Методики управления рисками




После проведения первичной оценки рисков полученные значения следует систематизировать по степени важности для выявления низких, средних и высоких рисков. Методика управления рисками подразумевает несколько способов действий. Риск может быть:

  • принят (assumption), т. е. пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;
  • снижен (mitigation) — с целью уменьшения величины риска будут приняты определенные меры;
  • передан (transference) — компенсацию потенциального ущерба возложат на страховую компанию, либо риск трансформируют в другой риск — с более низким значением — путем внедрения специальных механизмов.

Некоторые методики дополнительно предусматривают еще один способ управления — «упразднение» (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако, на мой взгляд, такой подход неконструктивен ввиду того, что, если величина риска достаточно велика, порождающий его компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска (mitigation).

После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже — передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа. Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Так, например, если величины рассчитанных рисков лежат в диапазоне от 1 до 18, низкие риски находятся в диапазоне от 1 до 7, средние — в диапазоне от 8 до 13, высокие — в диапазоне от 14 до 18.

Таким образом, управление рисками сводится к снижению величин высоких и средних рисков до характерных для низких рисков значений, при которых возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (AV, EF, SLE) путем принятия определенных мер. В основном это возможно применительно к EF и SLE, так как AV (стоимость ресурса) — фиксированный параметр. Однако возможно и его снижение. Например, если хранящаяся на сервере информация относится к конфиденциальной, но проверка выявила, что гриф «конфиденциально» в силу каких-либо причин может быть снят. В результате стоимость ресурса автоматически уменьшается. В системе Internet-банкинга, например, параметр EF можно уменьшить путем фиксации ответственности сторон в договорном порядке. В этом случае считается, что стороны предупреждены об ответственности, которую может повлечь за собой нарушение правил эксплуатации системы, и, таким образом, фактор уязвимости снижается.

Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.

Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.

В нашем случае мы будем уменьшать ARO и EF, путем применения технический средств.

 

 

3 Описание комплексной системы защиты информации

 

В комплексную систему защиты информации входит:

Правовая защита

Правовое обеспечение системы защиты информации включает:

- Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;

- Формулирование и доведение до сведения всего персонала мед. учреждения (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации.

Организационная защита

Организационная защита обеспечивает:

- организацию охраны, режима, работу с кадрами, с документами;

- использование ТС безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Инженерно-техническая защита – использование различных ТС для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

- Физические – устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

- Аппаратные – устройства, защищающие от утечки, разглашения и от ТС промышленного шпионажа

- Программные средства.

3.1 Правовая защита

 

Согласно документам, регламентирующим деятельность в области защиты информации:

Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Законом об информации установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

 

 

Список необходимых организационно-распорядительных документов в сфере защиты персональных данных и во исполнение Федерального закона РФ от 27 июня 2006 года № 152-ФЗ

1.Приказ

- О назначении ответственного за организацию обработки персональных данных (далее ПДн);

- О назначении сотрудников имеющих доступ к ПДн;

- О создании комиссии (Классификация каждой информационной системы персональных данных (далее ИСПДн), установка класса защищенности АС, уничтожение документов ограниченного распространения);

- О назначении ответственных лиц по работе с шифровальными (криптографическими средствами);

- О утверждении перечня информационных систем ПДн;

- Об утверждении перечня конфиденциальной информации;

- Об установлении границ контролируемой зоны ИСПДн;

- Об утверждении инструкции о порядке работы с документвсм ограниченного распространения, не содержащих государственную тайну;

- Об утверждении инструкции по опечатыванию кабинетов;

- Об утверждении инструкции о внутреобъектовом порядке режимных помещений;

- Об утверждении инструкции о внутреобъектовом порядке режимных помещений;

- Об утверждении инструкции по резервному копированию (восстановлению) информации;

- Об утверждении инструкции о средствах антивирусной защиты ИСПДн;

- Об утверждении инструкции ответственного за организацию обработки ПДн;

- Об утверждении Положения об осуществлении внутреннего контроля соответствия обработки ПДн Федеральному закону Российской Федерации от 27 июня 2006 года №152-ФЗ и принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора;

- Об утверждении Положения о комиссии по вопросам информационной безопасности;

- Об утверждении политики обработки ПДн;

- Об утверждении Положения о рассотрении запросов субъектов ПДн или их представителей;

- Об утверждении инструкции пользователя при обработке ПДн без средств автоматизации;

- Об утверждении Положения об обработке ПДн;

- Об утверждении Положения об оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июня 2006 года №152-ФЗ “О персональных данных”;

- Об утверждении перечня мест хранения материальных носителей ПДн;

- Об утверждении инструкции работника Учреждения по эксплуатации автоматизированного рабочего места и пользования ведомственной сетью передачи данных;

- Об утверждении схемы передачи ПДн по каналам связи Учреждения;

- Об утверждении инструкции по эксплуатации машинных носителей информации;

- О создании комиссии по вопросам информационной безопасности;

- Об утверждении модели угроз безопасности ПДн при обработке в инфомарционных системах ПДн;

- О назначении пользователей и правил работы со средствами криптографической защиты информации;

 

2.Журнал

- Журнал учета обращении субъектов ПДн или их представителей;

- Журнал учета лиц о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации;

- Журнал ознакомления работников, непосредственно ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику “Учреждения” в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;

- Журнал учета фактов несанкцианированого доступа к ПДн и принятых мер;

- Журнал поэкземплярного учета криптосредств;

- Журнал учета

 

Для организации Службы защиты информации (СлЗИ) такие документы:

- Положение о СлЗИ;

- Должностные инструкция начальник службы безопасности;

- Должностные инструкция инженер по защите информации;

- Должностные инструкция начальник отдела конфиденциального делопроизводства;

- Инструкция по защите конфиденциальной информации;

К уже существующему уставу мед. учреждения необходимо внести в устав следующие дополнения:

— мед. учреждение имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;

— обязано обеспечить сохранность коммерческой тайны;

— состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем мед. учреждения;

— имеет право не предоставлять информацию, содержащую коммерческую тайну;

— руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

— создавать организационные структуры по защите коммерческой тайны;

— издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

— включать требования по защите коммерческой тайны в договора по всем видам деятельности;

— требовать защиты интересов учреждения перед государственными и судебными органами;

— распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.

Раздел «Конфиденциальная информация»:

Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение этих дополнений дает право администрации:

- создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

- включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);

- требовать защиты интересов учреждения перед государственными и судебными органами;

- распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

А также необходимо проставить грифы конфиденциальности:

- Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).

- Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность; документы, содержащие данные о пациентах, не предоставляемые третьим лицам, неопубликованная информация, обладающая экономической ценностью для учреждения и его персонала.

- Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о сделках с партнерами или пациентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности, документам, содержащих медицинскую тайну.

Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»

  • Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.
  • Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.
  • Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:

Раздел «Порядок приема и увольнения рабочих и служащих»

При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:

  • проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
  • оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:
  • принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
  • осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.
  • при решении об увольнении или отстранении от обязанностей заранее ограничить его доступ к системе.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны:

  • знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
  • дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
  • бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.

Раздел «Основные обязанности администрации»

Администрация и руководители подразделений обязаны:

  • обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
  • последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
  • включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
  • неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.

 

3.2 Организационная защита

 

3.2.1 Организационные меры по системе допуска сотрудников к конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к.

Сотрудники больницы, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.

Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в поликлинику, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации и врачебной тайны.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

 

 

3.3 Инженерно-техническая защита

 

 

3.3.1.1. Структура существующей системы

В нашем БУЗОО существует ИСПДн, отвечающая за его работу и содержащая всю информацию о пациентах, а так же информацию страховых реестров, подразделений, штата, работников, расписания и т.д. Система реализована через программу ТМ МИС, полностью отсутствует система разграничения доступа, что неприемлемо. Халатное отношение к ЗИ со стороны персонала и руководства, ставит учреждение в положение, когда система есть и она работает, но польза от нее уменьшается до нуля. Следует предпринять организационные, а так же инженерно-технические меры по устранению недостатков и понижению уровней риска.

Серверная

Серверная комната находится в помещении 3 кабинета, сразу возле главного входа, что организует большую проходимость у дверей. Так же в помещении серверной выдаются полиса “Росгосстрах”, а это значит что в нем оборудовано место с ПЭВМ, оператором, ответственным за выдачу и самый главный недостаток, пациенты. Так же в серверной находится шкаф сетевого оборудования, который включает в себя несколько программируемых маршрутизаторов в т.ч. для связи с другими БУЗОО и органами управления. Свитчи, концентратор VipNet, необходимый для передачи информации по зашифрованному каналу связи, миниАТС отвечающую за работу всех IP-телефонов, для данной организации, USP для гарантии сохранности оборудования, подключенным посредством него оборудования в т.ч. сам сервер.

Сервер работает на базе ОС Windows Server 2003, оборудован антивирусной защитой Dr.Web 6.0, Системой резервного копирования Cobian, настроенной таким образом, что каждый день в нерабочее время, создается резервная копия БД. Жесткий диск на 500Gb, имеет зеркало, так что в случае краха оборудования, базу данных можно будет восстановить с небольшим откатом. Серверный ПК несет в себе обязанности

1. Сервера БД (ТМ МИС)

2. Интернет Сервера, Сервера почты

3. Сервера Терминалов

4. Сервера печати

5. ISS сервера (связь с сайтом БУЗОО)

6. Зеркалирования информации

При такой нагрузке и количестве выполняемых задач создаются огромные проблемы. Не смотря на архитектуру процессора (intel core i5), и 4Gb RAM, сервер изрядно подтормаживает, а иногда и вовсе зависает, не выдерживая нагрузки выполняемых задач. Ко всему прочему ПО, используемое в БУЗОО, не очень хорошо оптимизировано, но постоянно дорабатывается, выпускаются обновления, заплатки, улучшения.

Ко всему прочему очень сложно администрировать сервер, выполняющий такое количество функций очень проблематично. При администрировании возникают проблемы связанных служб, к тому же перезагрузка сервера ведет к полной остановке работы всего БУЗОО с перерывом примерно 10 минут.

 

АРМ

В нашем мед. Учреждении вся работа с БД осуществляется посредством использования терминального доступа, через встроенную утилиту RemoteDesktop. То есть наличие пароля, дает возможность доступа к БД с абсолютно любого АРМ, подключенного к сети. Все АРМ распределены по больнице в зависимости от надобности и потребности, получить к ним доступ не составляет труда, некоторые кабинеты находятся на “отшибе” и вероятность обнаружения поимки злоумышленника остается ничтожной. К тому же, нет никакого разграничения доступа для всех пользователей АРМ, вне зависимости от выполняемых обязанностей, что приводит нас к ситуации, когда любые ползователи обладают равными правами.

Так же на АРМ функционируют все USB порты, что дает возможность использования любых доступных накопителей с интерфейсом USB 2.0.

АРМ организованы на базе тонких пациентов, все изменения операционной системы хранятся в оперативной памяти и устраняются после перезагрузки. Функция отключается программно, посредством ввода пароля Возможность установки стороннего ПО, требующих права Администратора отсутствует. Так же все АРМ оборудованы АнтиВирусной защитой Dr.Web 6.0. Все АРМ имеют статический IP-адрес, отсутствует привязка по MAC.

Из огромных брешей в системе можно выделить одинаковые пароли для терминала, для всех пользователей АРМ, за исключением пароля администратора. Все АРМ типовые, закуплены и установлены во всех больницах города, комплектация дополняется лишь переферийными устройствами.

АРМ комплектация Тонкие клиенты TONK Монитор Viewsonic 22 Клавиатура, мышь. Допускается использования сканера, принтера или МФУ.  

ЛВС и внутренняя связь

Локальная сеть раскинута, посредством которой работают АРМ в учреждении, раскинута на все здание, включая стационар, поликлинику. Пролегает через коридор в кабель канале, разветвляется свитчами, находящимися в специальных шкафчиках. Вся ЛВС приходит на центральный свитч в серверную комнату, где посредством программируемого маршрутизатора она соединяется с другими БУЗОО. Диапазон IP адресов ограничен 10.30.131.1-10.30.131.255. Никакой привязки по MAC-адресу, кроме доступа в интернет не существует.

Посредством ЛВС так же работают IP-телефоны, которые находятся в той же подсети что и ПК, т.к. выделенный диапазон для нашего БУЗОО. Предусматривает адреса типа 10.30.131.*

Персонал и пациенты

БУЗОО находится в микрорайоне. Малое количество населения, высокий уровень безработицы, частный сектор, огромное количество знакомств при тесном общении создают следующую картину. Почти все люди одного возраста знакомы с большой вероятностью, что способствует панибратскому, доверительному отношению с пациентами и не лучшим образом сказывается на обстановке с точки зрения защиты информации. Так же следует отметить невысокую осведомленность населения и практически полное неумение обращаться с оборудованием в частности ПК. Однако, существуют специалисты, но их в населенном пункте всего несколько человек, можно отслеживать их посещение БУЗОО.

Низкая заработная плата везде и повсеместно сопровождает персонал медицинского учреждения. Начиная от техничек и плотников, заканчивая врачами. Приемлемая заработная плата наблюдается лишь у руководства и бухгалтерии, уровень остального персонала едва превышает МРОТ, к тому же людей обязуют выполнять обязанности, не оговоренные в трудовом договоре и никак не оплачивающиеся, что не мотивирует персонал добросовестно работать и может стать толчком для совершения НСД с целью наживы или разглашение персональных даных, если представится такой случай.

Личные знакомства так же могут стать причиной случайного разглащения конфеденциальной информации, просто при разговоре.

 

 

Вывод

Из приведенной выше информации можно сделать следующие заключения. Правовая защита: находится на приемлемом уровне, т.к. все пакеты необходимой документации разработаны специалистами в рамках государственной программы модернизации БУЗОО г.Омска. Доработок не требуется

 

· Аппаратная часть: доступ к сети извне полностью ограничен, за исключением организации, выполняющую обслуживание системы всех БУЗОО г.Омска, посредством программируемого коммутатора Juniper SRX100. Передача конфиденциальных данных осуществляется по закрытому каналу, обеспечиваемому посредством программно-аппаратного комплекса VipNet. Концентратор вмонтирован в шкаф в серверной, вместе с клиентом ПК. Во внутренней сети у любого ПК есть доступ ко всем компьютерам сети, более того, нет никаких препятствий для подключения нового клиента к сети, что открывает возможность для третьих лиц. К сожалению имеющиеся средства Неуправляемый коммутатор DES-1100-24V/A1A не могут помочь в решении этой проблемы. На экстренный случай, выделен специальный канал реализуемый через GSM модем. Так же в БУЗОО установлена система охранной сигнализации “Иртыш-3”. Главный пульт находится в регистратуре, каждый кабинет оборудован датчиками разбиения стекол, системой пожаротушения в соответствии с СП 5.131130.2009.

 

· Программная часть: Все ПК находятся в доменной системе, сервером которой является тот же ПК, который выполняет роль сервера БД. Программная часть практически отсутствует, за исключением интернет-шлюза UserGate на серверной машине и система CobianBackup, выполняющая резервное копирование всей базы в нерабочее время. Никаких средств разграничения доступа на данный момент не существует. База хранится на ПК в открытом доступе. Никаких блокирующих копирование утилит на клиентских ПК не установлено. Доступ клиентов осуществляется через службу терминалов RemoteDesktoP.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-11 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: