Пояснительная записка (ПЗ) (1209928), страница 3
Текст из файла (страница 3)
В таблице 2.3 представлен переченьпрограммного обеспечения, установленного на ОТСС ИСПДн медицинскогоучреждения.Таблица 2.3 – Основные технические средства и системы обработки ПДнв ИСПДн медицинского учреждения22Имя АРМОсновные технические средства и системыАРМ 2-4,6-Системный блокПроцессор:7,9-18,20-Модель процессора - Pentium G4400;23,30,31.Количество ядер процессора – 2;Частота процессора - 3300 МГц;Оперативная память:Размер оперативной памяти - 4 ГБ;Накопители данных:Суммарный объем жестких дисков(HDD) - 500 ГБ.АРММонитор18.5" Acer K192HQLbПринтерЛазерный HP LaserJet Pro P1102sСистемный блокПроцессор:Модель процессора - Core i3 6100;1,5,8,19,29.Количество ядер процессора – 2;Частота процессора - 3700 МГц;Оперативная память:Размер оперативной памяти - 4 ГБ;Накопители данных:Суммарный объем жестких дисков(HDD) - 1 ТБ.Монитор23.6" AOC M2470SWHМФУЛазерное Pantum M650023Окончание таблицы 2.3АРМ 24,25-Системный блокПроцессор:Модель процессора - Core i5 4460;28.Количество ядер процессора – 4;Частота процессора - 3200 МГц;Оперативная память:Размер оперативной памяти - 8 ГБ;Накопители данных:Суммарный объем жестких дисков(HDD) - 1 ТБ;Видеокарта:Модельдискретнойвидеокарты-GeForce GTX 760.Монитор21.5" Acer R221QbmidМФУЛазерное Pantum M6500Таблица 2.4 – Программное обеспечение, установленное на АРМ ИСПДнмедицинского учрежденияИмя АРМАРМ27-28.Наименование1-25, Microsoft Windows 7 UltimateТип ПООперационная система1С:Предприятие 8.2Специализированное ПОMicrosoft OfficeОфисное ПОПрофессиональный плюс 2010Агент администрированияСЗИKaspersky Security CenterАнтивирус Касперского 6.0 для СЗИWindows Workstations (6.0.4.1611)АРМ 26Microsoft Windows 7 Professional, Операционная системаService Pack 11С:Предприятие 8.2Специализированное ПОMicrosoft Office Enterprise 2007Офисное ПО24Окончание таблицы 2.4WinRARПрикладное ПОАгент администрированияСЗИKaspersky Security CenterАнтивирус Касперского 6.0 для СЗИWindows Workstations (6.0.4.1611)«ГРАНД-Смета»АРМ 29-31Специализированное ПОMicrosoft Windows 7 Professional, Операционная системаService Pack 11С:Предприятие 8.2Специализированное ПОMicrosoft Office Enterprise 2010Офисное ПОWinRARПрикладное ПОАгент администрированияСЗИKaspersky Security CenterАнтивирус Касперского 6.0 для СЗИWindows Workstations (6.0.4.1611)Консультант+Специализированное ПОВ таблице 2.3 представлена информация об основных техническихсредствах и системах обработки ПДн в ИСПДн медицинского учреждения,это нужно для рационального подбора средств защиты информации.В таблице 2.4 представлена информация о программном обеспечении,установленное на АРМ ИСПДн медицинского учреждения, это нужно длятого, что бы знать, что мы будем защищать, и какие меры для этого нужнопредпринять.252.6 Характеристика каналов связи и потоков информации, используемыхпри обработке и передаче ПДнВкачествеканаловсвязивлокальнойвычислительнойсетимедицинского учреждения используются кабели витой пары.
Беспроводныетехнологии в ЛВС не используются.Подключение к сетям общего пользования предоставляется двумяпровайдерами: ОАО «Ростелеком»; ООО «САТ-ДВ».2.7 Режим обработки ПДнРежимобработкипредусматриваетследующиедействиясперсональными данными: сбор, систематизацию, накопление, хранение,уточнение(обновление,изменение),использование,передачу,обезличивание, блокирование, уничтожение персональных данных.Все пользователи ИСПДн медицинского учреждения имеют собственныероли и, в соответствии с ролью, права доступа и разрешенные действия.В таблице 2.5 представлен список ролей в виде матрицы доступа ИСПДнмедицинского учреждения.Таблица 2.5 – Матрица доступа ИСПДн медицинского учрежденияАдминистраторПривилегии и права, ресурс домена и ИСПТБАдминистратор ПользователиИБИСПДнПривилегии и праваИзменение настроекполитик AD+--26Продолжение таблицы 2.5Запрет изменения системныхфайлов на серверах БДУдаленный доступ к АРМпользователейВывод защищаемойинформации на принтерЗагрузка ПЭВМ с внешнихносителей (доступ к BIOS)Запрет изменения системныхфайлов АРМ пользователейИзменение личного пароляпользователяРабота с системным журналомОСВозможность создания личныхресурсов на локальных АРМВозможность созданияресурсов на серверах БД--++--++++---+++--++-++++--+---+--+-Восстановлениеинформационных ресурсовсерверов БДРабота с системным журналомСЗИУстановка, настройка,сопровождение СЗИ27Окончание таблицы 2.5РесурсДоступ к общим сетевымресурсам на АРМRWARWARWARWAXD-RWAXDRWAXD-RWXDRWAXD--пользователейДоступ к локальным папкампользователейЦентральные БД ИСПДнДоступ к средствам управленияБДДоступ к средствам управленияRWAXDSСЗИТаблица 2.5 наглядно показывает, кто, и какие права доступа имеет вмедицинскомучреждении,сформированатаблица в соответствииспотребностями той или иной должности в медицинском учреждении, гдетакоераспределениеправдоступауменьшитвероятностьутечкиинформации.Сотрудники, допущенные к обработке персональных данных в ИСПДнмедицинского учреждения представлены в таблице 2.5.Таблица 2.6 – Перечень лиц, допущенных к обработке персональныхданных28РольПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнФИО сотрудника№ кабинета№ АРМ напланеСогласно перечню,утвержденномуАРМ №11директоромСогласно перечню,утвержденному2АРМ №23АРМ №3,44АРМ №55АРМ №6,76АРМ №87АРМ №9-148АРМ №15директоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректором29Окончание таблицы 2.6ПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнПользовательИСПДнАдминистраторыИСПДн ПТБСогласно перечню,утвержденному9АРМ №16-1810АРМ №1911АРМ №20-2312АРМ №2413АРМ №29-3114АРМ №24-28директоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромСогласно перечню,утвержденномудиректоромКонтроль доступа в здания осуществляется штатными работникамимедицинского учреждения (охранниками).
Работники учреждения проходятпо специально выписанным заранее пропуском. Въезд на территориюпроизводится тоже только по пропускам, либо по записи. Вход натерриторию не контролируется. Вход в здание контролирует охранник, либопо пропуску, либо по записи.По периметру зданий установлены камеры видеонаблюдения. Помещенияоборудованы охранной сигнализацией.
Охранная сигнализация включается вконце рабочего дня и отключается в начале рабочего дня, в выходные и30праздничные дни охранная сигнализация не отключается. В помещенияхимеетсяпожарнаясигнализация,работающаякруглосуточно.Всяпоступающая информация со средств охраны помещений централизованопоступает на пульт охраннику, помещение которого расположено на первомэтаже у центрального входа и оборудовано «тревожной кнопкой».Все кабинеты, где обрабатываются и хранятся ПДн, имеют двери,запирающиеся на ключ.
Съемные носители персональных данных хранятся вметаллических и обычных шкафах, запираемых на ключ. На окнах кабинетовустановлены непрозрачные жалюзи.Границами контролируемой зоны ИСПДн являются ограждающиеконструкции помещений.Все кабинеты, где обрабатываются и хранятся ПДн, имеют двери,запирающиеся на ключ. Съемные носители персональных данных хранятся вметаллических и обычных шкафах, запираемых на ключ. На окнах кабинетовустановлены непрозрачные жалюзи.В информационной системе установлен и настроен сертифицированноеФСТЭК средство антивирусной защиты «Антивирус Касперского 6.0 дляWindows Workstation». Также на АРМ пользователей сегмента «Бухгалтерияи кадры» установлено и настроено средство криптографической защиты«КриптоПро CSP».2.8 Топология ЛВС медицинского учрежденияТаким образом, установка средств защиты информации производилась всоответствии со схемой, представленной на рисунке 2.1.
Перечень АРМпользователей,серверыиАРМАдминистраторасуказаниемместоположения и необходимых для установки и настройки средств защитыинформации представлен в таблице 2.5.31Рисунок 2.1 – Топология ЛВС медицинского учреждения323 Разработка профиля защиты информации3.1 Типы средств защиты информацииСуществующие типы средств защиты информации: средство защиты от несанкционированного доступа; средство контроля съемных машинных носителей информации; средство доверенной загрузки; средство межсетевого экранирования; средство анализа защищенности; средство криптографической защиты.Меры по обеспечению безопасности персональных данных представленыв таблице 3.1.Таблица 3.1 – Меры по обеспечению безопасности персональных данныхУсловноеобозначениеи номер мерыИАФ.3Содержание мер по обеспечению безопасностиперсональных данных3 уровеньзащищенностиперсональных данныхРеализацияУправление идентификаторами, в том числе создание,Организационныеприсвоение, уничтожение идентификаторовмерыУправление средствами аутентификации, в том числеИАФ.4хранение, выдача, инициализация,блокированиесредств аутентификации и принятие мер в случаеОрганизационныемерыутраты и (или) компрометации средств аутентификацииИАФ.5Защита обратной связи при вводе аутентификационнойинформацииSecret Net 7.0Управление (заведение, активация, блокирование иУПД.1уничтожение) учетными записями пользователей, вSecret Net 7.0том числе внешних пользователей33Продолжение таблицы 3.1Реализация необходимых методов (дискреционный,УПД.2мандатный, ролевой или иной метод), типов (чтение, запись,выполнение или иной тип) и правил разграниченияSecret Net 7.0доступаУправление (фильтрация, маршрутизация, контрольсоединений, однонаправленная передача и иные способыУПД.3управления) информационными потоками междуЛПКШ «Континент»устройствами, сегментами информационной системы, атакже между информационными системамиРазделение полномочий (ролей) пользователей,УПД.4администраторов илиц, обеспечивающихSecret Net 7.0функционирование информационной системыУПД.5Назначение минимально необходимых прав и привилегийпользователям, администраторам и лицам, обеспечивающимфункционирование информационной системыУПД.6Ограничение неуспешных попытокОрганизационныемерывхода винформационную систему (доступа к информационнойSecret Net 7.0системе)УПД.10Блокирование сеанса доступа в информационную системупосле установленного времени бездействияSecret Net 7.0(неактивности) пользователя или по его запросуУПД.11Разрешение (запрет) действий пользователей,разрешенных до идентификации и аутентификацииУПД.13Secret Net 7.0Реализация защищенного удаленного доступа субъектовдоступа к объектам доступа черезвнешниеЛПКШ «Континент»информационно-телекоммуникационные сетиУПД.14Регламентация и контрольиспользования винформационной системе технологий беспроводногоДанная технология неиспользуетсядоступа34Продолжение таблицы 3.1УПД.15Регламентация и контрольиспользования винформационной системе мобильных техническихДанная технология неиспользуетсясредствУПД.16Управление взаимодействием с информационнымисистемамистороннихорганизаций(внешниеЛПКШ «Континент»информационные системы)ОПС.2Управление установкой (инсталляцией) компонентовпрограммного обеспечения, в том числе определениекомпонентов, подлежащих установке,настройкаSSEP 7.6параметров установки компонентов, контроль заустановкой компонентов программного обеспеченияОПС.3Установка (инсталляция) только разрешенного киспользованию программного обеспечения и (или) его SSEP 7.6компонентовЗНИ.8Уничтожение (стирание)илиобезличиваниеперсональных данных на машинных носителях приих передаче между пользователями, всторонниеSecret Net 7.0организации для ремонта или утилизации, а такжеконтроль уничтожения (стирания) или обезличиванияРСБ.1РСБ.2РСБ.3Определение событий безопасности, подлежащихОрганизационныерегистрации, и сроков их хранениямерыОпределение состава и содержания информации оОрганизационныесобытиях безопасности, подлежащих регистрациимерыСбор, запись и хранение информации о событияхбезопасности в течение установленного времениSecret Net 7.0храненияРСБ.5Мониторинг(просмотр,анализ)результатоврегистрации событий безопасности и реагирование наSecret Net 7.0них35Продолжение таблицы 3.1РСБ.7Защита информации о событиях безопасностиАВЗ.1Реализация антивирусной защитыSecret Net 7.0SSEP 7.6АВЗ.2Обновление базы данных признаков вредоносныхкомпьютерных программ (вирусов)SSEP 7.6СОВ.1Обнаружение вторженийSSEP 7.6СОВ.2Обновление базы решающих правилSSEP 7.6АНЗ.1Выявление, анализ уязвимостей информационнойсистемы и оперативное устранение вновь выявленныхSSEP 7.6уязвимостейАНЗ.2Контроль установкиобеспечения, включаяобновленийпрограммногообновление программногоSSEP 7.6обеспечения средств защиты информацииАНЗ.3Контроль работоспособности, параметров настройки иправильностифункционирования программногообеспечения и средств защиты информацииАНЗ.4Контроль состава технических средств, программногообеспечения и средств защиты информацииЗСВ.2SSEP 7.6SSEP 7.6Управление доступом субъектов доступа к объектамдоступа в виртуальной инфраструктуре, в том числевнутри виртуальных машинЗСВ.3ЗСВ.9Регистрация событий безопасности в виртуальнойДанная технология неинфраструктуреиспользуетсяРеализация и управление антивирусной защитой ввиртуальной инфраструктуре36Продолжение таблицы 3.1ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты(сегментирование виртуальной инфраструктуры) дляобработки персональных данных отдельнымпользователем и (или) группой пользователейЗТС.3Контроль и управление физическим доступом ктехническим средствам, средствам защитыинформации, средствам обеспеченияфункционирования, а также в помещения исооружения, в которых они установлены,исключающие несанкционированный физическийдоступ к средствам обработки информации,Организационныесредствам защиты информации и средстваммерыобеспечения функционирования информационнойсистемы, в помещения и сооружения, в которых ониустановленыЗТС.4Размещениеустройстввывода (отображения)информации, исключающее ее несанкционированныйпросмотрЗИС.3Обеспечение защиты персональных данных отраскрытия, модификации и навязывания (ввода ложнойинформации) при ее передаче (подготовке к передаче)по каналам связи, имеющим выход за пределыАПКШ Континент3.7контролируемой зоны, в том числе беспроводнымканалам связиУКФ.1Определение лиц, которым разрешены действия повнесению изменений в конфигурациюинформационнойсистемы и системы защиты персональных данныхУКФ.2Организационная мераУправление изменениями конфигурацииинформационной системы и системы защитыперсональных данных37Окончание таблицы 3.1УКФ.3Анализ потенциального воздействия планируемыхизменений в конфигурации информационной системыи системы защиты персональных данных наобеспечение защиты персональных данных исогласование изменений в конфигурацииинформационной системы с должностным лицом(работником), ответственным за обеспечениебезопасности персональных данныхУКФ.4Документирование информации (данных) обизменениях в конфигурации информационной системыи системы защиты персональных данныхТаким образом, используя представленную программу, специалистубольше не надо тратить время на адаптацию и уточнение базового наборамер, а также искать информацию о том, какое же средство реализуетнеобходимую меру.3.2 Рекомендованные средств защиты информации и их характеристики3.2 Рекомендуемые средства защиты информации для использвания вмедицинском учреждении3.2.1 Secret Net 7Основные возможности: разграничение доступа к защищаемой информации и устройствам; идентификация и аутентификация пользователей; централизованное управление политиками безопасности; ведение журналов событий, аудит; гарантированное уничтожение данных при их удалении пользователем;38 поддержка терминальных сессий пользователей для платформ citrix иmicrosoft; возможность масштабирования; управление доступом пользователей к конфиденциальным данным; защита от загрузки с внешних носителей; контроль аппаратной конфигурации компьютера; защита информациив процессе хранения: шифрование файлов,контроль печати конфиденциальной информации и регистрациясобытий; удобство управления и настроек: импорт и экспорт настроек;Сертификат ФСТЭК России № 2707 (выдан 7 сентября 2012гдействителен до 7 сентября 2018г.) представлен на рисунке 3.1.3.2.2 Security Studio Endpoint ProtectionСЗИ SSEP предназначено для решения следующих типовых задач: комплексная защита рабочих станций и серверов от интернет-угроз; сертифицированнаязащитаперсональныхданныхиконфиденциальной информации.Основные возможности: межсетевой экран; двустороннийконтрольтрафикапозволяетпресечьпопыткинесанкционированного доступа к компьютеру из локальной сети иинтернета; веб-контроль; контент-фильтр для контроля доступа к инфицированным веб-сайтам иблокировки нежелательной рекламы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
