Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ

УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Хабаровск – 2016

Содержание

Введение 4

1 Исследование исходных данных по объекту защиты 9

1.1 Общие сведения об ИС, эксплуатируемых Учреждением 9

1.1.1 ИСПДн «Диспансер» 9

1.2 Установление уровней защищённости ПДн в ИС Учреждения 11

1.3 Актуальные угрозы безопасности информации в ИС Учреждения 12

1.3.1 Актуальные угрозы в ИСПДн «ДПР» 12

1.4 Описание возможных нарушителей 16

1.4.1.1 Внутренний нарушитель 20

1.4.1.2 Внешний нарушитель 22

2 Разработка методов и способов защиты персональных данных 25

2.1 Общая информация 25

2.1.2 Характеристика комплекса ОТСС и ВТСС, программного обеспечения, режима обработки, технологического процесса обработки информации ИСПДн 27

2.1.2.1 Характеристика комплекса ОТСС 27

2.1.2.2 Характеристика комплекса ВТСС 28

2.1.2.3 Состав программного обеспечения ИСПДн «Диспансер» 29

2.1.2.4 Режим обработки персональных данных 29

2.1.2.5 Технологический процесс обработки информации 32

2.2 Меры по противодействию актуальным угрозам безопасности информации 33

2.3 Характеристики технических средств защиты информации, предлагаемые для использования в ИСПДн 37

2.3.1 Система защиты информации от НСД КСЗИ «ПАНЦИРЬ-К» 38

2.3.2 Средство анализа защищенности RedCheck 39

2.3.3 Средство антивирусной защиты ESET NOD32 Secure Enterprise Pack 5.0 40

2.4 Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования системы защиты ИСПДн 41

3 Профиль системы защиты персональных данных 43

3.1 Назначение и топология объекта информатизации 43

3.2 Архитектура ИСПДн 44

3.3 Физические лица, имеющие доступ к ресурсам и (или) в помещения, в которых располагаются ТС ИСПДн 44

3.4 Характеристики ИСПДн 44

3.5 Характеристики и состав аппаратного и программного обеспечения 45

3.5.1 Компоненты ИСПДн 45

3.5.2 Характеристики аппаратного обеспечения ИСПДн 46

3.5.3 Характеристики программного обеспечения ИСПДн 47

3.6 Организационные мероприятия, реализованные в ИСПДн 48

3.7 Организация информационных потоков при межсетевом взаимодействии 49

3.8 Порядок ввода СЗИ в эксплуатацию 49

3.8.1 Адаптация технических решений 50

3.8.1.2 Предложения по доработке подсистем 50

3.8.2 Поставка оборудования и программного обеспечения 51

3.8.3 Ввод в действие 51

3.8.3.1 Установка и документирование СЗИ 51

3.8.3.2 Опытная эксплуатация 52

3.8.3.3 Выполнение мероприятий по подготовке персонала 52

3.8.3.4 Организация необходимых подразделений и рабочих мест 52

3.8.3.5 Приемо-сдаточные испытания 53

3.8.3.6 Предложения по доработке и развитию технических средств защиты информации 54

Заключение 55

Список использованных источников 56

Список сокращений 58

Приложение А 59

Приложение B 64

1. Введение

В настоящее время практически ни одно медицинское учреждение – государственное, муниципальное или частное – не обходится в своей деятельности без использования компьютеров для обработки персональных данных (ПДн) пациентов и медработников. Это влечет за собой необходимость организации защиты ПДн в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности ПДн в информационных системах медицинских учреждений – это не только выполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", но и комплекса мероприятий по охране врачебной тайны, понятие которой устанавливается федеральным законом "Об основах охраны здоровья граждан в Российской Федерации" (№ 323–ФЗ от 21.11.2011 г.).

В большинстве лечебно–профилактических учреждений (ЛПУ) информационные системы создавались без учета требований по защите ПДн и врачебной тайны. Поэтому перед такими учреждениями здравоохранения встает проблема создания соответствующей всем нормативным требованиям интегрированный системы защиты для уже существующих информационных систем, либо перехода к применению новых информационных систем персональных данных (ИСПДн) с реализованными функциями защиты.

Объектом исследования является обеспечение информационной безопасности информационных систем учреждений здравоохранения в РФ.

Предмет исследования данной ВКР – разработка СЗИ в информационных системах (ИС) Областного Государственного Казенного Учреждения Здравоохранения "Противотуберкулезный диспансер" г. Биробиджана.

Целью моей дипломной работы является разработка профиля защиты информационной системы, обрабатываемой ПДн в лечебном учреждении.

Задачи:

• изучение документации в области защиты информации;

• исследование исходных данных по учреждению, существующих средств информационной безопасности в нем;

• разработка профиля защиты ПДн, удовлетворяющего требованиям законодательства РA и нормативным документам ФСТЭК и ФСБ России.

Выпускная квалификационная работа состоит из введения, трёх основных разделов, заключения, списка используемых источников и двух приложений.

В первом разделе исследуются исходные данные по объекту защиты: ИС, эксплуатируемые в лечебном учреждении, наличие СрЗИ и т.п. Раздел разделён на пять подразделов:

• исследование общих сведений об ИС, эксплуатируемых в лечебных учреждениях;

• установление уровня защищённости ИСПДн;

• установление класса защищённости муниципальной ИС;

• актуальные угрозы информационной безопасности ИС лечебного учреждения;

• требования к ИС лечебного учреждения.

Во втором разделе осуществляется разработка методов и способов защиты конфиденциальной информации в соответствии с законодательством РФ. Раздел разделён на четыре подраздела:

• технические меры защиты информации;

• организационные меры защиты информации;

• меры защиты информации в целях нейтрализации актуальных угроз;

• схемы построения СЗИ в ИС Учреждения.

В третьем разделе выполняется внедрение СЗИ в ИС Учреждения.

В списке использованных источников приводятся используемые документы, литература, Интернет-сайты, и другие источники информации, используемой в данной ВКР.

Областное Государственное Казенное Учреждение Здравоохранения “Противотуберкулезный диспансер” г. Биробиджана создано в целях обеспечения реализации предусмотренных, законодательством Российской Федерации полномочий органов государственной власти Еврейской автономной области в сфере здравоохранения.

Основная цель деятельности Учреждения – оказание специализированной противотуберкулезной медицинской помощи населению Еврейской автономной области. Учреждение осуществляет доврачебную помощь: медицинские осмотры (предрейсовые, послерейсовые), медицинская статистика, медицинский массаж, физиотерапия, сестринское дело, функциональная диагностика, рентгенология, диетология. Амбулаторно – поликлиническая специализированная медицинская помощь: общественное здоровье и организация здравоохранения, контроль качества медицинской помощи, клиническая лабораторная диагностика, отоларингология, офтальмология, рентгенология, стоматология, экспертиза временной нетрудоспособности, функциональная диагностика, фтизиатрия, неврология, бактериология, эндоскопия, ультразвуковая диагностика. Стационарная специализированная медицинская помощь: фтизиатрия, экспертиза временной нетрудоспособности.

В лечебном учреждении эксплуатируется ИС:

• ИС «Диспансер» (локальная ИС);

Более подробное описание ИС приведено в подразделе 1.1.

Согласно Федеральному закону РФ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ [8]:

• персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

• информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Все вышеперечисленные ИС обрабатывают ПДн, и, следовательно, являются ИСПДн.

Требования [8] к защите персональных данных при их обработке в информационных системах персональных данных, утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.

Согласно данным Требованиям существует четыре уровня защищённости ПДн (1, 2, 3, 4 уровни). На основании исходных данных по ИС были составлены документы, устанавливающие уровень защищённости ПДн, обрабатываемых в ИС Учреждения.

Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных приведены в Составе и содержании организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [9], утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает [7]:

• проектирование системы защиты информации информационной системы;

• разработку эксплуатационной документации на систему защиты информации информационной системы;

• макетирование и тестирование системы защиты информации информационной системы (при необходимости).

Для создания СЗИ была разработана следующая документация:

• перечень ИС, эксплуатируемых Учреждением;

• перечень персональных данных, подлежащих защите;

• схемы расположения ТС относительно контролируемой зоны;

• акты установления уровня защищённости ПДн, обрабатываемых в ИС Учреждения;

• акт установления класса защищённости МИС Учреждения;

• Технические проекты на создание СЗИ.

1. 1 Исследование исходных данных по объекту защиты

   2. 1.1 Общие сведения об ИС, эксплуатируемых Учреждением

В лечебном учреждении эксплуатируются следующие ИС:

• ИСПДн «Диспансер».

1. 1.1.1 ИСПДн «Диспансер»

ИСПДн «Диспансер» (далее – ИСПДн «ДПР») предназначена для поддержки технологических процессов работы Учреждения, обеспечивающих учет работников, в целях обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Учреждения «Станция скорой медицинской помощи».

ИСПДн позволяет осуществлять сбор, хранение, использование и уничтожение персональных данных работников в базе данных, с целью ведения учета хозяйственной деятельности и отдельных аспектов кадрового делопроизводства, проведения расчетов заработных плат сотрудников, формирования различных внутренних отчетов, изменения и создания первичных и отчетных документов по аспектам кадрового делопроизводства.

ПДн, обрабатываемые ИСПДн «ДПР» относятся к иным категориям персональных данных (не относятся к специальным, биометрическим и общедоступным).

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР