Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Хабаровск - 2017

Содержание

Введение 4

1 Общие сведения о предприятии 6

1.1 Параметры информационной системы 8

1.2 Классификация информационной системы персональных данных 10

1.3 Существующие меры защиты информации 13

1.4 Модель нарушителя и угроз безопасности ПДн в ИСПДн 15

1.4.1 Модель вероятного нарушителя 15

1.4.2 Модель угроз 16

1.5 Определение актуальных угроз утечки информации по техническим каналам 21

2 Разработка методов и способов защиты персональных данных 24

2.1 Определение набора организационных и технических мер 24

2.2 Технические средства защиты информации 26

2.2.1 Secret Net Studio 8.0 – С 27

2.2.2 Аппаратно-программный комплекс шифрования «Континент» 3.7……………………………………………………………………………29

2.2.3 Kaspersky Endpoint Security 10 для Windows 30

2.2.4 XSpider 7.8.24 31

2.3 Организационные меры 31

2.4 Средства защиты и выполняемые ими меры 33

3 Разработка компенсирующих мер 39

3.1 Модель вариантов использования 41

3.1.1 Диаграммы вариантов использования 42

3.1.2 Диаграммы автоматов 45

3.2 Модель анализа 50

3.2.1 Диаграмма классов анализа 50

3.2.2 Диаграммы последовательности 52

3.3.1 Диаграммы классов 55

3.3.2 Диаграммы деятельности 60

3.4 Модель реализации 62

3.4.1 Диаграмма компонентов 62

3.4.2 Диаграмма развертывания 64

3.5 Руководство пользователя 66

3.5.1 Руководство администратора 66

3.5.2 Руководство пользователя – врача 69

4 Оценка экономической эффективности внедрения системы защиты персональных данных 72

4.1 Расчет капиталовложения 73

4.2 Расчет выгоды 75

4.3 Расчет периодических затрат 78

4.4 Расчет нормы дисконта 79

4.5 Расчет чистого дисконтированного дохода и индекса доходности 80

5 Безопасность жизни деятельности. Расчет производственного освещения 82

5.1 Освещение производственных помещений, основные виды. 82

5.2 Порядок расчета освещенности 84

5.3 Расчёт естественного и искусственного освещения 87

Заключение 92

Список использованных источников 93

Принятые сокращения 95

Введение

Развитие технологий постепенно затрагивает все сферы человеческой жизни, упрощается обработка и доступ к информации. В таких областях как медицина или образование речь идет не только о личной информации (ПД сотрудников этих учреждений), но и о персональных данных пациентов или учащихся.

В лечебных учреждениях обрабатываются медицинские данные, такие как сведения о состоянии здоровья, полис ОМС, и личные (фамилия, имя отчество; дата рождения; адрес). Приходя к врачу, пациент не думает о свои персональных данных, но, тем не менее, он может рассчитывать на их защиту от реализации угроз информационной безопасности согласно целому перечню документов, одним из которых является 152 Федеральный закон «О персональных данных». Согласно 323 Федеральному закону «Об основах охраны здоровья граждан в Российской Федерации», здоровье - состояние физического, психического и социального благополучия человека, при котором отсутствуют заболевания, а также расстройства функций органов и систем организма.

Основными принципами охраны здоровья являются [6]:

• соблюдение прав граждан в сфере охраны здоровья и обеспечение связанных с этими правами государственных гарантий;

• приоритет интересов пациента при оказании медицинской помощи;

• приоритет охраны здоровья детей;

• социальная защищенность граждан в случае утраты здоровья;

• ответственность органов государственной власти и органов местного самоуправления, должностных лиц организаций за обеспечение прав граждан в сфере охраны здоровья;

• доступность и качество медицинской помощи;

• недопустимость отказа в оказании медицинской помощи;

• приоритет профилактики в сфере охраны здоровья;

• соблюдение врачебной тайны.

Врачебная тайна - сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. Разглашение этих сведений лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей не допускается, в том числе после смерти человека, за исключение пунктов три и четыре 13 статьи 323 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».

Для обеспечения информационной безопасности персональных данных и сохранности врачебной тайны необходимо проанализировать угрозы системы, обеспечить проработку методов и способов защиты информации, а также важно создать конкретную систему защиты информации для медицинских учреждений. Этим обуславливается актуальность данной выпускной квалификационной работы (ВКР).

Целью ВКР является разработка профиля защиты персональных данных, которые обрабатываются в информационной системе персональных данных КГБУЗ СП №25 «Ден-тал-из», удовлетворяющего требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности, с возможной разработкой компенсирующих мер.

Объект исследования ВКР – информационная система персональных данных краевого государственного бюджетного учреждения здравоохранения стоматологической поликлиники № 25 «Ден-тал из».

Предметом исследования является информационная безопасность информационной системы персональных данных стоматологической поликлиники №25.

1. Общие сведения о предприятии

Краевое государственное бюджетное учреждение здравоохранения стоматологическая поликлиника № 25 «Ден-тал-из» Министерства здравоохранения Хабаровского края является лечебным учреждением для оказания специализированной, в том числе высокотехнологичной стоматологической помощи.

Учреждение создано в целях обеспечения реализации предусмотренных законодательством Российской Федерации полномочий в сфере охраны здоровья в части обеспечения населения первичной медико-санитарной стоматологической помощью.

Основными задачами КГБУЗ «Ден-тал-из» являются:

• оказание первичной доврачебной, врачебной специализированной медико-санитарной помощи, включающей в себя мероприятия по профилактике, диагностике, лечению стоматологических заболеваний и состояний, медицинской реабилитации, осуществляемой амбулаторно, в том числе на дому, в экстренной, неотложной и плановой формах, в рамках государственного задания, устанавливаемого министерством здравоохранения;

• фармацевтическая деятельность;

• экспертная деятельность (в т.ч экспертиза временной нетрудоспособности);

• деятельность по профилактике заболеваний и формированию здорового образа жизни у граждан;

• участие в разработке и реализации государственных программ в сфере здравоохранения;

• деятельность в области обслуживания медицинской техники для обеспечения собственных нужд;

• поддержка необходимой готовности к оперативному осуществлению мероприятий, направленных на спасение жизни и сохранения здоровья людей при чрезвычайных ситуациях, ликвидацию медико-санитарных последствий чрезвычайных ситуаций;

• проведение мероприятий по обеспечению антитеррористической защищенности.

В своей деятельности поликлиника осуществляет сбор, накопление, хранение, уточнение (обновление, изменение), использование данных, относящихся к прямо или косвенно определенному, или определяемому лицу, что попадает под действие 152 Федерального закона «О персональных данных».

Правовую основу обработки персональных данных составляют следующие нормативно-правовые акты:

• Конституция РФ;

• Федеральный закон от 27.07.06 г. №149 «Об информации, информационных технологиях и о защите информации»;

• Приказ Россвязькомнадзора от 17.07.2008 №8 (ред. от 18.02.2009) «Об утверждении образца формы уведомления об обработке персональных данных»;

• Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Указ Президента РФ от 06.03.1997 №188 (ред. от 13.07.2015) «Об утверждении перечня сведений конфиденциального характера»;

• Трудовой кодекс РФ;

• Гражданский кодекс РФ;

• Федеральный закон от 27.07.2006 №152 «О персональных данных»;

• Устав КГБУЗ СП №25 «Ден-тал-из»;

• Федеральный закон от 21.11.2011 №323 (ред. от 03.07.2016) «Об основах охраны здоровья граждан в Российской Федерации»;

• Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

• другие нормативно-правовые акты.

1.1 Параметры информационной системы

В информационной системе поликлиники персональные данные обрабатываются на 37 АРМах и одном сервере. ПДн хранятся распределено, на серверах БД и на жёстких дисках АРМ пользователей, к которым имеют доступ врачи и технический персонал поликлиники. Параметры информационной системы поликлиники представлены в таблице 1.1.

Таблица 1.1 – Параметры информационной системы поликлиники

В ходе обследования был определен перечень субъектов, персональные данные которых обрабатываются в поликлинике:

• работники поликлиники;

• пациенты.

Поликлиника в своей деятельности обрабатывает следующий перечень персональных данных:

1. персональные данные работников, среди которых:

1. фамилия, имя, отчество;

2. пол;

3. дата рождения;

4. место регистрации и фактического проживания;

5. сведения об образовании;

6. дата прохождения и решение комиссии об аттестации;

7. квалификационная категория, вид и реквизиты документа о ее присвоении;

8. расчетный счет;

9. номер страхового свидетельства государственного пенсионного страхования;

10. ИНН;

11. должность;

12. стаж работы;

13. ставка;

14. тип и реквизиты документа, удостоверяющего личность;

15. дата приема на работу;

16. адрес по прописке и фактический адрес проживания;

17. сертификаты и даты их получения.

1. персональные данные пациентов:

1. фамилия, имя, отчество;

2. социальное положение;

3. ИНН;

4. СНИЛС;

5. возраст;

6. адрес по прописке и фактический адрес проживания;

7. сведения о состоянии здоровья (хранящиеся в электронных амбулаторных картах);

8. данные полиса ОМС.

1.2 Классификация информационной системы персональных данных

Информационная система позволяет облегчить и автоматизировать целый ряд задач:

• ведение электронных амбулаторных карт (содержащих сведения о состоянии здоровья);

• обработку медицинских исследований в цифровой форме;

• сбор и хранение данных мониторинга со специализированных медицинских приборов;

• анализ и систематизацию финансовой и административной деятельности.

В ходе обследование системы было выявлено, что она подразделена на сегменты по доступу к обрабатываемой информации, в частности:

• «Бухгалтерия»;

• «Административный состав» (секретари, кадры, IT-отдел, старшая медсестра);

• «Медицинский персонал».

Администрированием системы занимаются два человека (IT-отдел) без разделения обязанностей, за счет сменного графика работы, им доступно удаленно подключение к любому рабочему месту поликлиники. Разбиение на сегменты является в основном номинальным, отличается только характер обработки информации. В общем случае обрабатываемая информация может быть одинакова. Например, административный состав вносит данные о пациентах в систему, которыми затем пользуются врачи для постановки диагноза. В тоже время бухгалтерия получает доступ к данным о пациентах, их полисах ОМС, для начисления заработной платы персоналу. Таким образом можно сделать вывод, что доступ к данным о пациентах отделы получают по нисходящей, это «Медицинский персонал», «Административный состав» и, наконец, «Бухгалтерия». В тоже время доступ к данным сотрудников распределяется иначе. Изменение данных доступно в основном только «Административному составу», «Бухгалтерия» в ходе своей деятельности получает доступ на ознакомление с личными данными.

В соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», определяется четыре уровня защищенности. Уровень защищенности персональных данных – это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных [2].

Уровень защищенности зависит от следующих показателей [2]:

1. тип актуальных угроз:

1. угрозы первого типа – угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;

1. угрозы второго типа – угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;

2. угрозы третьего типа ­­– угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладнм программном обеспечении, используемом в информационной системе.

1. категорий обрабатываемых персональных данных:

1. специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

1. биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность;

2. общедоступные персональные данные – данные субъектов персональных данных, полученные только из общедоступных источников персональных данных;

3. иные категории персональных данных, все что нельзя отнести к предыдущим трем категориям.

1. тип субъектов ПДн, персональные данные которых обрабатываются в информационной системе (являются или не являются сотрудниками оператора);

2. количество субъектов ПДн, данные которых обрабатываются и не являющиеся сотрудниками оператора:

1. менее чем 100000 субъектов персональных данных;

1. более чем 100000 субъектов персональных данных.

Из-за того, что разделение доступа в основном является номинальным, то по данным, полученным из таблицы 1.1, было выявлено, что в соответствии с постановлением Правительства Российской Федерации № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» информационной системе поликлиники присвоен третий класс защищенности, так как:

• обрабатываются ПД первой категории (специальные);

• объем обрабатываемых в системе одновременно ПД не превышает 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

• актуальны угрозы третьего типа.

В результате проведенных мероприятий по анализу и выявлению актуальных угроз, сведений, содержащихся в ИСПДн стоматологии и структурно‑функциональных особенностей ИСПДн было установлено, что угрозы первого и второго типа не являются актуальными для ИСПДн. А именно, реализация угроз, связанных с наличием недекларированных возможностей в системном прикладном и программном обеспечении считается маловероятной ввиду использования лицензионного системного программного обеспечения и защищенности ИСПДн от сетей связи общего пользования и сетей международного информационного обмена посредством сертифицированных СЗИ.

1.3 Существующие меры защиты информации

Поликлиника представляет собой двухэтажное здание с подвалом, обнесенное небольшой оградой с парковкой, въезд на которую охраняется. Так как поликлиника является общедоступным учреждением, трудно ограничиться как таковой контролируемой зоной. У здания есть два входа, передний, около него расположен кабинет охраны, куда выводятся все изображения с камер видеонаблюдения, расположенных по всему периметру здания, и задний через парковку, которая также охраняется. Данные с камер наблюдения хранятся в течение пяти дней. На всех окнах в здании есть жалюзи.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР