636331914074638560 (1210021), страница 3
Текст из файла (страница 3)
2Формирование требований к защите ПДн заключалось в:принятии решения о необходимости 4 обеспечения безопасностиперсональных данных, 4 которые обрабатываются в информационнойсистеме;классификации информационной системы Лечебного учреждения потребованиям безопасности информации;определении потенциала вероятного нарушителя, определении 1 угрозбезопасности информации, 20 разработке модели 1 угроз безопасностиинформации;определении 20 требований к системе защиты персональных данных,обрабатываемых в информационной системе 24 Лечебного учреждения.После формирования требований к защите ПДн началосьнепосредственно проектирование системы защиты ПДн, которое заключалосьв:определении организационных и технических мер защитыинформации;определении типов и видов средств защиты защищаемой информации,имеющих сертификат соответствия требованиям безопасностиинформации и обеспечивающих реализацию технических мер защиты;определении параметров настройки программного обеспечения;определении структурно-функциональных характеристик системы6защиты персональных данных, включая количество и местаразмещения её элементов;определении мер защиты информации при передаче защищаемойинформации в иные информационные системы 1 через сети общегопользования.
1При разработке системы защиты информации, обрабатываемой винформационной системе Лечебного учреждения, необходимо иметь четкоепредставление о структурно-функциональных характеристикахинформационной системы, а 20 также 20 условиях её эксплуатации. 20Информационная система по своей структуре 1 представляет собойраспределенную информационную систему, 1 элементы которого расположеныв нескольких рядом стоящих зданиях, а именно: здание поликлиники,перинатального корпуса. Здание Поликлиники и Перинатального корпусаобъединены в локальную вычислительную сеть. 19 Автоматизированнаяобработка персональных данных 19 осуществляется на 32 автоматизированныхрабочих местах и двух серверах, расположенных за пределами Лечебногоучреждения.В своей работе Лечебное учреждение передает защищаемуюинформацию, в частности персональные данные, в другие организации иучреждения на законной основе, то есть информационная система Лечебногоучреждения взаимодействует с информационными системами другихорганизаций и учреждений.В Лечебном учреждении осуществляется подключение к сетям общегопользования, в частности к сети Интернет.Информационная система Лечебного учреждения являетсямногопользовательской, то есть каждый сотрудник Лечебного учреждения,допущенный к работе в информационной системе имеет собственный логин ипароль для аутентификации и авторизации.Каждый сотрудник Лечебного учреждения, допущенный к работе винформационной системе имеет свои собственные права доступа к7информации, перечень разрешенных действий в информационной системе исферу ответственности.Функции по управлению информационной системы не распределяютсямежду администраторами, а также не используются различные методы,повышающие безопасность, например, использование различных сетевыхадресов 20 или выделенных каналов для администрирования.
20ВКР состоит из введения, 110 пяти основных разделов, заключения, списка 110используемых источников и пяти приложений.В первом разделе производится исследование объекта защиты.Представлены общие сведения о Лечебном учреждении, цели и задачи егодеятельности, описание сегментов информационной системы Лечебногоучреждения и существующие меры защиты.
Проводится классификациясегментов информационной системы Лечебного учреждения, определениевероятного нарушителя и актуальных угроз безопасности информации.Раздел делится на шесть подразделов:общие сведения об информационной системе Лечебного учреждения;сегмент «Лечебный процесс»;сегмент «Поликлиника»;существующие меры защиты информации;классификация информационной системы;модель угроз безопасности 2 информации, обрабатываемых винформационной системе 2 Лечебного учреждения.Во втором разделе осуществляется разработка системы защитыперсональных данных в соответствии с требованиями законодательства 23 РФ вобласти информационной безопасности.
Раздел делится на шестьподразделов:определение набора организационных и технических мер; 38требования к защите персональных данных; 22технические 12 средства защиты информации;организационные меры 9 защиты информации; 138меры по 13 противодействию актуальным угроза безопасности 24информации;профиль системы защиты персональных данных.В 24 третьем разделе (раздел «Экономика») выполняется оценка затрат насоздание и внедрение системы защиты персональных данных винформационную систему Лечебного учреждения.В четвертом разделе (раздел «Безопасность жизнедеятельности»)производится разработка мероприятий по обеспечению пожарнойбезопасности в Лечебном учреждении.В списке использованных источников приводятся используемыедокументы, литература, Интернет-сайты, и другие источники информации,используемой в данной ВКР.В приложении А приводится выписка из Заключения по результатамаудита информационной системы КГБУЗ «Перинатальный центр»Хабаровского края.В приложении Б приводится выписка из Модели угроз безопасности 2информации, обрабатываемых в информационной системе 2 КГБУЗ«Перинатальный центр» Хабаровского края.В приложении В приводится выписка из Аналитического обоснованиянеобходимости создания системы защиты персональных данных в 21информационной системе 21 КГБУЗ «Перинатальный центр» Хабаровскогокрая.В приложении Г приводится выписка из Технического задания насоздание системы защиты персональных данных в 21 информационной системе 21КГБУЗ «Перинатальный центр» Хабаровского края.В приложении Д приводится выписка из Технического проекта 24 насоздание системы защиты персональных данных в 21 информационной системе 21КГБУЗ «Перинатальный центр» Хабаровского края.91 Исследование объекта защиты1.1 Общая информация об информационной системе ЛечебногоучрежденияКраевое государственное бюджетное учреждение здравоохранения«Перинатальный центр» министерства здравоохранения Хабаровского края –лечебно-профилактическое государственное учреждение, являющеесяорганизационной составляющей единой системы, специализированнойгоспитальной и консультативно-диагностической помощи для беременных иноворожденных.Основными задачами КГБУЗ «Перинатальный центр» являются:оказание специализированной госпитальной и консультативнодиагностической помощи для беременных и новорожденных;фармацевтическую деятельность;деятельность по профилактике заболеваний и формированию здоровогообраза жизни у граждан; 97разработка и реализация главных задач, связанных с улучшениемкачества жизни женщин и новорожденных, укрепление репродуктивногоздоровья и повышения информативности населения в данной области;участие в разработке и реализации государственных программ в сферездравоохранения;деятельность в области обслуживания медицинской техники дляобеспечения собственных нужд;поддержка необходимой готовности к оперативному осуществлениюмероприятий, направленных на спасение жизни и 97 сохранения здоровья людейпри чрезвычайных ситуациях, ликвидацию медико-санитарных последствийчрезвычайных ситуаций.
9710 97Информационная система позволяет упростить и автоматизироватьпроцесс хранения, обработки и передачи персональных данных дляподдержания работоспособности Лечебного учреждения.В связи с тем, что АРМ расположены в разных контролируемых зонах идля упрощения процесса администрирования, информационная системаЛечебного учреждения разделена на сегменты. Обработка персональныхданных осуществляется в сегментах «Поликлиника» и « Лечебный процесс».Оба сегмента имеют одну категорию персональных данных.Администрированием информационной системы занимается одинработник, назначенный приказом главного врача Лечебного учреждения.Разделение на сегменты производится сертифицированным ФСТЭКпрограммным комплексом Cisco ASA 5520 (Сертификат No 2142 до27.07.2019). Для каждого сегмента используется собственный контроллердомена, при помощи которого осуществляется администрирование рабочихстанций и управление групповыми политиками безопасности.
Доступ куправлению настройками контроллеров домена (далее – AD) осуществляетсяудаленно с АРМ Администратора (АРМ 1) либо непосредственно с самогосервера – контроллера домена, расположенного в серверной.Администратор имеет доступ к установке и настройке программногообеспечения, изменению конфигурации устройств и сетей, управлениюконтроллерами доменов, а также имеет возможность подключаться ко всемАРМ пользователей удаленно со своего рабочего места.
Персональныеданные хранятся на серверах БД, находящимся за пределами Лечебногоучреждения, к которым имеют доступ ограниченный перечень лиц.Параметры информационной системы Лечебного учрежденияпредставлены в таблице А.1 приложения А.Конфигурация информационной системы и топология ЛВС Лечебногоучреждения представлены на рисунках 1.1 и 1.2 соответственно.Рисунок 1.1 – Конфигурация информационной системы Лечебного учрежденияРисунок 1.2 – Топология локальной вычислительной сети 5 Лечебного учреждения2 Сегмент информационной системы « 5 Поликлиника»2.1.2.2. Информационная система сегмента «Поликлиника» предназначеныдля оказания компьютерной (автоматизированной) поддержки работы врачейразных специальностей, автоматизации диагностического и лечебногопроцесса, которая позволяет повысить качество профилактической илабораторно-диагностической работы.2.3. Сегмент решает задачи:ведение электронно-медицинских карт;информационно-справочную поддержку пациентов;управления процессом лечения;автоматизации диагностического и лечебного процесса.2.4.
В сегменте обрабатываются специальные категории персональныхданных сотрудников оператора и 13 субъектов персональных данных, неявляющихся сотрудниками операторами. Объем 7 персональных данных, 1которые обрабатываются одновременно – менее 100 000 субъектов ПДн.2.5. Перечень субъектов, персональные данные которыхобрабатываются в сегменте «Поликлиника»:сотрудники лечебного учреждения;пациенты лечебного учреждения.Перечень обрабатываемых персональных данных:а) персональные данные пациентов:1) фамилия;2) имя;3) отчество;4) 27 дата рождения;5) контактный телефон;6) адрес прописки;7) адрес фактического проживания; 278) паспортные данные;9) 27 СНИЛС;10) No страхового медицинского полиса и дата выдачи;11)инвалидность;12) сведения о выписанных пациентам лекарственных средствах;13) данные о состоянии здоровья (история болезни);14) сведения о медицинских манипуляциях и оперативныхвмешательствах;15) сведения о результатах обследования;16) сведения о результатах посмертного исследования,б) персональные данные сотрудников:1) фамилия;2) имя;3) отчество;4) место, год и дата рождения;5) адрес 27 прописки;6) паспортные данные;7) 7 информация об образовании (наименование образовательногоучреждения, сведения о документах, подтверждающие образование:наименование, номер, дата выдачи, специальность);8) информация о трудовой деятельности до приема на работу;9) информация о трудовом стаже (место работы, должность, периодработы, период работы, причины увольнения);10) адрес проживания (реальный);11)телефонный номер (домашний, рабочий, мобильный);12) семейное положение и состав семьи (муж/жена, дети);13) информация о знании иностранных языков;14) форма допуска;15) оклад;16) 27 данные о трудовом договоре;17) сведения о воинском учете (категория запаса, воинское звание,категория годности к военной службе, информация о снятии своинского учета);18) данные об аттестации работников;19) данные о повышении квалификации;20) данные о наградах, медалях, поощрениях, почетных званиях;21) информация 27 об ученых степенях;22) информация о приеме на работу, перемещения по должности,увольнении;23) информация об отпусках;24) информация о 22 командировках;25) 27 информация о негосударственном пенсионном обеспечении;26) информация о 22 болезнях.Сегмент информационной системы состоит из 15 АРМ и 1 сервераявляющимся контролерам домена.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
