Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

федеральное государственное бюджетное образовательное учреждение

высшего образования

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПУТЕЙ СООБЩЕНИЯ»

Кафедра «Финансы и бухгалтерский учет»

К ЗАЩИТЕ ДОПУСТИТЬ

Заведующий кафедрой

«Финансы и бухгалтерский учет»

____М.А. Немчанинова

«____»________20___г.

РАЗРАБОТКА МЕРОПРИЯТИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ КГБУЗ «ГОРОДСКАЯ КЛИНИЧЕСКАЯ БОЛЬНИЦА НОМЕР 10»

Выпускная квалификационная работа

ВКР 38.03.05. ПЗ – 34И

Хабаровск–2017

Annotation

Graduation qualification work on the topic «Development of measures for information security for KGBU «City Clinical Hospital No. 10». The work consists of 3 sections. The volume of the thesis is 53 pages. There are 11 drawings and 5 tab-persons.

The first section of the WRC «Theoretical Foundations of Information Security» discloses the main definitions related to information and information security, the principles of damage assessment as a result of threats were defined. A description of the most common threats to information is also provided.

In the second section of the WRC «analysis of the current state of the information system for KGBHU «City Clinical Hospital No. 10» was given a brief description of the information system of the Institution, vulnerabilities in the information security system were revealed. The second section also listed a number of possible threats, from which the Institution developed measures to protect the information system.

The third section, «Development of Information Security Measures for KGBHU «City Clinical Hospital No. 10», resulted in a number of measures to ensure a higher level of information security in the Institution by installing additional access control systems, deploying licensed anti-virus software, Excluding unauthorized access to employees' computers. When writing the final qualifying work, normative and legal documents were used, as well as 50 literary sources.

Содержание

Введение 4

1 Теоретические основы информационной безопасности 6

1.1 Угрозы информационной безопасности информационных систем 6

2 Анализ текущего состояния информационной системы в КГБУЗ «Городская клиническая больница №10» 24

3 Разработка мероприятий по информационной безопасности для КГБУЗ «Городская клиническая больница №10» 29

3.1 Внедрению системы контроля и управления доступом (СКУД) в серверные помещения 29

3.2 Внедрение средств антивирусной защиты информации 34

3.3 Установка бесперебойных источников питания для серверов и рабочих станций администраторов 40

3.4 Внедрение программно-аппаратных средств защиты информации 42

3.5 Установка видеонаблюдения в серверных помещениях 46

Заключение 49

Список используемых источников 50

Приложение А. Схема компьютерной системы КГБУЗ «Городская клиническая больница №10» 55

Приложение Б. Графический материал 56

Введение

Актуальность тeмы выпускной квалификационной работы связана с ростом проблем, касающихся обеспечения информационной безопасности. На сегодняшний день вопрос информационной безопасности организаций стоит особенно остро, поскольку кража информации или нарушение работы информационной системы влекут за собой значительные убытки для организации. Информационная безопасность это физические, технические, организационные и программные меры, благодаря которым обеспечивается сохранность, доступность и конфиденциальность информационных ресурсов.

Самый высокий процент угроз безопасности информации возникает из-за использования сторонних информационных систем и услуг. Использование информационных ресурсов в сетях частного и общего пользования в пределах организации затрудняют управление доступом к информации, чем повышают риск ее кражи.

Информационной безопасности часто уделяют недостаточное внимание при создании и информационных. Как показывает практика, информационная безопасность не должна ограничиваться только техническими средствами, поскольку они имеют ограничения и уязвимости и, следовательно, должна сопровождаться необходимыми организационными мерами. Проведение различных процедур, мероприятий, а также использование функций программного обеспечения – ключ в достижении приемлемого уровня информационной безопасности.

Информация – это актив организации, который имеет свою ценность и должен быть защищен на должном уровне. Целью информационной безопасности является обеспечение непрерывной работы, защита информации от многочисленных угроз, а также минимизация потери данных.

В настоящее информационной безопасности в организациях стали уделять большое значение, особенно это касается государственных учреждений, таких как КГБУЗ «Городская клиническая больница №10», так как целостность и доступность информации являются важными характеристиками непрерывности работы. Меры, направленные на сохранность, безопасность информации могут в существенной мере повлиять на бесперебойность работы.

Цель выпускной квалификационной работы заключается в разработке и внедрении комплекса мероприятий по обеспечению информационной безопасности для КГБУЗ «Городская клиническая больница №10».

Достижение цели выпускной квалификационной работы потребовало решения следующих задач:

• анализ информационных уязвимостей в КГБУЗ «Городская клиническая больница №10»;

• разработка мероприятий по обеспечению информационной безопасности компьютерной системы КГБУЗ «Городская клиническая больница №10»;

• внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы КГБУЗ «Городская клиническая больница №10» и их стоимостная оценка.

Предметом исследования выпускной квалификационной работы является система защиты информационной безопасности компьютерной системы КГБУЗ «Городская клиническая больница №10».

Значимость дипломного исследования состоит в реализации комплексного подхода при разработке мероприятии в области информационной безопасности.

1. Теоретические основы информационной безопасности

1. Угрозы информационной безопасности информационных систем

Информационная безопасность (ИБ) – это комплекс аппаратных средств, благодаря которым персонал предприятия способен обеспечить защиту информационных потоков от угроз несанкционированного доступа, изменения, уничтожения.

ИБ АИС (также и персональных компьютеров персонала под управлением любой операционной системы) – это состояние, в котором она:

• способна противостоять как внешним, так и внутренним источникам угроз;

• не являться угрозой для окружающей среды, так и для собственных элементов.

Информация как ресурс – это то, что наиболее важно для организации и ее повседневных операций, которые должны протекать непрерывно. Именно поэтому информацию нужно защищать для корректности и непрерывности работы [26].

Наиболее значимая информация организации должна быть четко определена и оценена, а ее реестры должны быть в актуальном состоянии. Объединение аналогичной или связанной информации в управляемые наборы позволит сократить время, затрачиваемое на оценку рисков.

Подотчетность персонала за информационные ресурсы позволит обеспечить высокий уровень ИБ. Для каждого информационного ресурса должен быть определен ответственный, а также обязанности, связанные с сопровождением соответствующих механизмов безопасности должна быть возложена на него.

Источники требований ИБ.

Существует два основных источника информационной безопасности, применяемых в любой организации:

• определение угроз и уязвимостей, которые могут привести к значительным потерям, в случае их осуществления;

• набор требований, принципов и целей, относящихся к обработке информации, которая необходима для поддержки операций.

Важным фактором в оценке риска является идентификация и стоимостное отражение значимости информационных ресурсов, исходя из потребностей организации. Для установления необходимого уровня защиты информационных ресурсов нужно оценить их стоимость, исходя из степени важности для организации или их ценности для осуществления текущей деятельности.

То, насколько значимым будет изменение, модификация или уничтожение информации, каковы будут последствия, в случае использовании уязвимостей информационной системы организации, а также то, какие информационные ресурсы пострадают от прямого или косвенного воздействия от угроз, все это и есть способ выражения стоимости информационного ресурса. Данные инциденты могут привести к потере работоспособности, поэтому эти соображения должны быть отражены в стоимости информационных ресурсов.

Данные, необходимые для определения стоимости информационных ресурсов должны предоставляться их владельцами, либо пользователями этих ресурсов, которые, в свою очередь, могут объективно оценить стоимость информационных ресурсов, а также ее значимость для организации. Чтобы правильно определять стоимость информационных ресурсов, должна быть составлена шкала их стоимости [30].

Для наиболее важных информационных ресурсов должна быть определена их стоимость, показывающая потенциальный вред для учреждения в случае нарушения конфиденциальности, модификации, целостности и доступности. Для каждого из основных свойств должно быть задано значение стоимости, ведь они являются независимыми и могут варьироваться для каждого из информационных ресурсов.

Информация должна быть классифицирована согласно идентифицированной стоимости и уровнем критичности. Данная классификация показывает приоритеты и необходимый уровень защиты при обращении к информации. Классификации, пересмотр с целью предоставления того, что классификация информации остается на необходимом уровне, входит в обязанности владельца ресурса.

Идентификация угроз и уязвимостей.

Информация в современном мире является объектом для множества угроз. Угроза может повлечь за собой нежелательный инцидент, из-за которого информации организации может быть причинен ущерб. Этот ущерб может быть результатом атаки на информацию организации, например, приводящей к ее несанкционированному разглашению, изменению, повреждению либо недоступности, или вовсе к ее потере. Источниками угроз могут являться преднамеренные или случайные. Уязвимости информационной системы – это то, куда направлена реализация любой угрозы с целью причинения ущерба информационным потокам внутри системы. Угрозы могут исходить как извне, так и изнутри организации [25].

Уязвимости – это слабости защиты, связанные с ресурсами организации. Эти слабости в свою очередь могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов, которые могут привести к уничтожению, повреждению или ущербу для информации (рисунок 1.1). Определение уязвимостей должно указывать на связанные с ресурсами слабости в:

• физическом окружении;

• механизмах контроля, администрировании, персонале;

• операциях и предоставлении сервисов;

• поддерживающей инфраструктуре, оборудовании, программном обеспечении, технических средствах.

Рисунок 1.1 – Схема сценариев развития информационной атаки

Оценка угроз и уязвимостей.

Следующим шагом в обеспечении информационной безопасности после идентификации угроз и уязвимостей является необходимость оценки вероятности объединения угроз и возникновения риска. Он включает в себя оценку вероятности осуществления угроз, а также насколько легко угрозы используют имеющиеся уязвимости.

Оценка вероятности угроз должна учитывать следующее:

• преднамеренные угрозы. Вероятность данного вида угроз зависит от мотивации, ресурсов и знаний, доступных потенциальному злоумышленнику;

• случайные угрозы. Вероятность случайных угроз, как правило, ниже, и их можно оценивать с использованием статистики и опыта. Вероятность данного вида угроз может зависеть от значимости организации;

• угрозы, которые осуществлялись в прошлом. Это инциденты, происходившие в прошлом, которые показывают уязвимости в существующих защитных мерах.

Вероятность использования уязвимостей угрозами должна оцениваться на основе такой оценки и на основе шкалы, выбранной для оценки угроз и уязвимостей. Общая вероятность инцидента связана с уязвимостью информационных ресурсов, т.е. насколько легко уязвимости могут быть использованы [13].

Вычисление и оценивание рисков.

Расчет уровней рисков осуществляется с помощью совмещения стоимости информационного ресурса, выражающей последствия в результате целостности, конфиденциальности и доступности с оценочной вероятностью угроз и уязвимостями, которые могут привести к инциденту [12]. Оценка рисков и последующие управление ими представлено на рисунке 1.2.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР