Стадии и этапы разработки

ДИПЛОМНАЯ РАБОТА

на тему: «Проектирование комплексной системы защиты информации на предприятии»

Студента Белоглазова Михаила Валерьевича группы РЗ-519

Пояснительная записка

Шифр работы ДР-02068999-57-82-00.00.000-ПЗ

Специальность 090104.65 Комплексная защита объектов информатизации

Консультанты:	Руководитель работы:
Организационно-экономическая часть ______________ П.В. Рузанов (подпись, дата)	канд. физ.-мат.наук, доцент _______________ К.В.Логинов (подпись, дата)
Безопасность жизнедеятельности _____________ Е.М. Миленина (подпись, дата)	Разработал студент ______________ М.В.Белоглазов (подпись, дата)
Нормоконтроль _____________ Н.В. Малыгина (подпись, дата)

 

Омск 2014
Министерство образования и науки РФ

Федеральное государственное бюджетное образовательное учреждение высшего

профессионального образования

«ОМСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»

УТВЕРЖДАЮ

Зав. кафедрой КЗИ

______________ Р.Т. Файзуллин

(подпись)

«____» _______________ 2014 г.

ЗАДАНИЕ

на выполнение дипломного проекта*

Студенту (ке) 0 Белоглазову Михаилу Валерьевичу 0

Группа РЗ-519 факультет/институт 0 радиотехнический 0

Направление (специальность) 90104 Комплексная защита объектов информатизации

(код, наименование)

Код квалификации 0 65 0 Степень или квалификация специалист по защите информации

Тема ВКР « Проектирование комплексной системы защиты информации на предприятии »

Руководитель0Логинов Константин Валентинович0

Ученое звание, ученая степень руководителя доцент, кандидат физико-математических наук

Место работы, должность руководителя __________________________________________

_____________________________________________________________________________

Срок сдачи полностью оформленного задания на кафедру ___________________________

Задание на ВКР (перечень подлежащих разработке разделов):

_____________________________________________________________________________

_____________________________________________________________________________

_____________________________________________________________________________

_____________________________________________________________________________

Вопросы по экономическому расчету**__________________________________________

_____________________________________________________________________________

Вопросы по разделу «Безопасность жизнедеятельности» **__________________________

_____________________________________________________________________________

Перечень графического материала с указанием основных чертежей и (или)

иллюстративного материала ___________________________________________________

_____________________________________________________________________________

_____________________________________________________________________________

Консультанты**:

_____________________________________________________________________________

(ФИО, место работы и должность)­

_____________________________________________________________________________

(ФИО, место работы и должность)

Консультанты _______________________________________________ (ФИО, подпись)

____________________________________________________________ (ФИО, подпись)

Задание принял к исполнению студент_______________________________

(подпись, дата)

* Дипломной работы

** Может быть исключен из бланка при его отсутствии в структуре ВКР.

Содержание

Введение

 

1. Анализ проблемы и методов ее решения…………………….………… 13

1.1. Общие сведения о защищаемом объекте………………………………. 13

1.2. Описание защищаемого объекта информатизации…………………… 14

1.3 Объекты и предметы защиты в медицинском учреждении…………… 16

1.4 Угрозы защищаемой информации………………………………………. 19

1.5 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию…………………………………………………... 19

1.6 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении………………………………….. 22

1.7. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении…………………………………… 23

1.8. Вероятная модель злоумышленника……………………………………. 24

1.9 Фактическая защищенность медицинского учреждения………………. 25

1.10 Прошлые случаи кражи в БУЗОО………………………………………… 27

1. 11. Недостатки в защите медицинского учреждения……………………. 27

1.12 Финансовые возможности медицинского учреждения………………... 28

1.13 Этапы построения КСЗИ для мед. Учреждения……………………….. 29

1.14 Выводы………………………………………………………………….... 29

 

2. Описание постановки задач

2.1 Постановка задачи………………………………………………………. 31

 

2.2. Цель и назначение системы безопасности……………………………. 32

 

2.3 Анализ рисков…………………………………………………………… 32

 

3. Описание комплексной системы защиты информации

3.1 Правовая защита……………………………………………………….. 34

 

3.2 Организационная защита……………………………………………… 41

 

3.2.1 Создание службы защиты информации……………………………. 42

3.2.2 Проверка лояльности персонала медицинского учреждения…….. 46

 

3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации………………………………………….. 47

 

3.3 Инженерно-техническая защита

 

3.3.1 Структура существующей системы……………………………….... 48

 

3.3.1.1 Серверная…………………………………………………………… 49

 

3.3.1.2 АРМ…………………………………………………………………. 50

 

3.3.1.3 ЛВС и внутренняя связь…………………………………………… 51

 

3.3.1.4 Персонал и пациенты……………………………………………… 52

3.3.1.5. Вывод……………………………………………………………..... 52

 

3.3.2 Выбор средств защиты………………………………………………. 54

 

3.3.3 Выбор программных средств защиты………………………………. 59

 

3.3.4Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования………………………….. 59

4. Экономическая часть……………………………………………………... 63

 

 

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

Введение

Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.

 

Основание для разработки

Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.

 

Назначение разработки

Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.

Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.

 

 

Требования к КСЗИ

В требования входит:

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- минимизация доступа к информации;

- независимость системы управления;

- простота защиты;

- устойчивость защиты при неблагоприятных обстоятельствах;

- минимизация механизмов защиты.

- обеспечение безопасности информации, ее средств, предотвращение утечки информации и предупреждение любого несанкционированного доступа к носителям;

- оттачивание механизмов оперативного реагирования на угрозы;

- ведение лога процесса защиты информации;

 

Стадии и этапы разработки

Первая стадия: доработка и создание нормативно-правовых документов.Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Во вторую стадию, входит организационная защита.

В третью стадию, входит подбор инженерно-технических решений.Инженерно-техническая защита – использование различных ТС для обеспечения защиты конфиденциальной информации.

В четвертую стадию входит анализ конечной КСЗИ, выводы о ее работе, обеспечении целостности, доступности и конфеденциальности.

 

РЕФЕРАТ

Дипломная работа содержит пояснительную записку на??? листах,?? Рисунка,?? таблиц,?? источников и графическую часть из? чертежей.

Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.

Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.

В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации улучшения в комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность улучшения данной системы.

 

 

СОДЕРЖАНИЕ

 

 

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

 

 

АС - автоматизированная система.

БУЗОО – лечебное профилактическое учреждение.

БД - база данных.

МСЭ - межсетевой экран.

ОС - операционная система.

ПО - программное обеспечение.

СБ - система безопасности.

СОА - система обнаружения атак.

ПС - пожарная сигнализация

ППКОП - прибор приёмно-контрольного охрано-пожарного пункта

ОПС - охрано-пожарная сигнализация

ОТС - охрано-тревожная сигнализация

ИСБ - интегрированная система безопасности

ЛВС - локально вычислительная сеть

СИРД - средства изготовления и размножения документов

ОТСС - основные технические средства и системы

ВТСС - вспомогательные технические средства и системы

ТСОИ - технические средства обработки информации

ФСТЭК - федеральная служба по техническому и экспортному контролю

РД - руководящий документ

СлЗИ - служба защиты информации

ПЭВМ - персональная электронная вычислительная машина

БУЗОО - Лечебно-Профилактическое Учреждение

ЗАО - закрытое акционерное общество

ЭВМ - электронная вычислительная машина

КПП - контрольно-пропускной пункт

ЧОП - частное охранное предприятие

АРМ - автоматизированное рабочее место

СНиП - строительные нормы и правила

КЗ - контролируемая зона

КСЗИ - комплексная система защиты информации

СОТ - система охранного телевидения

ТК - телевизионная камера

СВМ - специальные видеомагнитофоны

АСПИ - автоматизированная система передачи извещений

РСПИ - радиосистемы передачи извещений

ППК - приёмно-контрольный прибор

ТС - тревожная сигнализация

ПУО - пульт центральной охраны

СПИ - система передачи извещений

СОУЭ - система оповещения и управления эвакуацией

УК - уголовный кодекс

ФЗ - федеральный закон

ВВЕДЕНИЕ

 

Для начала, при разработке комплексной системы защиты информации медицинского учреждения является ясное понимание роли системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.

В медицинском учреждении используются большой объем информации.
Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законами №152, 323 ФЗ.

Безопасность медицинского учреждения представляет собой совокупность мер, отвечающих за разные типы угроз, включающих в себя такие меры, как установка различных типов сигнализации и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться незамеченных мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы.

Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, безответственность сотрудников мед. учреждении. Ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем меньше ошибок в безопасности информации.

С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.

Система защиты информации базируется на таких составляющих как, организационная, правовая, инженерно-техническая защита.

Система должна сохранять целостность данных даже при чрезвычайных ситуациях, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе неблагоприятно влияющие или вовсе, нарушающие работу системы.

Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.

 

 

1 Анализ проблемы и методов ее решения

 

1.1. Общие сведения о защищаемом объекте

Полное наименование учреждения – Бюджетное Учреждение Здравоохранения Омской Области. Сокращенное наименование БУЗОО.

Зарегистрировано 28 июня 1976 года в Администрации г. Омска.

МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.

Осуществляется следующие виды врачебных услуг:

акушерское дело, акушерство и гинекология, вакцинация, гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология, офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.

1.2 Описание защищаемого объекта информатизации

В качестве изучаемого объекта была взята МУЗ ГБ№6. Тип деятельности: осуществление специализированной медицинской помощи по: контролю качества медицинской помощи; стоматологии; терапевтической; ортопедической; хирургической; ортодонтии; экспертизе временной нетрудоспособности, а так же плановые осмотры для предприятий на прилегающей территории.

Специфика организации работы.

Режим работы объекта. Рабочее время: 8:00 – 18:00. Без перерыва на обед. Рабочие дни: понедельник – пятница. Выходные: суббота, воскресенье. Работа по праздникам, возможны сокращенные рабочие дни.

Режим доступа на организацию – свободный, в рабочие дни. Имеется КПП для машин, охранные пункты для пешеходов – отсутствуют. Доступ к оборудованию имеет только специализированный персонал, за каждым закреплено свое рабочее место.

Состав сотрудников и посетителей.

Количество сотрудников – 72 человека. Штат: 30 врачей, 5 операторы ПК, 3 бухгалтерия, 5 экономисты, 30 санитары, 2 охранника, 2 плотника.

Количество посетителей – до 1000 человек в день, стихийно.

Объект зашиты БУЗОО МУЗ ГБ№6 относится к классу 1.

По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.

В учреждении имеется сервер который выполняет функцию файлового сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.

Площадь здания 1500 м². Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.

Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.

Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.

Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.

В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.

Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.

В коридоре и кабинетах на высоте 2,2м. – 2,4м. смонтированы кабель каналы, с кабелем UTP-8.

В отделах присутствуют: АРМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.

Телефонных аппаратов 18 штук. Тип розеток евро розетка. Тип проводки двухпроводная.

Система электропитания: сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.

1.4 Объекты и предметы защиты в ИСПДн мед.учреждения

Основными объектами защиты в медицинском учреждении являются:

- персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).

- объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и приема пациентов;

Конфеденциальная информация (сведения о пациентах, состоянии их здоровья, результатах исследований);

Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;

- Личные дела работников в бумажном и электронном виде;

-Реестр ОМС;

-Другие медицинские сведения, классифицируемые как специальные медицинские данные;

- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, в бумажном и электронном виде.

Документы, которые имеют конфиденциальный характер и требующие зашиты:

1. Выписки рецептов

2. Документы о направлении на исследования

3. Результаты анализов

4. Документы об уплате стоимости услуг

5. Медицинские карточки пациентов

6. Внутренние приказы и распоряжения

7. Материалы кадрового делопроизводства

8. Персональные данные сотрудников

9. Должностные инструкции по отдельным подразделениям

10. Программный код, разработанный в компании

11. Проектные данные (схемы, чертежи, расчеты, планы работ)

12. Схемы информационных потоков и коммуникаций

13. Архитектура информационной системы

14. Активационные коды на лицензионное ПО

15. Приказ о категорировании и классификации объектов вычислительной техники

16. Приказ о вводе в эксплуатацию ПЭВМ

17. Приказ о введении режима коммерческой тайны на предприятии

18. Положение об отделе администрирования и технического сопровождения информационных систем

19. Положение о группе инженерно-технической защиты информации

20. Положение об охранно-пропускном режиме предприятия

21. Положение о структуре службы безопасности

22. Положение об отделе защиты информации

23. Положение о компьютерной сети поликлиники

24. Положение о системном администрировании компьютерной сети поликлиники

25. Должностные инструкции сотрудников предприятия

26. Трудовые договоры сотрудников, работающих с конфиденциальной информацией

27. Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ

28. Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации

29. Бюджет поликлиники

30. Договоры предоставления услуг

31. Договоры, заключенные с поставщиками оборудования

32. Договоры, заключенные с пациентами

 

 

1.5 Угрозы защищаемой информации

Схема 1 - Угрозы защищаемой информации в медицинском учреждении

Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:

1.Утрата сведений, составляющих медицинскую тайну, коммерческую тайну лечебного учреждения и иную, защищаемую информацию, а также искажение такой информации;

2.Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц, а также утечка информации, по каналам связи и за счет побочных электромагнитных излучений;

3.Недоступность информации в результате ее блокирования, сбоя оборудования или программ, поликлиники функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов и иных форс-мажорных обстоятельств.

 

1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

 

К источникам дестабилизирующего воздей­ствия на информацию относятся:

1. люди;

2. технические средства отображения, хранения, обработки, воспроизведения, пе­редачи информации, средства связи и системы обеспечения их функционирования;

3. природные явления.

Схема 2 - Источники дестабилизирующего воздействия на защищаемую информацию

 

Самым распространенным многообразным и опасным источником дестабилизирующего воздей­ствия, на защищаемую информацию, являются люди. К ним относятся:

- сотрудники данного медицинского учреждения;

- лица, не работающие в БУЗОО, но име­ющие доступ к защищаемой информации в силу служебного положения;

- сотрудники посторонних фирм и орагнов, оказывающих услуги;

- лиц, для которых защищаемая информация представляет ценность.

Эти категории людей подразделяются на две группы:

- имеющие доступ к носителям данной защища­емой информации и техническим средствам для ее ото­бражения, хранения, обработки, воспроизведения, передачи

- не имеющие такового.

Самым многообразным этот источник являет­ся потому что, по сравнению с другими ис­точниками, к нему относится значительно большее количе­ство видов и способов дестабилизирующего воз­действия на информацию.

Самым опасным этот источник является т.к. он самый массовый; воздействие с его стороны носит постоянный характер; его воздействие может быть не только непреднамеренным но и нарочным, и ока­зываемое им воздействие может привести ко всем формам проявления уязвимости информации.

Виды и способы дестабилизирующего воздействия на информацию различаются по источникам. Самое большее количество видов и способов дестабилизирующего воздействия относится к людям.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны ТС отображения, хранения, обработки, воспроизве­дения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искаже­нию, блокированию, разглашению (соединение с номером телефона не того або­нента, который набирается, или слышимость раз­говора других лиц из-за неисправности в цепях ком­мутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.

 

1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении

 

К причинам, вызывающим преднамеренное дес­табилизирующее воздействие, следует отнести:

- стремление обезопасить себя, родных и близ­ких от угроз, шантажа, насилия;

- физическое воздействие со сто­роны злоумышленника;

- стремление показать свою значимость.

- стремление получить материальную выгоду (подзаработать);

- дивиантное поведение;

- стремление нанести вред руковод­ству или коллеге по работе;

- стремление оказать бескорыстную услугу при­ятелю

- стремление продвинуться по службе;

Причинами непреднамеренного воздействия на информацию со стороны людей могут быть:

- неквалифицированное выполнение операций;

- недобросовестное отношение к выпол­няемой работе;

- небрежность, неосторожность, неаккуратность;

- физическое недомогание (, стресс, апатия).

Причинами дестабилизирующего воздействия на информацию со стороны ТС отображения, хранения, обработки воспроизведения, передачи информации и средствсвязи могут быть:

- плохое качество средств;

- недостаток средств;

- низкое качество режима функционирования средств;

- перезагруженность средств;

- низкое качество технологии выполнения работ.

В основе дестабилизирующего воздействия на информацию со стороны природных явлений ле­жат внутренние причины и обстоятельства, непод­контрольные людям, а, следовательно, и не поддаю­щиеся нейтрализации или устранению.

1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении

К числу наиболее вероятных каналов утечки, при существующей СКЗИ можно отнести:

- посещения БУЗОО;

- разговоры в нерабочих помещениях;

- обиженных сотрудников фирм;

- технические каналы;

 

 

1.9. Вероятная модель злоумышленника

 

Медицинское учреждение работает с пациентами которые предоставляют всю необходимую информацию, в результате обладая этой информацией БУЗОО обязано не допустить попадания её к третьим лицам. Утечка информации из нашего учреждения может нанести серьезный урон не только самой себе, но прежде всего пациентам.

Потенциальными злоумышленниками могут быть, недобросовестные пациенты, и сотрудники фирмы, а так же сторонние лица заинтересованные в получении конфиденциальной информации.

Если угроза исходит от лиц, не являющиеся сотрудниками медицинского учреждения, то возможность проникновения в выделенное помещение в нерабочее время исключается, во-первых, выделенное помещение оборудовано сигнализацией, а так же заперто на хорошую железную дверь, ключ к которой находится под пристальным наблюдением охраны. Дверь постоянно запирается, если выделенное помещение пустует.

Для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему поликлиники изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, возможен так же случай запугивания сотрудников.

Для исключения возможности несанкционированного доступа к данным сотрудниками поликлиники в выделенное помещение допускается только системный администратор. Так же могут допускаться лица, обслуживающие оборудование от других организаций, но только в присутствии администратора.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники учреждения, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

 

1.10 Фактическая защищенность медицинского учреждения

 

В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:

Организационные мероприятия:

1. Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.

2. Во все помещения здания имеет доступ лишь персонал поликлиники и пациенты.

3. Посетители, ожидающие приема, находятся в коридоре.

4. Вход людей в здание осуществляется через главный вход. Охрана на входе отсутствует, никаких СКУД не установлено.

5. Вход людей в помещение БУЗОО МУЗГБ №6 осуществляется через двустворчатую пластиковую дверь.

6. Вся конфеденциальная информация пересылается посредством электронной почты, доступ к которой имеется у большого количества сотрудников.

 

Правовые мероприятия:

1. Инструкции сотрудников, ответственных за защиту информации

2. Утверждены должностные обязанности руководителей, специалистов и служащих предприятия

3. Плановые проверки

 

Инженерно-технические меры:

1. Установка извещателей пожарной сигнализации во всех помещениях поликлиники

2. Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией

Программно-аппаратные меры:

1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение – MS Office 2003, антивирусное программное обеспечение – Dr. Web 6.0.

2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.

3. Пакет Microsoft Office 2003; Интернет-шлюз UserGate.

4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.

5. Установлен сервер на основе MS Server 2003.

5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.

Инженерно-техническая укрепленность объекта защиты

В соответствии с руководящим документом (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.

Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.

Оконные конструкции так же удовлетворяют требованиям класса Б II.

 

Основная проблема предприятия:

 

1.11 Прошлые случаи кражи в БУЗОО

Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.

 

1. 12. Недостатки в защите медицинского учреждения

Внешние недостатки:

- Часть ЛВС выходит за пределы контролируемой зоны

- Информация не защищена от утечки по каналу ПЭМиН

-

Внутренние недостатки:

- недостаточное внимание к обеспечению защиты информации со стороны руководства;

- довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников учреждения;

- одинаковые и простые пароли для всех АРМ, а так же ПО;

- сервер, на котором хранится база даных имеет прямой доступ в интернет, что порождает лишнюю угрозу;

- недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в мед. Учреждении;

- Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ);

- Генераторы электромагнитного шума в помещении не установлены;

- Окна организации выходят во двор;

- Отсутствует защита телефонных, а так же UTP-8 линий;

 

Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.

Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.

 

 

1.13 Финансовые возможности медицинского учреждения

 

В связи с выходом законов и стремительном развитии нормативно правовых актов в сфере защиты информации, муниципальные учреждения финансируются, для создания КСЗИ с соблюдением всех норм и правил, установленных на территории РФ. Для улучшения этой КСЗИ, финансирование будет идти из своего бюджета, по этому:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- минимизация общих механизмов защиты.

 

1.14 Этапы построения КСЗИ д