипломной работе была разработана методика проведения аудита информационной безопасности систем, обрабатывающих персональные данные сотрудников и пациентов в КГБУЗ «Детская городская поликлиника №1». Исходя из задач дипломного проектирования в процессе разработки методики аудита были рассмотрены:

• основные аспекты информационной безопасности в целом;

• персональные данные как отдельная большая часть в разделе информационной безопасности;

• условия хранения, обработки и передачи персональных данных сотрудников и пациентов;

• аудит и этапы его проведения;

• все нормативно – правовые и технические документы, касающиеся информационной безопасности персональных данных;

• системы, обеспечивающие хранение, обработку, передачу и уничтожение персональных данных, как сотрудников, так и пациентов;

По итогу дипломной работы был проведен аудит и даны рекомендации по укреплению информационной безопасности систем, обрабатывающих персональные данные, также приведена смета расходов на новое программное обеспечение и оборудование.

Исследование проводилось на основе анализа и изучения нормативных правовых актов и нормативно-методических документов по защите

информационной системы персональных данных. Результаты исследований могут быть использованы при проведении аудита информационной безопасности информационной системы персональных данных, не обрабатывающих государственную тайну, при этом проверяемая организация может быть, как государственным органом, так и частным предприятием.

После проведения аудита информационной безопасности систем, обрабатывающих персональные данные можно сделать вывод о том, что все нормативно – правовые и технические документы оформлены в соответствии с Конституцией Российской Федерации, Федеральными законами и ГОСТом. А программно – аппаратные средства необходимо закупить, чтобы повысить уровень защищенности персональных данных.

На сегодняшний день автоматизированные системы играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование автоматизированной системы для хранения, обработки и передачи персональных данных приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности автоматизированной системы. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей статьи.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации.

Однако необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу, и способствовать повышению уровня информационной безопасности компании.

Список используемых источников

1. Конституция Российской Федерации [Электронный ресурс]: [принята всенародным голосованием 12.12.1993 (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ)] / Консультант плюс. – Режим доступа: http:// www.consultant.ru.

2. Трудовой кодекс Российской Федерации [Электронный ресурс]: [от 30 декабря 2001 г. N 197-ФЗ (с изм. и доп. от 24, 25 июля 2002 г., 30 июня 2003 г., 27 апреля, 22 августа 2004 г.)] / Консультант плюс. – Режим доступа: http:// www.consultant. ru.

3. Федеральный закон [Электронный ресурс]: [от 20.02.95 г. №24-ФЗ «Об информации, информатизации и защите информации»] / Консультант плюс. Режим доступа: http:// www.consultant. ru.

4. Федеральный закон [Электронный ресурс]: [от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»] / Консультант плюс. – Режим доступа: http:// www.consultant. ru.

5. Федеральный закон [Электронный ресурс]: [от 27 июля 2006 года №152-ФЗ «О персональных данных»] / Консультант плюс. – Режим доступа: http:// www.consultant. ru.

6. Федеральный закон [Электронный ресурс]: [от 21 июля 2014 года №242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»] / Консультант плюс. – Режим доступа: http:// www.consultant. ru.

7. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных [Текст]: постановление Правительства РФ от 1 ноября 2012 г. № 1119 // Собрание законодательства РФ. – 2012. – № 45. – ст. 6257.

8. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности [Текст]: приказ ФСБ России от 10 июля 2014 г. № 378 // Российская газета. – 2014 г. – № 211, 17 сентября.

9. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [Текст]: приказ ФСТЭК России от 11 февраля 2013 г. № 17 // Российская газета. – 2013 г. – № 136, 26 июня.

10. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Текст]: приказ ФСТЭК России от 18 февраля 2013 г. № 21 // Российская газета. – 2013 г. – № 107, 22 мая.

11. О лицензировании деятельности по технической защите конфиденциальной информации [Текст]: постановление Правительства РФ от 3 февраля 2012 г. № 79 // Собрании законодательства РФ. – 2012 г. – № 10. – ст. 863.

12. Инструкция по организации парольной защиты в КГБУЗ «Детская поликлиника № 1» министерства здравоохранения Хабаровского края;

13. Инструкция по организации антивирусной защиты в КГБУЗ «Детская городская поликлиника № 1»министерства здравоохранения Хабаровского края;

14. Доктрина информационной безопасности Российской Федерации: [Электронный ресурс]: (от 9 сентября 2000 года № Пр – 1895 (уст. Президентом РФ) / Консультант плюс. – Режим доступа: http:// www.consultant.ru.

15. Аверченков, В.И. Аудит информационной безопасности. 2-е издание [Текст]: учебное пособие для вузов/ В.И. Аверченков. - М.: ФЛИНТА, 2012. – С. 269.

16. Бабаш, А.В. Информационная безопасность. Лабораторный практикум [Текст]: учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. – М.: КноРус, 2013. – С. 136 .

17. Барышников, А. М. Безопасность корпоративных центров обработки персональных данных. Защита информации [Текст]: учебник / А.М. Барышников. М.:– Инсайд. 2013. – С . 40-41.

18. Бирюков, А.А. Информационная безопасность [Текст]: учебник для бакалавров / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.

19. Блиновская, Я.Ю. Введение в геоинформационные системы [Текст]: учебное пособие / Я.Ю. Блиновская, Д.С. Задоя. - М.: Форум, НИЦ ИНФРА-М. 2013. – 112 c.

20. Борисова, С.А. Общие требования при обработке персональных данных работника и гарантии их защит. Трудовое право [Текст]: учебник для вузов / С.А. Борисова. - М.: Интел-Синтез. 2015. – С. 30-36.

21. Бузов, Г.A. Защита от утечки информации по техническим каналам [Текст]: учебное пособие / Бузов Г.A., Калинин C.B., Кондратьев A.B.- M.: Горячая линия – Телеком. 2013. – С. 416.

22. Васильков, А.В. Информационные системы и их безопасность [Текст]: учебное пособие / А.В. Васильков, А.А. Васильков, И.А. Васильков. - М.: Форум. 2013. – 528 c.

23. Важорова, М.А. Проблемы совершенствования системы обеспечения защиты персональных данных [Текст]: монография / М.А. Важорова. - М.: Издательство ГОУ ВПО "Саратовская государственная академия права". 2012. – С. 38-40.

24. Веселова, А.Б. Защита персональных данных работников. Трудовые споры [Текст]: учебник / А.Б. Веселова. - М.: Изд. Дом "Арбитражная практика", 2013. – С. 33-46.

25. Гаврюшина, Н.И. Проблемы правовой защиты персональных данных. Актуальные вопросы современного российского права: межвузовский сборник научных статей [Текст]: учебник / Н.И. Гаврюшина. – М.: Издательсво ПГУ. 2014. – С. 158-161.

26. Гафнер, В.В. Информационная безопасность [Текст]: учебное пособие / В.В. Гафнер. – М.: Рн/Д: Феникс, 2013. – С. 324 .

27. Гостев, И. М. Защита персональных данных и сведений о частной жизни граждан. / И.М. Гостев. – М.: Конфидент. № 3. 2012. – С. 13.

28. Громов, Ю.Ю. Информационная безопасность и защита информации [Текст]: учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. – М.: Ст. Оскол: ТНТ, 2014. – С. 384.

29. Девянин, П.Н. Информационная безопасность предприятия [Текст]: учебное пособие. / П.Н. Девянин, A.A. Садердинов, B.A. Трайнев. - M.: ФЕНИКС, 2012. – С.335.

30. Запечников, С.В. Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защите [Текст]: учебник для вузов. / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ , 2016. – С. 536.

31. Кадацкая, Т.А. Защита персональных данных как одна из составляющих информационной безопасности граждан [Текст]: учебное пособие / Т.А. Кадацкая. – М.: Маджента, 2006. – С. 135-139

32. Кияев, В. Безопасность информационных систем [Текст]: учебное пособие / Кияев В., Граничин О. – М.: Национальный Открытый Университет "ИНТУИТ" 2016. – С.192.

33. Корнеев, И.К. Информационные технологии в работе с документами [Текст]: учебник / И.К. Корнеев. - М.: Проспект, 2015. – С.304.

34. Курило, А.П. Аудит информационной безопасности [Текст]: учебник / А.П. Курило. – М.: Издательская группа «БДЦ-пресс», 2013. С.– 304.

35. Лебедева, М.М. Актуальные вопросы защиты персональных данных [Текст]: практическое пособие / М.М. Лебедева. – М.: Тезарус. 2014.– С. 18-20

36. Малюк, A.A. Введение в защиту информации в автоматизированны системах [Текст]: учебник для вузов / Малюк A.A., Пaзизин C.B., Погожий H.C. - M.: Горячая линия - Телеком, 2014. - 147 c.

37. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст]: учебник / А.А. Малюк. - М.: ГЛТ, 2014. – С. 280.

38. Мезенцев, К.Н. Автоматизированные информационные системы [Текст]: учебник для вузов / К.Н. Мезенцев. - М.: ИЦ Академия. 2013. – 176 c.

39. Петренко, C.A. Управление информационными рисками. Экономически оправданная безопасность [Текст]: учебное пособие / Петренко С.А., Симонов C.B. – М.: Компания АЙТИ; ДМК Пресс, 2015. - 384с.

40. Снытников, A.A. Лицензирование и сертификация в области защиты информации [Текст]: учебник / А.А. Снытников. - M.: Гелиос АРВ. 2013. – С. 192.

41. Станскова, У.М. Состав персональных данных в трудовых отношениях: что подлежит защите [Текст]: учебное пособие / У.М. Станскова. – М.: Кадровик. 2014. – С . 16-23.

42. Станскова, У.М. Обеспечение конфиденциальности как условие достойного труда работника [Текст]: учебник для вузов / У.М. Станскова. – М.: ЮНИТИ. 2014. – С. 75-80.

43. Торговченков, В.И. Нормативно-правовое регулирование в сфере оборота персональных данных [Текст]: учебное пособие / В.И. Торговченков. – М.: ИНФРА – М. 2013. – С . 3-5.

44. Хачатурова, С.С. Персональные данные под защиту [Текст]: учебник / С.С. Хачатурова. // Международный журнал прикладных и фундаментальных исследований. – 2016. - №5. – С. 666-668.

45. Хорев, A.A. Защита информации от утечки по техническим каналам [Текст]: учебное пособие / А.А. Хорев. - M.: МО РФ, 2016.

46. Чеботарева, А.А. Информационная политика России в обеспечении информационной безопасности личности: история и современность [Текст]: учебник для вузов / А.А. Чеботарева. – М.: ИНФРА – М. 2015. – С. 24-28.

47. Чизганов, А.А. Обработка персональных данных работника [Текст]: учебное пособие / А.А. Чизганов. – М.: Изд-во Том. ун-та. 2014. – С. 121-122

48. Щеглов A.Ю. Защита компьютерной информации от несанкционированного доступа [Текст]: учебник для вузов / А.Ю. Щуглов. – М.: ЮНИТИ. 2014. – С. 384.

49. Щербович А.А. Локализация персональных данных граждан России: проблемы правоприменения [Текст]: учебное пособие / А.А. Щербович. – М.: Копирайт. Вестник Российской академии интеллектуальной собственности. 2015. – С. 66-77.

50. Официальный сайт КГБУЗ «Детская городская поликлиника №1» [Электронный ресурс]. – Режим доступа: http://dgp1.medkhv.ru/.

Приложение А

Смета расходов на покупку оборудования и программного обеспечения

Название	Характеристика	Количество, шт.	Цена, руб.
1	2	3	4
Сервер IBM System x3850 х5	Высокоскоростное развертывание виртуальных сред, обмен данными, быстрые расчеты высокой сложности; надежная система для защиты данных, которая превращает сервер в «недоступную крепость» для вредоносных программ и перехвата конфиденциальной информации; простая и удобная интеграция серверов других производителей с серверами IBM.	2	3 000 000
Система хранения персональных данных EonStor GS 3000	Обеспечивает одновременный доступ к данным на блочном, файловом или объектном уровнях, а также интеграцию с хранилищами.	1	460 000
Handy Backup Office Expert 7	Программное обеспечение для Windows, с помощью которого можно создавать резервные копии файлов, популярных баз данных, образа диска, веб-сайтов и других важных данных, также сохраняет точный образ любого сервера.	1	7 400

Продолжение прил. А

Характеристики

Список файлов ВКР