Построение системы информационной безопасности ООО "Ладент VIP"

Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 31.10.2016
Размер файла 2,5 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Содержание

  • Введение
  • 1. Теоретические основы технологии работы с персональными данными
  • 1.1 Нормативно-правовые документы в сфере информационной безопасности в РФ
  • 1.2 Угрозы информационных систем и их классификации
  • 1.3 Цели и задачи проектной части
  • 2. Описание предметной области
  • 2.1 Общая характеристика объекта исследования
  • 2.2 Характеристика структуры автоматизированной системы клиники
  • 2.3 Анализ системы информационной безопасности ООО «Ладент VIP»
  • 2.4 Общая характеристика существующей системы защиты персональных данных «Ладент VIP»
  • 2.4.1 Анализ системы защиты персональных данных при их автоматизированной обработке в ИС «Ладент VIP»
  • 2.4.2 Характеристика организации системы защиты персональных данных в условиях ООО «Ладент VIP»
  • 3. Проектная часть
  • 3.1 Исходные данные
  • 3.2 Внедрение системы аутентификации с использованием электронных ключей
  • 3.3 Защита информации от НСД и введение журнала безопасности с помощью СЗИ «Аура 1.2.4»
  • 3.4 Возможности настройки антивирусного ПО для обеспечения защиты персональных данных от НСД
  • 3.5 Совершенствование системы антивирусной защиты
  • Заключение
  • Список использованных источников

Введение

Развитие информационных технологий и повсеместная информатизация общества дают как положительные, так и отрицательные результаты. Увеличение количества информации и информационных потоков в обществе ведет к совершенствованию многих процессов, развитию и улучшению взаимодействия, но также рождает новые угрозы и новый тип злоумышленников, которые оперируют в рамках виртуальных данных.

Важно понимать, что современное общество во всех своих видах деятельности и секторах повсеместно и повседневно использует большие массивы данных, которые обрабатываются, используются или хранятся в различных системах. Здесь стоит отметить, что информацию можно определить, как ресурс с высокой ценностью, поскольку своевременная и подходящая информация может дать гигантское преимущество конкурентам или игрокам на рынке, будь то экономический сектор или как-то повлиять на производство товаров и благ в любом другом. Таким образом информация, как ресурс, имеет ценность, которую необходимо защищать. Из этого следует, что любые типы утечек информации грозят ее обладателям, порой, колоссальными убытками.

Под информацией, которую необходимо защищать, обыватель понимает некую финансовую, трудовую или коммерческую, утечки которых напрямую связаны с экономическими убытками или затраченными средствами. Такая информация непосредственно связана с производством и, да, ее кража может сильно сказаться на экономических аспектах предприятия в целом. Но мы упускаем из вида другой тип информации, который напрямую затрагивает нашу с вами жизнь и утечки которого считаются ничуть не менее серьезными - персональные данные.

Представьте, что спам, приходящий вам на почту, может быть причиной продажи ваших персональных данных третьему лицу или как в результате кражи из компании, где они хранились. Но это самое безобидное, что может произойти при утечки персональных данных. Недостаточная защищенность информационных систем персональных данных может привести к краже денежных средств со счетов, неправомерному использованию чужих кредитных счетов, электронных учетных записей, подписей, электронных машин, получения доступа к другим системам, прочим кражам и так далее. Все это доказывает насколько актуальна проблема информационной безопасности уже сейчас и насколько более серьезной она станет в ближайшем будущем.

Нормативно-правовая база информационной технологий претерпевает изменения из года в год - выходят новые законы, вносятся правки в уже существующие, повсеместно появляются новые прецеденты, которые служат для написания новых актов и регламентов. Поэтому, при разработке системы информационной безопасности, необходимо оглядываться не только на технические факторы реальных проблем, но и на их нормативно-правовые аспекты, которые не менее важны. Таким образом, регламент безопасности информационной системы персональных данных должен включать в себя следующие пункты.

· порядок доступа специалистов к работе в программных комплексах, содержащих персональные данные;

· порядок организации системы разграничения доступа;

· порядок копирования и хранения информации, содержащей персональные данные;

· использование средств информационной безопасности при обработке персональных данных.

При этом необходимо проводить классификацию по типам, объемам персональных данных, обрабатываемым в информационных системах.

Данные задачи регламентируются как федеральными законами (152-ФЗ «О персональных данных»), так и нормативными актами ФСТЭК, ФСБ и других федеральных, а также отраслевых структур, а также государственными стандартами.

Важно понимать, что при повсеместно растущей автоматизации учета данных на предприятиях соразмерно должен развиваться понятийный аппарат сотрудников по вопросам информационной безопасности. Иначе, зачастую, мы сталкиваемся с тем, что недостаточная грамотность сотрудников приводит к серьезным последствиям: от утечек данных до нарушения работоспособности информационной системы. Из этого следует, что системы необходимо защищать не только от внешнего воздействия, но и от внутреннего.

Цель этой работы заключается в построении системы безопасности компьютерных программ. Здесь стоит заметить, что под определением «компьютерная программа» понимается следующее: «Программа для ЭВМ - представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения». Таким образом, под определение «компьютерная программа» попадает не только технические инструменты информационной безопасности, но и программное обеспечение защищаемого субъекта.

Для выполнения данной цели, я выбрал частную стоматологическую клинику ООО «Ладент VIP» и поставил перед собой следующие задачи:

· анализ нормативно-правовых актов и требований к системам информационной безопасности;

· анализ структуры информационной системы ООО «Ладент VIP»;

· определение класса персональных данных, модели угроз и задач информационной безопасности в информационной системе частной клиники;

· оценка существующей системы защиты персональных данных, определение ее уязвимостей;

· предложения по улучшению системы информационной безопасности частной стоматологической клинки ООО «Ладент VIP».

Объект исследования: информационная система ООО «Ладент VIP»

Предмет исследования: организация работы с персональными данными.

Работа содержит три главы, введение, заключение и список использованных источников. В первой главе мы рассмотрим нормативно-правовые аспекты информационной безопасности, а также классификации конфиденциальных данных и классификации информационных систем. Во второй главе проведен анализ работы по защите информации в частной стоматологической клиники ООО «Ладент VIP», проведен анализ системы идентификации и аутентификации пользователей, определены недостатки существующей системы. В главе 3 приведен проект совершенствования системы защиты персональных данных информационной системы частной стоматологической клиники ООО «Ладент VIP».

1. Теоретические основы технологии работы с персональными данными

В рамках данной работы рассматривается вопрос проектирования системы защиты персональных данных на примере медицинского учреждения ООО «Ладент VIP».

Необходимо рассмотреть нормативно-правовые акты и технологические аспекты, в рамках которых оперирует информационная безопасность персональных данных.

1.1 Нормативно-правовые документы в сфере информационной безопасности в РФ

С развитием автоматизированных средств обработки данных становится возможной утечка больших массивов информации по определенной тематике, в том числе и персональных данных. Нынешние съемные носители информации малогабаритны, но на них можно хранить огромные базы данных. Распространены случаи продаж баз данных, содержащих большие объемы информации, в том числе через сеть Интернет.

Объектами защиты информации в автоматизированных системах являются:

· информация, содержащаяся в системе;

· технические средства;

· носители информации;

· средства связи;

· средства обработки;

· программное обеспечение.

Нормативной базой технологии систем информационной безопасности являются: федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности Российской Федерации (ФСБ), регулирующие вопросы безопасности информации.

В соответствии с нормативными документами в области защиты информации, каждое предприятие и организация, в которой производится обработка персональных данных, обязано принять ряд организационных и технологических мер по обеспечению защиты информации.

Проведем обзор законодательства в области информационной безопасности. Базовые нормативно-правовые акты в области информационной безопасности приведены на рисунке 1.1.

Рис. 1.1. Базовые нормативно-правовые акты в области защиты информации

информационный безопасность аутентификация защита

В таблице 1.1. приведен перечень законодательных актов РФ по информационной безопасности, а также краткая аннотация к ним. В таблице 1.2. приведен перечень постановлений Правительства РФ по информационной

Таблица 1.1. - Перечень законодательных актов РФ по информационной безопасности

149-ФЗ от 27.07.2006

«Об информации, информационных технологиях и защите информации»

Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу и распространение информации, применение информационных технологий, обеспечение защите информации.

152-ФЗ от 27.07.2006

«О персональных данных»

Регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными и региональными органами государственной власти и органами местного самоуправления, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таковых, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

63-ФЗ от 06.04.2011

«Об электронной подписи»

Цель данного ФЗ Обеспечение правовых условий использования электронной подписи в электронных документах, при соблюдении которых такая подпись признается равнозначной собственноручной подписи в документе на бумажном носителе.

99-ФЗ от 04.05.2011

«О лицензировании отдельных видов деятельности»

Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

Защита информации, содержащейся в информационной системе, является комплексной задачей по проектированию, созданию и использованию системы информационной безопасности и обеспечивается на протяжении всего жизненного цикла информационной системы посредством принятия организационных и технических мер защиты информации, направленных на предотвращение или минимизацию последствий угроз безопасности информации в ней.

Таблица 1.2. Перечень постановлений Правительства РФ по информационной безопасности

Постановление Правительства РФ от 03.11.1994 № 1233

«Положение о порядке обращения со служебной информацией ограниченного распространения в органах государственной власти».

Определение порядка обращения со служебной информацией, предназначенной для ограниченного распространения в государственных органах.

Постановление Правительства РФ от 01.11.2012 № 1119

«Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».

Определение требований к реализации систем информационной безопасности ПД при их обработке в информационных системах, являющихся совокупностью персональных данных, хранящихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным

Базовый набор мер по обеспечению информационной безопасности определяется с учетом актуальных угроз, определяемых уполномоченными государственными органами. Согласно Постановлению Правительства РФ 2012 г., № 1119, оператор самостоятельно не определяет состав актуальных угроз. Оператор определяет только тип угроз на основании отраслевой модели.

Согласно Федеральному закону от 27 июля 2006г. № 152-ФЗ, оператор в рамках обработки персональных данных должен обеспечивать комплекс необходимых правовых, организационных и технических мер по обеспечению конфиденциальности персональных данных, что достигается путем определения угроз безопасности, оценки эффективности мероприятий по обеспечению безопасности, контроля за принимаемыми мерами по защите информации. Постановление № 1119 содержит довольно подробную классификацию информационных систем персональных данных, угроз безопасности таких систем, уровней защищенности информационных систем от указанных угроз. Так, в постановлении № 1119 выделено пять типов информационных систем персональных данных в зависимости от того, какие именно данные обрабатываются в рамках такой системы

1. информационные системы, обрабатывающие специальные категории персональных данных (данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и т.д.);

2. информационные системы, обрабатывающие биометрические данные (данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность);

3. информационные системы, обрабатывающие общедоступные персональные данные;

4. информационные системы, обрабатывающие иные категории персональных данных (данные, не перечисленные выше);

5. информационные системы, обрабатывающие данные о сотрудниках оператора информационной системы.

В соответствии с требованиями к защите персональных данных при их обработке в информационной системе персональных данных (постановлении № 1119), под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным.

Согласно методологии информационной безопасности, определены три типа угроз безопасности информационных систем персональных данных:

1. Угрозы, связанные с наличием НДВ в системном ПО, используемом в ИС;

2. Угрозы, связанные с наличием НДВ в прикладном ПО, используемом в ИС;

3. Угрозы, не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС.

Таким образом, модель угроз безопасности персональных данных при их обработке в информационной системе предназначена для использования при классификации информационной системы персональных данных учреждения и разработки системы их защиты.

Для принятия комплекса мер по обеспечению информационной безопасности необходимо провести классификацию информационной системы, которая производится на основании приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационной системы персональных данных.

Класс информационной системы присваивается на основании проведенного аудита, который проводится либо внутренними сотрудниками службы информационной безопасности, либо внешними сертифицированными органами.

Законодательно определены следующие классы информационных систем, обрабатывающих персональные данные:

· класс 4 (К4), включающий информационные системы, работающие с персональными данными, нарушение конфиденциальности которых не предполагает негативных последствий для их субъекта.

· класс 3 (КЗ) - включающий информационные системы, работающие с персональными данными, нарушение конфиденциальности которых не предполагает незначительные негативные последствия для их субъекта. (обычно применяется для районных сегментов информационных систем); класс 2 (К2) - ИСПДн для которых нарушение заданных характеристик безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных (обычно применяется для региональных и федеральных сегментов информационных систем);

· класс 1 (К1) - ИСПДн для которых нарушение заданных характеристик безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Согласно приказу ФСБ №378 от 10.07.2014 определены четыре уровня защищенности персональных данных. В таблице 3 приведен перечень уровней защищенности ПД.

Таблица 1.3. Перечень уровней защищенности персональных данных

Требования

Уровни защищенности

1

2

3

4

Обеспечение безопасности помещений для обработки ПДн

+

+

+

+

Обеспечение сохранности носителей ПДн

+

+

+

+

Список специалистов, допущенных к обработке ПДн

+

+

+

+

Средства защиты информации, прошедшие процедуру оценки соответствия

+

+

+

+

Специалист, ответственный за обеспечение требований безопасности обработки персональных данных

+

+

+

-

Система ограничения доступа к журналу сообщений

+

+

-

-

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным

+

-

-

-

Наличие структурного подразделения, ответственного за обеспечение требований безопасности персональных данных

+

-

-

-

Каждый присвоенный класс подразумевает использование надлежащих технических и организационных мер по обеспечению информационной безопасности.

В зависимости от соотношения типа информационной системы и характерных для нее угроз, выделены четыре уровня защищенности персональных данных, необходимых для конкретной информационной системы. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации.

Общие требования к обеспечению информационной безопасности включают в себя:

· принятие решения о необходимости защиты информации, содержащейся в информационной системе;

· определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

· определение требований к системе защиты информации информационной системы;

· классификацию информационной системы по требованиям защиты информации.

В рамках данной работы проведен анализ системы информационной безопасности частной стоматологической клиники на основе полученных данных об информационной системе, ее аудите, а также типе данных, обрабатываемых в ИС.

Этапами построения архитектуры системы информационной безопасности на предприятиях являются:

· аудит информационной системы;

· сверка нормативно-правовых актов предприятия на соответствие с действующим законодательством;

· проектировка технических аспектов системы информационной безопасности;

· установка технических средств защиты информации в соответствии с моделью угроз безопасности.

1.2 Угрозы информационных систем и их классификации

Описанная ниже классификация распространяется на все действующие и проектируемые автоматизированные системы организаций, предприятий и учреждений, обрабатывающих конфиденциальную информацию.

Автоматизированные системы обработки информации, в целях разграничения уровней защиты, делятся на классы, в зависимости от важности обрабатываемой информации, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала применяются различные подходы к выбору методов и средств защиты. Группировка АС в различные классы производится по следующим определяющим признакам:

· режим обработки данных в АС - индивидуальный или коллективный.

· наличие в АС информации различного уровня конфиденциальности;

· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенными минимальными требованиями по защите. Выбор класса защищенности АС определяется специалистами по защите информации.

Группировка АС в различные классы производится по следующим определяющим признакам:

· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

· наличие в АС информации различного уровня конфиденциальности;

· режим обработки данных в АС - коллективный или индивидуальный.

По особенностям обработки информации классы подразделяются на три группы. В пределах каждой группы существует иерархия требований по защите в зависимости от конфиденциальности и ценности информации.

Третья группа объединяет АС, в которых работает один пользователь, имеющий допуск ко всей информации, имеющейся на носителях одного уровня конфиденциальности. Эта группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых все пользователи имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Эта группа содержит два класса - 2Б и 2А.

Первая группа - многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. При этом не все пользователи имеют право доступа ко всей информации. Эта группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

Далее мы рассмотрим классификацию угроз безопасности информации в автоматизированных системах.

Угроза безопасности информации - некое действие, либо событие, которые могут повлечь за собой изменение нормальной работы автоматизированной системы. Данные угрозы, как правило, направлены напрямую на информацию, хранящуюся в автоматизированной системе.

Уязвимость информации - состояние системы, при котором некоторые ее характеристики или части можно использовать для реализации угроз безопасности информации.

Действия нарушителя, направленные на выявление и использование какой-либо уязвимости - атака на информационную систему и это является актом реализации угрозы безопасности информации в автоматизированной информационной системе.

Все нарушения режима информационной безопасности информации, в том числе при ее передаче, можно разделить на 3 типа:

· перехват информации;

· модификация информации;

· подмена данных об авторстве информации.

Последствия данных атак можно встретить повсеместно. С их результатами сталкиваются десятки компаний ежедневно. Поддельные email'ы, подделка сертификатов безопасности, подделка доменных имен, перехват трафика и многие другие атаки наносят вредя предприятиям и информационным сетям, а также информации, которая хранится и/или обрабатывается в них.

Как правило, большая часть кибернетических атак приходит извне. Такие атаки нацелены на элементы внутренней сети, напрямую связанные с сетью Интернет: межсетевые мосты, АРМ, сервера, каналы передачи данных, каналы связи и прочее.

К нынешнему моменту известно довольно большое количество самых различных угроз, связанных с безопасностью информации. Для упорядочивания, следует пользоваться классификациями угроз информационной безопасности. Одна из самых простых классификаций приведена на рис. 1.2.

Рис. 1.2. Общая классификация угроз безопасности

Необходимо провести анализ возможных источников угроз или уязвимостей, способствующих их появлению. Результаты подобного анализа можно рассмотреть на схеме, представленной на рис. 1.3.

Рис. 1.3. Модель реализации угроз информационной безопасности

Одними из основных классификаций угроз является намерения субъекта отношений и тип источника воздействия. Угроза может возникнуть вследствие намеренного или непреднамеренного действия, а также она может быть внешней или внутренней. При разборе угроз конфиденциальной информации, мы сталкиваемся с кражей посредством копирования информации, а также, в основном, с утечками. При разборе аспектов целостности информации, мы сталкиваемся с внедрением ложной информации, искажением информации, подменой подлинности авторства информации. При обеспечении доступности информации, возникает угроза ее блокирования, либо уничтожение как самой информации, так и средств ее обработки.

Чтобы оценить угрозы информационной безопасности сети, необходимо, в первую очередь, определить тип данных, которые используются в ней, определить ее класс. Затем произвести анализ угроз безопасности и разделить с помощью классификаций.

Данные шаги позволят нам более точно расставить приоритеты при построении системы информационной безопасности, поскольку мы сможем ранжировать угрозы по их направленности, а также по степени их значимости.

Основными источниками внутренних отказов являются:

· пренебрежение правилами эксплуатации информационной системы со стороны сотрудников;

· нарушения нормальной работоспособности системы вследствие ошибок пользователей;

· ошибки программного кода;

· технические неполадки;

Наиболее распространенными ошибками в информационных системах, являются непреднамеренные ошибки сотрудников, которые влекут за собой различного рода последствия: от незначительных перебоев системы, до уничтожения целых массивов данных. Подобные угрозы, как правило, возникают именно из-за халатности персонала. Порядка 70% всех угроз информационной безопасности приходится на долю именно непреднамеренных действий сотрудников.

Очевидно, что самый эффективный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль. Для решения данного типа угроз следует вводить строгую регламентацию действий сотрудников.

Для противодействия данному типу угроз необходим жестко регламентировать действия сотрудников в различных ситуациях, дабы избежать форс-мажоров, а также ограничивать их доступ и возможности в системе строго декларированными возможностями в рамках их профессиональных обязанностей.

Остальные угрозы доступности можно классифицировать по компонентам компьютерной сети, на которые нацелены угрозы: отказ пользователей, внутренний отказ сети, либо отказ инфраструктуры.

Касательно пользователей рассматриваются следующие угрозы:

· невозможность работать с системой в силу отсутствия соответствующей подготовки (неумение интерпретировать диагностические сообщения, неумение работать с документацией, недостаток общей компьютерной грамотности и т.п.);

· невозможность работать с системой из-за отсутствия сопутствующей технической поддержки (недостаток документации, отсутствие справочной информации и т.п.);

· нежелание работать с информационной системой (чаще всего проявляется либо при необходимости осваивать новые возможности, либо при расхождении между запросами пользователей и возможностями информационной системы).

По отношению к обеспечивающей инфраструктуре рассматриваются следующие угрозы:

· нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; разрушение или повреждение помещений;

· невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Важно понимать, что несанкционированный доступ к информации тем или иным образом, является одним из главных типов угроз для системы информационной безопасности предприятия. Давайте рассмотрим каким образом реализуется данная угроза:

· физическое проникновение в защищаемые помещения. Защитой от данного типа угроз являются системы контроля управления доступом, системы сигнализации, видеонаблюдения;

· несанкционированный доступ, обусловленный с использованием доступа к сетевым ресурсам. Защитой от данного типа угроз является система сетевой безопасности с использованием специализированного программного обеспечения;

· несанкционированный доступ, связанный с возможностью авторизации в программных комплексах, либо сетевых ресурсах предприятия. Защитой от данного типа угроз является система аутентификации. Источниками угроз в данном случае являются: ошибочные, либо преднамеренные действия операторов, преднамеренные действия посторонних лиц

1.3 Цели и задачи проектной части

Цель проектирования в рамках данной работы является разработка системы информационной безопасности приложений для медицинского учреждения.

Задачи проектирования:

· анализ организационной структуры предприятия;

· анализ структуры автоматизированной системы предприятия;

· изучение существующих технологий защиты персональных данных, определение направлений ее совершенствования;

Специфика работы медицинских учреждений связана с обработкой информации о состоянии здоровья пациентов, что согласно действующим стандартам относит информационную систему к классу ИСПДн - К1. Таким образом, обязательными компонентами системы защиты информации будут являться:

· организационное обеспечение информационной безопасности (наличие ответственных специалистов или подразделения по защите информации);

· обеспечение сохранности носителей персональных данных;

· использование сертифицированных средств защиты информации;

· наличие специалистов, ответственных за обеспечение требований к работе с персональными данными;

· разграничение доступа к системным журналам;

· учет полномочий пользователей в специальной номенклатуре дел, контроль активности учетных записей.

2. Описание предметной области

2.1 Общая характеристика объекта исследования

Объектом исследования в рамках данной выпускной квалификационной работы является частная стоматологическая клиника «Ладент VIP».

Стоматология в Москве, как, в прочем, и любая другая медицинская отрасль, имеет достаточно большую конкуренцию в силу обилия множества частных клиник.

Именно поэтому вопрос о защите информации от утечек и НСД необходимо рассматривать в числе самых первых, ведь в эту информацию входят не только сведения о самих докторах, но и списки пациентов.

На сегодняшний день, общее количество базы пациентов клиники «Ладент VIP» не превышает порога в 100.000 человек и, учитывая общую специфику информации, как было сказано выше, построение системы информационной безопасности будет производиться для ИСПДн - К1. Обоснование присвоения данной категории будет дан далее.

Схема организационной структуры частной стоматологической клиники «Ладент VIP» показана на рис.2.1.

Рис. 2.1. Организационная структура частной стоматологической клиники «Ладент VIP»

Далее необходимо рассмотреть более подробно как происходит учет пациентов для понимания того, какая информация обрабатывается в КС компании «Ладент VIP», а также какая получается на выходе.

Для этого воспользуемся методологией функционального моделирования IDEF0. Ниже показана диаграмма учета пациентов.

Рис. 2.2. Диаграмма учета пациентов

Как показано на рис.2.2, в рамках учета пациентов входным информационным потоком является обращение пациента, которое вкупе с личными данными, вносится в электронном виде в БД клиники для обработки и последующего учета. На основе обработки создается история болезней и назначается врач-специалист, ответственный за проведение всех необходимых лечебных процедур. Все вышеперечисленное проводится в рамках регламентов РФ по здравоохранению, а также внутренних регламентов клиники по проведению медицинских и организационных мероприятий. На выходе мы получаем всю необходимую финансовую информацию по операциям в виде чеков, актов и записей в БД клиники. Так же, происходит обновление истории болезней пациентов с внесением процедур в них. Таким образом, в целом, мы получаем следующие ключевые пункты учета пациентов:

· ведение картотеки пациентов;

· запись на прием пациентов;

· учет процедур;

· ведение истории болезни.

В таблице 2.1 приведены бизнес-процессы частной стоматологической клиники, связанные с обработкой персональных данных.

Таблица 2.1. - Бизнес-процессы, связанные с обработкой персональных данных в условиях частной стоматологической клиники «Ладент VIP»

Бизнес-процесс

Объект защиты информации

Ведение истории болезни

Данные о состоянии здоровья пациента, адресная информация

Ведение картотеки пациентов

Адресная информация, паспортные данные

Проведение медицинских процедур

Данные о состоянии здоровья пациента

Учет кадровых данных работников

Персональные данные сотрудников

Бухгалтерский учет клиники

Данные о финансовом состоянии клиники, коммерчески значимая информация

Компоненты системы защиты информации в частной стоматологической клинике приведены на рисунке 2.3.

Рис. 2.3. Система защиты информации в частной стоматологической клинике

Как показано на рисунке 2.3, система защиты информации организована по линейно-функциональному принципу. В клинике «Ладент VIP» существует слабовыраженный отдел информационной безопасности, входящий в IT отдел. Таким образом, защита информации осуществляется вместе с системными администраторами из IT отдела. В этом и заключается одна из основных проблем данной частной клиник на нынешний момент - именно в отсутствие профильных специалистов по защите информации и выполнение смежных ролей сетевыми администраторами. Необходимо создать группу информационной безопасности в рамках самостоятельного отдела, которая бы выполняла следующие функции:

· разработка локальных нормативных документов в области защиты информации

· ведение журналов, связанных с технологией информационной безопасности

· вопросы организации пропускного и внутриобъектового режима,

· работа комиссий,

· выдача носителей информации, их маркировка,

· расследование инцидентов информационной безопасности

· установка и настройка криптографического ПО;

· установка системы антивирусной защиты;

· установка специализированного программного обеспечения в области защиты информации;

· настройка и обслуживание систем видеонаблюдения, системы контроля управления доступом.

2.2 Характеристика структуры автоматизированной системы клиники

В рамках выполнения данной работы мной было проведено изучение структуры информационной системы частной стоматологической клиники.

В информационной системе частной клиники используется локальная вычислительная сеть Ethernet, в которую включены:

· 30 рабочих станций врачей-специалистов, регистратуры, отдела бухгалтерского учета, специалистов отдела кадров, IT отдела, PR отдела;

· 4 сетевых принтеров;

· 1 файловый сервер.

Соединение осуществляется через роутеры.

Схема локальной сети частной стоматологической клиники приведена на рисунке 2.4.

Системное программное обеспечение основано на:

· серверная операционная система Windows Server 2010, в работе которых используются возможности контроля учетных записей пользователей средствами Active Directory. Применяются политики контроля разграничения доступа пользователей, проводится сбор данных о рабочих станциях; операционные системы Windows XP/7 на рабочих станциях, наличие которых позволяет работать с возможностями Active Directory, а также другими возможностями.

Рис. 2.4. Схема локальной вычислительной сети

Средства защиты сети:

· в качестве антивирусной защиты выбрано решение от АО «Лаборатория Касперского», которое так же состоит в перечне СЗИ от ФСТЭК: Kaspersky EndPoint Security 10.0. Сервер антивирусной защите развернут на файловом сервере, управление антивирусной защитой осуществляется через ПО Kaspersky Administration Kit на сервере.

· Почтовый сервер на базе Lotus от IBM. Позволяет организовывать внутриорганизационный документооборот, а также возможность использования внешних электронных адресов.

· Межсетевой экран ViPNet Coordinator

Схема программной архитектуры частной стоматологической клиники «Ладент VIP» приведена на рисунке 2.5. Особенности функционирования программного обеспечения описаны в таблице 2.3.

По заявке руководства частной стоматологической клиники «Ладент VIP» был проведен аудит информационной системы частной стоматологической клиники, по результатам которого были определены классы обрабатываемых персональных данных, а также класс информационной системы.

Согласно акту классификации персональных данных в частной стоматологической клиники «Ладент VIP» был присвоен класс К1, класс информационной системы - 1Г. В таблице 2.2. приведена схема параметров обработки персональных данных в автоматизированной системе частной стоматологической клиники «Ладент VIP».

Таблица 2.2. Схема параметров обработки персональных данных в автоматизированной системе частной стоматологической клиники «Ладент VIP»

Бизнес-процесс

Технология обработки

Количество ПДн

Тип ПДн

Заключение договора на оказание услуг стоматологического центра

MS Office

~5000

К1

Работа с персоналом

1С: Зарплата и Кадры, ведение личных дел сотрудников

~400

К3

Передача отчетности в налоговые органы и в ПФР

СБИС++, «Налогоплательщик ЮЛ», spu_orb

~400

К3

Работа с банками (передача в банк информации о заработной плате сотрудников мед.учреждения)

Сбербанк - Бизнес Онлайн

~400

К3

Обмен данными с ФОМС, ФСС

Файлы MS Excel

~400

К1

Учет проведенных медицинских процедур

БД Infodent, Sidexis XG

~5000

К1

Работа ресепшен

БД Infodent, Sidexis XG

~5000

К1, К3

В таблице 2.4 приведен перечень сведений конфиденциального характера в частной стоматологической клинике.

Рисунок 2.5. Схема программной архитектуры ООО «Ладент VIP»

Таблица 2.3 - Особенности функционирования программного обеспечения ООО «Ладент VIP»

Название ПО

Платформа, СУБД

Размещение, режим доступа

1С Предприятие: Бухгалтерский учет

1С Предприятие

Файловый сервер

1С Предприятие: Зарплата и Управление Персоналом

1С Предприятие

Файловый сервер, тонкий клиент

СБИС++

Dbase

Файловый сервер

Infodent

MS SQL Server

Файловый сервер

Учет оргтехники

MS SQL Server

Файловый сервер

Sidexis XG

MS SQL Server

Файловый сервер

Таблица 2.4. Перечень сведений конфиденциального характера в ООО «Ладент VIP»

Содержание сведений

Срок действия ограничения

1

2

3

1. Служебные сведения

1.1

Штатные расписания

1.2

Сведения из нормативных актов по вопросам внутренней деятельности

3 года после отмены

1.3

Годовой отчет специалиста по кадрам по воинскому учету и бронированию

Постоянно

2. Сведения, составляющие коммерческую тайну

2.1

Содержание договоров, контрактов, соглашений, протоколов с организациями на выполнение строительных, ремонтных работ, закупку оборудования, программных продуктов, предоставление различных услуг, прежде всего - на конкурсной основе, если условие о конфиденциальности присутствует в самом тексте договора

В соответствии с условиями договора

2.2

Информация, представляемая на рассмотрение конкурсных комиссий по закупке материальных средств и услуги

До окончания торгов

2.3

Сведения, раскрывающие перспективные направления деятельности ООО «Ладент VIP» и др.

10 лет

2.4

Экономические расчеты и прогнозы развития организаций, выбранных для сотрудничества с ООО «Ладент VIP»

10 лет

2.5

Сведения, раскрывающие систему оплаты труда (кроме заработной платы) в ООО «Ладент VIP»

Постоянно

2.6

Сведения о технологии работы с деньгами и ценными бумагами

Постоянно

2.7

Содержание регистров бухгалтерского учёта и внутренней бухгалтерской отчётности

Постоянно

3. Сведения, составляющие банковскую тайну

3 1

Договоры и соглашения, заключенные между ООО «Ладент VIP» и банками

В соответствии с условиями договоров

3.2

Образцы подписей руководства ООО «Ладент VIP» и оттисков печатей для банков

1 год после смены руководства

3.3

Сведения, передаваемые ООО «Ладент VIP» банкам и наоборот, как конфиденциальные и касающиеся взаимоотношений между сторонами

В соответствии с договоренностью

3.4

Расчетно-денежные документы ООО «Ладент VIP» и банков

5 лет

4. Сведения о создании и функционировании информационных технологий

7.1

Проектная, эксплуатационно-техническая документация на Автоматизированную информационную систему ООО «Ладент VIP»

До окончания эксплуатации

7.2

Прикладные программные средства, прошедшие соответствующие проверки (испытания) и переданные в эксплуатацию

До окончания эксплуатации

7.3

Планы перспективного развития сотрудничества с различными организациями по развитию автоматизированной информационной системы

10 лет

7.4

Программы, методики по проведению компьютерного аудита (проверок, испытаний), разработанные в интересах автоматизированной информационной системы

3 года после утверждения новых

7.5

Планы перспективного развития защищенной автоматизированной информационной системы ООО «Ладент VIP», совершенствования технологий обработки информации

10 лет

8. Сведения о системе защиты информации в ООО «Ладент VIP»

8.1

Сведения, раскрывающие принятую систему защиты конфиденциальной информации (используемые методы, способы и средства защиты информации)

Постоянно

8.2

Характеристики, используемых в ООО «Ладент VIP» средств защиты информации

1 год после принятия новых

8.3

Сведения о системе охраны объектов ООО «Ладент VIP» и организации пропускного режима

Постоянно

8.4

Сводные сведения об инженерных коммуникациях зданий ООО «Ладент VIP»

Постоянно

8.5

Сводные данные о системах жизнеобеспечения, видеонаблюдения, охранной и пожарной сигнализации зданий ООО «Ладент VIP»

1 год после коренной реорганизации

8.6

Ключевая, парольная документация средств защиты и повышения достоверности информации, используемых в системе ООО «Ладент VIP»

До замены новыми

8.7

Методика обследования выделенных помещений ООО «Ладент VIP» и оценки степени защищенности информации, обрабатываемой в них

Постоянно

8.8

Результаты инструментального контроля выделенных помещений ООО «Ладент VIP»

Постоянно

8.9

Данные из паспортов-формуляров о состоянии защищенности выделенных помещений

Постоянно

8.10

Документы по эксплуатации средств защиты автоматизированной информационной системы

До замены новыми

8.11

Акты, предписания, выданные по результатам проведенных спец проверок и спец исследований технических средств обработки информации импортного производства

До окончания эксплуатации

8.12

Специальные требования к системе защиты ПЭВМ и автоматизированной информационной системы ООО «Ладент VIP» применительно к установленным для них категории и классу

До окончания эксплуатации

8.13

Информация о порядке разграничения доступа пользователей к информационным ресурсам баз данных

До утверждения нового

8 14

Распорядительная и эксплуатационно-техническая документация обслуживающему персоналу и пользователям информации, защищенной автоматизированной информационной системы

До окончания эксплуатации

8.15

Сведения по результатам стендовых испытаний о степени защищенности средств электронно-вычислительной техники, основным характеристикам средств защиты после их доработки, модернизации, ремонта

До окончания эксплуатации

9. Сведения о руководящих работниках ООО «Ладент VIP»

9.1

Персональные данные из личных дел и базы данных автоматизированной программы 1С «Зарплата и кадры» ООО «Ладент VIP»

3 года после увольнения

Рассмотрев структуру информационной системы ООО «Ладент VIP», можно сделать выводы:

· автоматизированная система медицинского учреждения «Ладент VIP» содержит персональные данные, относящиеся к классу К1;

· обработка персональных данных осуществляется как в автоматизированной, так и в неавтоматизированной форме; в работе организации используются технологии электронного документооборота, включающего информацию, содержащую персональные данные;

· в качестве электронных хранилищ персональных данных выступают: файловые хранилища сервера в виде электронных документов, а также баз данных;

· персональные данные также хранятся на бумажных носителях (данные пациентов, история болезни, данные сотрудников, данные о проведенном медицинском вмешательстве).

2.3 Анализ системы информационной безопасности ООО «Ладент VIP»

Организационные меры защиты информации в ООО «Ладент VIP» включают в себя:

· документационное оформление процессов защиты информации;

· организацию пропускного и внутриобъектового режима;

· организацию защиты от несанкционированного доступа.

В целях обеспечения безопасности информационной системы «Ладент VIP» принимаются меры правового, организационного и технического.

Организационные меры защиты - это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).

В соответствии со сформулированными угрозами, в подразделениях ООО «Ладент VIP» были приняты организационные меры, определенные в локальных документах, перечень которых приведен в таблице 2.4. Каждому из типов угроз сопоставлено технологическое решение, подкрепленное документационным обеспечением.

Таким образом, в подразделениях ООО «Ладент VIP» проведено документационное обеспечение противодействию угрозам конфиденциальности информации при её обработке в автоматизированный информационной системе.

Таблица 2.5. - Документационное обеспечение защиты конфиденциальной информации

Угроза

Технология защиты

Документационное обеспечение

Вредоносная программа

Антивирусное программное обеспечение

«Положение об антивирусной защите в в подразделениях ООО «Ладент VIP»

Вторжение в ИСПДн по информационно-телекоммуникационным сетям

Технология VipNet

«Аппаратный журнал VipNet Coordinator»

Закладка аппаратная

Тестирование аппаратных средств

«Акт ввода в эксплуатацию средств вычислительной техники»

Закладка программная

Тестирование программных средств

«Положение о Фонде Алгоритмов и Программ в в подразделениях ООО «Ладент VIP»

Произвольное копирование баз данных

Разграничение доступа

«Таблицы разграничения доступа к информационным ресурсам в подразделениях ООО «Ладент VIP»

«Инструкция о резервном копировании информационных ресурсов

Накопление данных пользователем ИСПДн

Ограничение прав доступа

«Обязательство о неразглашении информации конфиденциального характера»

Программные ошибки

Информирование разработчиков

«Акт ввода в промышленную эксплуатацию»

Ошибочные действия персонала

Программные средства защиты

«Лист ознакомления пользователя с инструкцией по работе с программой»

Стихийное бедствие, катастрофа

Резервное копирование

«Инструкция о порядке хранения, обращения МНИ»

Компрометация пароля

Смена пароля, расследование причин компрометации

«Инструкция по парольной защите»

В таблице 2.5 приведено распределение обязанностей по специалистам в области защиты конфиденциальности информации в подразделениях ООО «Ладент VIP».

Таблица 2.6. - Функциональные обязанности специалистов в области защиты конфиденциальной информации в подразделениях ООО «Ладент VIP»

Должность

Функции

Ответственность

Сотрудник безопасности IT отдела

Контроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информации

Ответственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности частной клиники (дисциплинарная, административная, уголовная)

Сотрудник безопасности IT отдела

Возглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциям

Ответственность за работу комиссии по обеспечению требований защиты информации

Администратор защиты информации (назначается из числа сотрудников IT отдела)

Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации

Ответственность за организацию защиты информации

Сотрудник безопасности IT отдела

Контроль за выполнением требований защиты информации в возглавляемом отделе.

Ответственность за нарушение требований защиты информации в отделе

Администратор защиты информации

Контроль за выполнением требований защиты информации на рабочем месте

Ответственность за нарушение требований защиты информации

Для ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:

1. Временная инструкция по авторизации пользователей информационной системы ООО «Ладент VIP»

2. Памятка пользователям информационной системы ООО «Ладент VIP» по вопросам информационной безопасности.

3. Памятка руководителям структурных подразделений ООО «Ладент VIP» по вопросам информационной безопасности.

4. Инструкция о порядке учёта, хранения и обращения машинных носителей информации в подразделениях ООО «Ладент VIP».

5. Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ООО «Ладент VIP».

6. Положение о работе с персональными данными работников в подразделениях ООО «Ладент VIP».

7. Положение о порядке отнесения информации в подразделениях ООО «Ладент VIP» к конфиденциальной.

8. Реестр документов, образующихся в деятельности в подразделениях ООО «Ладент VIP», относящихся к утвержденному перечню сведений конфиденциального характера.

При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении».

Перечень документов, регламентирующих деятельность частной клиники в области защиты персональных данных, приведен в таблице 2.6.

Таблица 2.7. - Перечень документов, регламентирующих деятельность ООО «Ладент VIP» в области персональных данных

Наименование документа

Где издано

«Инструкция по пропускному и внутриобъектовому режиму»

Руководство ООО

«Инструкция по авторизации пользователей»

Руководство ООО

Положение о порядке отнесения информацииООО «Ладент VIP» к конфиденциальной

Руководство ООО

Перечень сведений конфиденциального характера, образующихся в результате деятельности ООО «Ладент VIP»

подразделения ООО

Перечень защищаемых информационных и коммуникационных ресурсов локальной вычислительной сети подразделения ООО «Ладент VIP»

подразделения ООО

Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ООО «Ладент VIP»

подразделения ООО

Положение по защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях ООО «Ладент VIP»

подразделения ООО

Памятка пользователям информационной системы по вопросам информационной безопасности

подразделения ООО

Положение о работе с персональными данными работников ООО «Ладент VIP»


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.