Пояснительная записка (ПЗ) (1209507), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

В своейдеятельности Клиника хранит, обрабатывает и передает данные, относящиесяпрямо или косвенно определенному или определяемому физическому лицу,что попадает под действие Федерального закона от 27.07.2006 № 152-ФЗ «Оперсональных данных».Основными объектами информатизации в клинике являются: ИС (как собственной, так и сторонней разработки), в которыхобрабатывается информация ограниченного доступа, эксплуатируемые вКлинике; технические средства приема, обработки, хранения и передачиинформации ограниченного доступа; вспомогательные технические средства и системы для приема,обработки, хранения и передачи информации ограниченного доступа;21 помещения,вкоторыхразмещаютсятехническиесредствасинформацией ограниченного доступа; картотека пациентов; бухгалтерские документы, содержащие информацию ограниченногодоступа.ИС предназначены для обеспечения работоспособности инфраструктурыКлиники,предоставлениясотрудникамструктурныхподразделенийразличных видов информационных сервисов, автоматизации финансовой имедицинской деятельности.К объектам защиты относятся информационные ресурсы Клиники(архивы; банки, базы и файлы данных; отдельные документы на бумажныхносителях), содержащие зафиксированные на материальном носителе(независимо от его формы) сведения, используемые в процессе сбора,обработки, накопления, хранения, распространения, взаимодействия в рамкахисполнения возложенных на Клинику функций.2.4Категории информационных ресурсов, подлежащих защитеОснованием для отнесения сведений, обрабатываемых в информационнойсистеме клиники, к информации ограниченного распространения являетсяФедеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» иУказ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведенийконфиденциального характера».Клиника обрабатывает следующие категории персональных данных: персональные данные физических лиц, работающих по трудовомудоговору с Клиникой (работники); персональные данные физических лиц, обратившихся в Клинику.В Клинике хранятся и обрабатываются различные виды общедоступнойинформации информации ограниченного доступа.22К информации ограниченного доступа относятся: персональныеданныесотрудниковКлиникиипартнеров (банков); финансоваяибухгалтерскаядокументация; личные медицинские карты пациентов; другиесведения,составляющиеделовуюинформациюовнутреннейдеятельности клиники.2.5ПодУгрозы информационной безопасностиинформационнойбезопасностьюинформационнойсистемыпонимается состояние защищенности информационной среды (информации,информационных ресурсов, баз данных), при которой её формирование,использование, развитие и информационный обмен обеспечивается защитойинформации (данных) от утечки, хищения, утраты, несанкционированногоуничтожения,искажения,модификации(подделки),копирования,блокирования.На объектах информатизации (ОИ) основными источниками защищаемойинформации являются субъекты информационных отношений: пользователи(кредитныеспециалисты),администратор,обслуживающий персонал Клиники; документы на твердой основе, различного характера и назначения,включая электронные документы на машинных носителях информации, сзащищаемой информацией, например журналы, договоры внутренние,договоры банковские; штатныетехническиесредстваИСобработкизащищаемойинформации: принтеры и сканеры.Наиболееопаснымиугрозамибезопасностиинформацииявляются: нарушение конфиденциальности (разглашение, утечка) сведений,составляющих информацию ограниченного доступа: персональные данные23клиентов,рабочегоперсонала,результатыдиагностики,медицинскихзаключений и пр.; нарушениеработоспособности(дезорганизацияработы)ИС,блокирование информации, нарушение технологических процессов, срывсвоевременного решения задач:нарушение работы системы удаленногодоступа, нарушение работы системы банковского кредитования; нарушениецелостности(искажение,подмена,уничтожение)информационных, программных и других ресурсов клиники, а такжефальсификация (подделка) документов: фальсификация личных документовклиента, нарушение целостности программы удаленного доступа.Под угрозами информационной безопасности понимается потенциальнаявозможностьнарушенияеёследующихосновных,качественныххарактеристик: конфиденциальности (разглашение, утечка) сведений, составляющихгосударственную,персональныхслужебнуюданных:иликоммерческуюперсональныеданныетайну,клиента,атакжеперсонала,информация, касающаяся непосредственно организации; работоспособности (дезорганизация работы) программно-техническихкомплексов,процессовблокированиеобработкиинформации,информации,нарушениесрывтехнологическихсвоевременногорешениявыполняемых задач: нарушение работы компьютеров, ИС клиники; целостности и достоверности информационных, программных и другихресурсов, а также фальсификация (подделка) документов: фальсификациядокументов организации, личных документов клиентов, персонала.Источникиугрозинформационнойбезопасности,разделяютсянавнешние и внутренние.К внешним источникам угроз относятся: действия преступных групп, формирований и связанных с нимикоррумпированных лиц по добыванию защищаемой информации в целях24реализации своих преступных замыслов: конфиденциальная информацияклиентов, персонала, орагнизации; использование средств опасного воздействия на информационныересурсы, получение несанкционированного доступа к ним: доступ к базеданных; преступнаядеятельностьотдельныхлиц,бандитскихгруппиформирований или злоумышленников, конкурирующих и недобросовестныхорганизаций, в том числе с использованием телекоммуникационных систем(прежде всего Интернет); диверсионные действия по отношению к объектам информатизации(поджоги, технические аварии, взрывы и т.д.); стихийные бедствия, аварии, и техногенные катастрофы.К внутренним источникам угроз относятся: неправомерные действия должностных лиц в области формирования,распространения и использования защищаемой информации: работа в базеданных, работа с персональными данными клиентов; преднамеренные (в корыстных целях, по принуждению третьимилицами, со злым умыслом и т.п.) действия персонала, работающего наобъектах информатизации; отказытехническихсредствипрограммногообеспечениявинформационных и телекоммуникационных системах; некомпетентные действия и ошибки, допущенные при проектированиии эксплуатации информационных систем; халатность и недостаточно четкое исполнение служебных обязанностейпри проведении мероприятий по защите информации; нарушения пользователями (исполнителями работ) и обслуживающимперсоналом установленных регламентов сбора, обработки и передачиинформации, а также требований по защите информации;25 отказы, неисправности и сбои средств защиты информации и средствконтроля эффективности, принятых мер по защите информации; непреднамеренные (ошибочные, случайные, необдуманные, без злогоумысла и корыстных целей) нарушения установленных регламентов сбора,обработки и передачи информации, а также требований безопасностиинформации и другие действия персонала при эксплуатации объектовинформатизации, приводящие к разглашению защищаемой информации; некоординированность или отсутствие необходимых сил и финансовыхсредств, для реализации мер в организации и защите информационныхресурсов; противозаконнаядеятельностькоммерческихиэкономическихструктур, имеющих позиции в среде сотрудников и пользователей; получение криминальными структурами доступа к защищаемойинформации, снижение степени защищенности законных интересов граждан,общества и государства в информационной сфере.2.6Существующие мероприятия в Клинике по обеспечениюинформационной безопасностиЗданиеБизнес-центра,оборудованопожарнойивохраннойкоторомнаходитсяклиникасигнализацией.Клиниказанимаетпомещения, находящиеся на девятом и десятом этажах.

Двери входныестеклянныеоборудованызамками,такжеоборудованазамкомдверьдеервянная в кабинет начальства. Имеются огнетушители. Каналысистемы видеонаблюдения смонтированы в кабель-канал в бетонномпотолке.В Клинике назначен администратор информационной безопасности. Поокончанию работы Клиники, здание устанавливается на сигнализацию.В начале рабочего дня начальник охраны бизнес-центра выключаетрежим охраны со всех служебных помещений. Сотрудники, по приходу на26работу расписываются в «Журнале посещаемости». По окончанию рабочегодня работник расписывается в «Журнале посещаемости».Обработкаперсональныхданныхработниковосуществляетсясиспользованием программы 1С предприятие.В качестве средства антивирусной защиты используются программныйпродукт «AVGАнтивирус».Обмен информацией между пользователями информационной системыКлиники осуществляется через систему удаленного доступа.Исходя из проведенного анализа существующих мероприятий пообеспечению информационной безопасности в Клинике диетологии икоррекции веса, я делаю вывод, что для данной организации вопрос оразработке политики информационной безопасности стоит наиболее остро.Для дальнейшей разработки необходимо четко понимать термин политикиинформационной безопасности.273 Разработка политики информационной безопасностиВведениеПолитика информационной безопасности ООО «Тригон-ДВ »(далееОрганизация)определяетцелиизадачисистемыобеспеченияинформационной безопасности (ИБ) и устанавливает совокупность правил,требованийируководящихпринциповвобластиИБ,которымируководствуется Организация в своей деятельности.ЦелиОсновными целями политики ИБ являются защита информацииОрганизации и обеспечение эффективной работыпри осуществлениидеятельности, указанной в ее Уставе.

Общее руководство обеспечением ИБосуществляет Генеральный директор ООО «Тригон-ДВ». Ответственность заорганизацию мероприятий по обеспечению ИБ и контроль за соблюдениемтребований ИБ несет сотрудник отвечающий за функционированиеавтоматизированной системы и выполняющий функции администратораинформационной безопасности (далее - администратор информационнойбезопасности).Руководителиответственныза обеспечениеструктурныхвыполненияподразделенийтребованийучрежденияИБвсвоихподразделениях.

Сотрудники учреждения обязаны соблюдать порядокобращения с конфиденциальными документами, носителями ключевойинформации и другой защищаемой информацией, соблюдать требованиянастоящей Политики и других документов ИБ.28ЗадачиПолитикаинформационнойбезопасностинаправленаназащитуинформационных активов от угроз, исходящих от противоправных действийзлоумышленников, уменьшение рисков и снижение потенциального вреда отаварий, непреднамеренных ошибочных действий персонала, техническихсбоев, неправильных технологических и организационных решений впроцессах обработки, передачи и хранения информации и обеспечениенормального функционирования технологических процессов. Риск аварий итехнических сбоев определяется состоянием технического оборудования,надежностью систем энергоснабжения и телекоммуникаций, квалификациейперсонала и его способностью к адекватным действиям в нештатнойситуации.

Характеристики

Список файлов ВКР