Главная страница
Навигация по странице:

  • Основание для разработки

  • Стадии и этапы разработки

  • СОДЕРЖАНИЕ ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ АС

  • ФСТЭК

  • ЛПУ

  • ЧОП

  • КСЗИ

  • АСПИ

  • ПУО

  • 1 Анализ проблемы и методов ее решения 1.1. Общие сведения о защищаемом объекте

  • 1.2 Описание защищаемого объекта информатизации

  • 1.4 Объекты и предметы защиты в медицинском учреждении

  • Техническое задание введение Комплексная система защиты информации (ксзи) совокупность нормативноправовых, организационных и инженернотехнических мероприятий,


    Скачать 0.49 Mb.
    НазваниеТехническое задание введение Комплексная система защиты информации (ксзи) совокупность нормативноправовых, организационных и инженернотехнических мероприятий,
    АнкорDiplom.docx
    Дата29.04.2017
    Размер0.49 Mb.
    Формат файлаdocx
    Имя файлаDiplom.docx
    ТипТехническое задание
    #569
    страница1 из 8
      1   2   3   4   5   6   7   8

    ТЕХНИЧЕСКОЕ ЗАДАНИЕ
    Введение
    Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

    КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.
    Основание для разработки
    Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.
    Назначение разработки
    Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.

    Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.

    Требования к КСЗИ
    В требования входит:

    • простота защиты;

    • приемлемость защиты для пользователей;

    • подконтрольность системы защиты;

    • постоянный контроль за наиболее важной информацией;

    • минимизация привилегий по доступу к информации;

    • независимость системы управления для пользователей;

    • устойчивость защиты во времени и при неблагоприятных обстоятельствах;

    • минимизация общих механизмов защиты.

    • Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

    • Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности мед. учреждения.

    • Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.


    Стадии и этапы разработки
    Первая стадия доработка и создание нормативно-правовых документов.Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

    Во вторую стадию входит организационная защита.Организационная защита – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

    В третью стадию входит подбор инженерно-технических решений.Инженерно-техническая защита – использование различных технических средств для обеспечения защиты конфиденциальной информации.

    РЕФЕРАТ

    Дипломная работа содержит пояснительную записку на 162 листах, 33 Рисунка, 19 таблиц, 00 источников и графическую часть из 6 чертежей.

    Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.

    Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.

    В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации и внедрения комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность внедрения данной системы.

    СОДЕРЖАНИЕ


    ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

    АС - автоматизированная система.

    ЛПУ – лечебное профилактическое учреждение.

    БД - база данных.

    МСЭ - межсетевой экран.

    ОС - операционная система.

    ПО - программное обеспечение.

    СБ - система безопасности.

    СОА - система обнаружения атак.

    ПС - пожарная сигнализация

    ППКОП - прибор приёмно-контрольного охрано-пожарного пункта

    ОПС - охрано-пожарная сигнализация

    ОТС - охрано-тревожная сигнализация

    ИСБ - интегрированная система безопасности

    ЛВС - локально вычислительная сеть

    СИРД - средства изготовления и размножения документов

    ОТСС - основные технические средства и системы

    ВТСС - вспомогательные технические средства и системы

    ТСОИ - технические средства обработки информации

    ФСТЭК - федеральная служба по техническому и экспортному контролю

    РД - руководящий документ

    СлЗИ - служба защиты информации

    ПЭВМ - персональная электронная вычислительная машина

    ЛПУ - Лечебно-Профилактическое Учреждение

    ЗАО - закрытое акционерное общество

    ЭВМ - электронная вычислительная машина

    КПП - контрольно-пропускной пункт

    ЧОП -частное охранное предприятие

    АРМ - автоматизированное рабочее место

    СНиП - строительные нормы и правила

    КЗ - контролируемая зона

    КСЗИ - комплексная система защиты информации

    СОТ - система охранного телевидения

    ТК - телевизионная камера

    СВМ - специальные видеомагнитофоны

    АСПИ - автоматизированная система передачи извещений

    РСПИ -радиосистемы передачи извещений

    ППК - приёмно-контрольный прибор

    ТС -тревожная сигнализация

    ПУО -пульт центральной охраны

    СПИ -система передачи извещений

    СОУЭ -система оповещения и управления эвакуацией

    УК -уголовный кодекс

    ФЗ -федеральный закон
    ВВЕДЕНИЕ
    Отправной точкой при разработке комплексной системы защиты информации медицинского учреждения, является ясное понимание роли и места системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.

    В медицинском учреждении используются большой объем информации.
    Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законом №152.

    Безопасность медицинского учреждения представляет собой своеобразную многоуровневую систему барьеров, включающих в себя такие меры, как установка различных типов сигнализации, организация наблюдения и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться «тонких» мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы.

    Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, неумение, безответственность сотрудников мед. учреждении. Можно утверждать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем ниже рилпу ошибок в безопасности информации.

    С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.

    Комплексная система защиты информации строиться на таких составляющих как организационная, правовая, инженерно-техническая защита.

    Система так-же должна сохранять целостность данных даже при форс мажорных обстоятельствах, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе нарушающие работу системы.

    Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.

    1 Анализ проблемы и методов ее решения
    1.1. Общие сведения о защищаемом объекте
    Полное официальное наименование учреждения - БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ ОМСКОЙ ОБЛАСТИ "ГОРОДСКАЯ БОЛЬНИЦА № 6". Сокращенное наименование БУЗОО МУЗ ГБ№6.

    Зарегистрировано 28 июня 1976 года в Администрации г. Омска.

    МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.

    Осуществляется следующие виды врачебных услуг:

    акушерское дело, акушерство и гинекология (за искл. использования вспомогательных репродуктивных технологий), вакцинация (проведение профилактических прививок), гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология (за искл. кохлеарной имплантации), офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.

    1.2 Описание защищаемого объекта информатизации
    В качестве изучаемого объекта была взята МУЗ ГБ№6. Тип деятельности: осуществление специализированной медицинской помощи по: контролю качества медицинской помощи; стоматологии; терапевтической; ортопедической; хирургической; ортодонтии; экспертизе временной нетрудоспособности, а так же плановые осмотры для предприятий на прилегающей территории.

    Специфика организации работы.

    Режим работы объекта. Рабочее время: 8:00 – 18:00. Без перерыва на обед. Рабочие дни: понедельник – пятница. Выходные: суббота, воскресенье. Работа по праздникам, возможны сокращенные рабочие дни.

    Режим доступа на организацию – свободный, в рабочие дни. Имеется КПП для машин, охранные пункты для пешеходов – отсутствуют. Доступ к оборудованию имеет только специализированный персонал, за каждым закреплено свое рабочее место.

    Состав сотрудников и посетителей.

    Количество сотрудников – 72 человека. Штат: 30 врачей, 5 операторы ПК, 3 бухгалтерия, 5 экономисты, 30 санитары, 2 охранника, 2 плотника.

    Количество посетителей – до 1000 человек в день, стихийно.

    Объект зашиты БУЗОО МУЗ ГБ№6 относится к классу 1.

    По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.

    В учреждении имеется сервер который выполняет функцию файлового сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.

    Площадь здания 1500 м2. Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.

    Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.

    Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.

    Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.

    В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.

    Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.

    В коридоре и кабинетах на высоте 2,2м. – 2,4м. смонтированы кабель каналы, с кабелем UTP-8.

    В отделах присутствуют: ПЭВМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.

    Телефонных аппаратов 18 штук. Тип розеток евророзетка. Тип проводки двухпроводная.

    Система электропитания : сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.

    Планы этажа показан в приложении Б.

    1.4 Объекты и предметы защиты в медицинском учреждении

    Основными объектами защиты в медицинском учреждении являются:

    • персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).

    • объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с пациентами;

    Медицинская тайна (сведения о пациентах, состоянии их здоровья, результатах исследований);

    Персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).

    • документированная информация, регламентирующая статус учреждения, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)

    • материальные носители охраняемой законом информации (личные дела работников, личные дела пациентов, электронные базы данных работников и пациентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

    • средства защиты информации (Интернет-шлюз, , система сигнализации и др.)

    • технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших пациентов)

    Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

    - Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;

    - Личные дела работников в бумажном и электронном виде;

    - Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, в бумажном и электронном виде.
    Документы, которые имеют конфиденциальный характер и требующие зашиты:

    1. Выписки рецептов

    2. Документы о направлении на исследования

    3. Результаты анализов

    4. Документы об уплате стоимости услуг

    5. Медицинские карточки пациентов

    6. Внутренние приказы и распоряжения

    7. Материалы кадрового делопроизводства

    8. Персональные данные сотрудников

    9. Должностные инструкции по отдельным подразделениям

    10. Программный код, разработанный в компании

    11. Проектные данные (схемы, чертежи, расчеты, планы работ)

    12. Схемы информационных потоков и коммуникаций

    13. Архитектура информационной системы

    14. Активационные коды на лицензионное ПО

    15. Приказ о категорировании и классификации объектов вычислительной техники

    16. Приказ о вводе в эксплуатацию ПЭВМ

    17. Приказ о введении режима коммерческой тайны на предприятии

    18. Положение об отделе администрирования и технического сопровождения информационных систем

    19. Положение о группе инженерно-технической защиты информации

    20. Положение об охранно-пропускном режиме предприятия

    21. Положение о структуре службы безопасности

    22. Положение об отделе защиты информации

    23. Положение о компьютерной сети поликлиники

    24. Положение о системном администрировании компьютерной сети поликлиники

    25. Должностные инструкции сотрудников предприятия

    26. Трудовые договоры сотрудников, работающих с конфиденциальной информацией

    27. Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ

    28. Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации

    29. Бюджет поликлиники

    30. Договоры предоставления услуг

    31. Договоры, заключенные с поставщиками оборудования

    32. Договоры, заключенные с пациентами


    В списке помещений, подлежащих оснащению системой противодействия экономическому шпионажу следует отнести:

    • Кабинет главного врача;

    • Лаборатория;

    • Бухгалтерия;

    • Серверная;

      1   2   3   4   5   6   7   8
    написать администратору сайта