Пояснительная записка (ПЗ) (1209928)

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской ФедерацииФедеральное агентство железнодорожного транспортаФГБОУ ВО «ДАЛЬНЕВОСТОНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТПУТЕЙ СООБЩЕНИЯ»Кафедра «Информационные технологии и системы»К ЗАЩИТЕ ДОПУСТИТЬЗаведующий кафедрой_______ М.А.Попов«____» ______ 2017 г.РАЗРАБОТКА ПРОФИЛЯ ЗАЩИТЫ ИНФОРМАЦИИ ВИНФОРМАЦИОННОЙ СИСТЕМЕ МЕДИЦИНСКОГО УЧРЕЖДЕНИЯПояснительная запискак выпускной квалификационной работе бакалавраВКР 10.03.01 24Б ПЗСтудент гр.24БД.А.СильниковРуководительЕ.В.Карачанскаядоцент ,к.ф.-м.н.НормоконтрольВ.И.Шестухинадоцент ,к.п.н.Хабаровск -2017г.СодержаниеВведение ..................................................................................................................................................41 Общая информация ........................................................................................................................61.1 Термины и определения .............................................................................

62 Общая характеристика ИС медицинского учреждения............................................122.1 Общая информация о медицинском учреждении .................................. 122.2 Параметры информационной системы медицинского учреждения .... 142.3 Классификация информационной системы персональных данных .... 182.4 Каналы утечки информации .................................................................... 202.5 Технологическая информация ................................................................. 222.6 Характеристика каналов связи и потоков информации, используемыхпри обработке и передаче ПДн ...................................................................... 262.7 Режим обработки ПДн ..............................................................................

262.8 Топология ЛВС медицинского учреждения........................................... 313 Разработка профиля защиты информации.......................................................................333.1 Типы средств защиты информации.........................................................

333.2 Рекомендуемые средства защиты информации для использвания вмедицинском учреждении .............................................................................. 383.2.1 Secret Net 7 .............................................................................................. 383.2.2 Security Studio Endpoint Protection ....................................................... 393.2.3 АПКШ «Континент» 3.7 ....................................................................... 403.2.4 ПАК Соболь............................................................................................ 413.3 Настройка средств защиты информации ................................................ 433.4 Организационные мероприятия по защите персональных данных .....

443.5 Топология ЛВС медицинского учреждения после установки средствзащиты информации. ...................................................................................... 48Заключение...........................................................................................................................................502Список использованных источников .....................................................................................51Принятые сокращения....................................................................................................................55Приложение А ....................................................................................................................................57Приложение Б .....................................................................................................................................65Приложение В.....................................................................................................................................70Приложение Г .....................................................................................................................................71Приложение Д.....................................................................................................................................72Приложение Е .....................................................................................................................................733ВведениеОбеспечение информационной безопасности в медицинских учрежденияхявляется одной из целей обеспечения безопасности, описанных в доктринеинформационнойбезопасностиРоссийскойФедерации,утвержденнойПриказом Президента РФ №1895 от 09.09.2000 г.

[21]. Согласно этомудокументу, отставание России от ведущих стран мира по уровнюинформатизации медицинских учреждений является одним из внутреннихисточников угроз информационной безопасности Российской Федерации.В медицинских учреждениях обрабатываются персональные данныесотрудников и пациентов, что является большим объемом информации,которую необходимо защищать от реализации угроз информационнойбезопасности.Для обеспечения безопасности информации необходимо анализироватьугрозы информационной безопасности, разрабатывать новые методы испособы защиты информации, а также важно создать конкретную системузащитыинформациидлякаждогомедицинскогоучреждения.Это,безусловно, доказывает актуальность данной выпускной квалификационнойработы (ВКР).Цель ВКР заключается в разработке профиля защиты персональныхданных, обрабатываемых в информационной системе персональных данныхмедицинского учреждения, соответствующего нормативно – правовым актами регламентирующим документам в области информационной безопасности.Задачи: Собратьобщуюинформациюобинформационнойсистемемедицинского учреждения; Классифицироватьинформационнуюсистемуперсональныхданных медицинского учреждения;4 Разработать профиль защиты информации в информационнойсистеме медицинского учреждения.Объект исследования ВКР – информационная система персональныхданных медицинского учреждения.Предметомисследованияявляетсяинформационнаябезопасностьинформационной системы персональных данных медицинского учреждения.ВКР состоит из введения, трех основных разделов, заключения, спискаиспользуемых источников, принятых сокращений.Впервомразделесодержитсяобщаяинформация,терминыиопределения.Во втором разделе дается общая характеристика информационнойсистемы медицинского учреждения, включающая общую информацию омедицинскоммедицинскогоучреждении,параметрыучреждения, классификациюинформационнойсистемыинформационнойсистемыперсональных данных, технологическую информацию, характеристикуйпередаче ПДн, режим обработки ПДн, топологию ЛВС медицинскогоучреждения.В третьем разделе был разработан профиль защиты информации винформационной системе медицинского учреждения, включающий в себяподборку программно-аппаратных средств защиты информации и ихнастройку,иразработкуорганизационныхмероприятийпозащитеинформации.В списке использованных источников приводятся документы, литература,интернет-сайты и другие источники информации, содержащиеся в даннойВКР.51 Общая информация1.1 Термины и определенияАвтоматизированное рабочее место – программно-технический комплекс,предназначенный для автоматизированной деятельности определенного вида.Администратор автоматизированной системы – лицо, ответственное зафункционированиеавтоматизированнойинформационнойсистемывустановленном штатном режиме работы.Администраторзащиты(безопасности)информации – лицо,ответственное за защиту автоматизированной информационной системы отнесанкционированного доступа к информации.Аутентификация – проверкапринадлежностисубъектудоступапредъявленного им идентификатора.Безопасностьперсональныхтехническихперсональныхданных,средствданныххарактеризуемоеи–состояниезащищенностиспособностьюпользователей,информационныхтехнологийобеспечитьконфиденциальность, целостность и доступность персональных данных приих обработке в информационных системах персональных данных.Блокирование персональных данных – временное прекращение сбора,систематизации, накопления, использования, распространения, персональныхданных, в том числе их передачи.Вирус (компьютерный, программный) – исполняемый программный кодилиинтерпретируемыйнаборинструкций,обладающийсвойстваминесанкционированного распространения и самовоспроизведения.

Созданныедубликаты компьютерного вируса не всегда совпадают с оригиналом, носохраняютспособностькдальнейшемураспространениюисамовоспроизведению.Вредоноснаяпрограмма–программа,предназначеннаядляосуществления несанкционированного доступа и (или) воздействия на6персональные данные или ресурсы информационной системы персональныхданных.Вспомогательные технические средства и системы – техническиесредства и системы, не предназначенные для передачи, обработки и храненияперсональныхданных,устанавливаемыесовместностехническимисредствами и системами, предназначенными для обработки персональныхданных или в помещениях, в которых установлены информационныесистемы персональных данных.Доступ к информации – возможность получения информации и ееиспользования.Защищаемаяинформация–информация,являющаясяпредметомсобственности и подлежащая защите в соответствии с требованиямиправовых документов или требованиями, устанавливаемыми собственникоминформации.Идентификация–присвоениесубъектамиобъектамдоступаидентификатора и (или) сравнение предъявляемого идентификатора сперечнем присвоенных идентификаторов.Использованиеперсональныхданных–действия(операции)сперсональными данными, совершаемые оператором в целях принятиярешений или совершения иных действий, порождающих юридическиепоследствия в отношении субъекта персональных данных или других лицлибо иным образом затрагивающих права и свободы субъекта персональныхданных или других лиц.Источникугрозыбезопасностиинформации–субъектдоступа,материальный объект или физическое явление, являющиеся причинойвозникновения угрозы безопасности информации.Конфиденциальностьперсональныхданных–обязательноедлясоблюдения оператором или иным получившим доступ к персональнымданным лицом требование не допускать их распространение без согласиясубъекта персональных данных или наличия иного законного основания.7Межсетевой экран – локальное (однокомпонентное) или функциональнораспределенное программное (программно-аппаратное) средство (комплекс),реализующее контроль за информацией, поступающей в информационнуюсистему персональных данных и (или) выходящей из информационнойсистемы.Не декларированные возможности – функциональные возможностисредств вычислительной техники, не описанные или не соответствующиеописанным в документации, при использовании которых возможнонарушениеконфиденциальности,доступностиилицелостностиобрабатываемой информации.Несанкционированный доступ (несанкционированные действия) – доступк информации или действия с информацией, нарушающие правиларазграничения доступа с использованием штатных средств, предоставляемыхинформационными системами персональных данных.Носитель информации – физическое лицо или материальный объект, втом числе физическое поле, в котором информация находит свое отражение ввиде символов, образов, сигналов, технических решений и процессов,количественных характеристик физических величин.Обезличивание персональных данных – действия, в результате которыхстановится невозможным без использования дополнительной информацииопределить принадлежность персональных данных конкретному субъектуперсональных данных.Обработка персональных данных – действия (операции) с персональнымиданными, включая сбор, систематизацию, накопление, хранение, уточнение(обновление, изменение), использование, распространение (в том числепередачу),обезличивание,блокирование,уничтожениеперсональныхданных.Общедоступные персональные данные – персональные данные, доступнеограниченного круга лиц к которым предоставлен с согласия субъекта8персональных данных или на которые в соответствии с федеральнымизаконами не распространяется требование соблюдения конфиденциальности.Объект защиты информации - информация, или носитель информации,илиинформационныйпроцесс,которыенеобходимозащищатьвсоответствии с поставленной целью защиты информации.Оператор – государственный орган, муниципальный орган, юридическоеили физическое лицо, организующее и (или) осуществляющее обработкуперсональных данных, а также определяющие цели и содержание обработкиперсональных данных.Перехват (информации) – неправомерное получение информации сиспользованием технического средства, осуществляющего обнаружение,прием и обработку информативных сигналов.Персональные данные – любая информация, относящаяся к прямо иликосвенно определенному или определяемому физическому лицу (субъектуперсональных данных).Пользователь информационной системы персональных данных – лицо,участвующее в функционировании информационной системы персональныхданных или использующее результаты ее функционирования.Правиларазграничениядоступа–совокупностьправил,регламентирующих права доступа субъектов доступа к объектам доступа.Раскрытиеперсональныхданных–умышленноеилислучайноенарушение конфиденциальности персональных данных.Распространение персональных данных – действия, направленные напередачу персональных данных определенному кругу лиц (передачаперсональных данных) или на ознакомление с персональными данныминеограниченного круга лиц, в том числе обнародование персональныхданных в средствах массовой информации, размещение в информационнотелекоммуникационных сетях или предоставление доступа к персональнымданным каким-либо иным способом.9Ресурс информационной системы – именованный элемент системного,прикладногоилиаппаратногообеспеченияфункционированияинформационной системы.Система – совокупностьвзаимосвязанныхивзаимодействующихэлементов.Средства защиты информации – технические, программные средства,вещества и (или) материал, предназначенные или используемые для защитыинформации.Средствакриптографическойзащитыинформации – аппаратные,программные и программно-аппаратные средства, системы и комплексы,реализующие алгоритмы криптографического преобразования информации ипредназначенные для защиты информации при передаче по каналам связи и(или) для защиты информации от несанкционированного доступа при ееобработке и хранении.Специальные категории персональных данных – персональные данные,касающиесярасовой,национальнойпринадлежности,политическихвзглядов, религиозных или философских убеждений, состояния здоровья иинтимной жизни субъекта персональных данных.Средства вычислительной техники – совокупность программных итехническихэлементовсистемобработкиданных,способныхфункционировать самостоятельно или в составе других систем.Субъект доступа (субъект) – лицо или процесс, действия которогорегламентируются правилами разграничения доступа.Технические средства информационной системы персональных данных –средствавычислительнойтехники,информационно-вычислительныекомплексы и сети, средства и системы передачи, приема и обработкиперсональных данных (средства и системы звукозаписи, звукоусиления,звуковоспроизведения, переговорные и телевизионные устройства, средстваизготовления, тиражирования документов и другие технические средстваобработки речевой, графической, видео- и буквенно-цифровой информации),10программные средства (операционные системы, системы управления базамиданных и т.п.Угроза безопасности информации – совокупность условий и факторов,создающих потенциальную или реальную существующую опасность,связанную с утечкой информации и/или непреднамеренными воздействиямина нее.Учетнаязаписьидентифицирующихпользователя – наборпользователявсистеме,данных,однозначносовокупностьправипривилегий доступа к объектам и набор квот системных ресурсов.Угрозы безопасности персональных данных – совокупность условий ифакторов, создающих опасность несанкционированного, в том числеслучайного, доступа к персональным данным, результатом которого можетстать уничтожение, изменение, блокирование, копирование, распространениеперсональных данных, а также иных несанкционированных действий при ихобработке в информационной системе персональных данных.Уничтожение персональных данных – действия, в результате которыхневозможновосстановитьсодержаниеперсональныхданныхвинформационной системе персональных данных или в результате которыхуничтожаются материальные носители персональных данных.Уязвимость – слабость в средствах защиты, которую можно использоватьдля нарушения системы или содержащейся в ней информации.Целостность информации – способность средства вычислительнойтехники или автоматизированной системы обеспечивать неизменностьинформации в условиях случайного и/или преднамеренного искажения(разрушения).112 Общая характеристика ИС медицинского учреждения2.1 Общая информация о медицинском учрежденииМедицинское учреждение министерства здравоохранения Хабаровскогокрая - крупнейшее в крае учреждение, оказывающее специализированнуюпомощь населению всех возрастных групп.Основными задачами медицинского учреждения являются: больные получают комплексное лечение, которое включает в себяприем специализированных препаратов, терапию, физиолечение; в учреждении проходят лечение больные всех возрастных групп, сразличными локализациями процесса, пациенты с сочетаннойпатологией, а так же больные с лекарственной устойчивостью; медицинскоеучреждениеосуществляетцентрализованныйконтроль над мероприятиями в муниципальных образованиях краяи эпидемиологический мониторинг в Хабаровском крае; всвоейдеятельностимедицинскоеучреждениехранит,обрабатывает и передает данные, относящиеся к прямо иликосвенно определенному или определяемому лицу, что попадаетпод действие Федерального закона от 27.07.2006 №152-ФЗ «Оперсональных данных».Правовым основанием обработки персональных данных в медицинскомучреждении являются следующие нормативно-правовые акты: конституция Российской Федерации, принятая 12.12.1993; ст.

Характеристики

Тип файла PDF

PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.

Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.

Список файлов ВКР