Система защиты информации "Хангаласская ЦРБ"

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Введение

Производственную практику проходила в ГБУ РС(Я) «Хангаласской ЦРБ». Практика проводилась с 7 июня по 27 июня 2016 года. Руководителем практики был назначен Владимиров Данил Иванович.

Во время практики студент должен выполнять в полном объеме все поставленные задании.

Целью прохождения практики является реализация полученных в теоретических знаний, умений и навыков. Для достижения поставленных целей при прохождении производственной практики ставились следующие задания:

Участвовать в сборе и обработке материалов для выработки оптимальных решений по обеспечению защиты информации и эффектному использованию средств обнаружения возможных каналов утечки конфиденциальной информации;

Участвовать в разработке программ и методик организации защиты информации на объекте;

Осуществлять планирование и организацию выполнения мероприятий по защите информации;

Участвовать во внедрении разработанных организационных решений на объектах профессиональной деятельности;

Вести учет, обработку, хранение, передачу, использование различных носителей конфиденциальной информации;

Обеспечивать технику безопасности при проведении организационно-технических мероприятий;

Участвовать в организации и проведении проверок объектов информатизации, подлежащих защите;

Проводить контроль соблюдения персоналом требований режима защиты информации;

Участвовать в оценке качества защиты объекта;

Определить перечень сведений, которые могут составлять коммерческую тайну на предприятии. Положение о конфиденциальной информации. Инструкция по работе с документами, содержащими коммерческую тайну;

Рассмотреть структуру службы ДОУ на предприятии;

Ознакомиться с требованиям к служебным помещениям, предназначенным для работы с конфиденциальными документами. При отсутствии таковых требований разработать данные требования;

Рассмотреть оргтехнику на предприятии. Описать программное и аппаратное обеспечение;

Организация работы сейфово-ключного хозяйства;

Формы организации конфиденциального делопроизводства;

Разработать план и организацию выполнения мероприятий по защите информации;

Провести учет, обработку, хранение, передачу, использование различных носителей конфиденциальной информации;

Провести контроль соблюдения персоналом требований режима защиты информации.

В результате изучения дисциплины обучающийся должен иметь практический опыт:

- ведения текущей работы исполнителей с конфиденциальной информацией;

Уметь:

-организовывать работу с персоналом, имеющим доступ к конфиденциальной информации;

-проводить инструктаж персонала по организации работы с конфиденциальной информацией;

- контролировать соблюдение персоналом требований режима защиты информации;

Знать:

- задачи, функции и структуру подразделений защиты информации;

- принципы, методы и технологию управления подразделений защиты информации;

- методы проверки персонала по защите информации;

- процедуру служебного расследования нарушения сотрудниками режима работы с конфиденциальной информации



Характеристика организации

безопасность защита сеть антиспамовый

ГБУ РС (Я) "Хангаласская ЦРБ",зарегистрирована по адресу Республика Саха (Якутия) г.Покровск, ул.Орджоникидзе, д.16, телефон: +7 (41144) 4-31-67, факс: +7 (41144) 4-34-40, e-mail: medpokr@list.ru, Официальныйсайт: Хангаласская ЦРБ678000. ГЛАВНЫЙ ВРАЧ организации ГБУРС(Я) «ХАНГАЛАССКАЯ ЦЕНТРАЛЬНАЯ РАЙОННАЯ БОЛЬНИЦА» Бурнашев Евгений Николаевич.

Основным видом деятельности компании является: Деятельность больничных учреждений широкого профиля и специализированных. Также ГБУ РС (Я) "Хангаласская ЦРБ", БУ работает еще по 8 направлениям.Имеет 999 лицензий.ГБУ РС(Я) «Хангаласская ЦРБ» присвоен ИНН 1431004812, КПП 143101001, ОГРН 1021400942793, ОКПО 01972886

Государственное бюджетное учреждение Республики Саха (Якутия) Хангаласская центральная районная больница (ГБУ РС(Я)Хангаласская ЦРБ), является лечебно-диагностическим и консультативным центром. Оказывает амбулаторно-поликлиническую (как плановую, так и экстренную), и круглосуточную - стационарную, соответствующую самым современным медицинским стандартам, помощь как жителям собственного, так и соседних районов.

На базе Хангаласской ЦРБ предоставляются как бесплатные, в рамках программы обязательного медицинского страхования и Территориальной программы государственных гарантий, так и платные медицинские услуги. В рамках платных медицинских услуг можно получить бытовые и сервисные услуги повышенной комфортности, справку на управление транспортным средством, справку на приобретение и ношение оружия, справку для трудоустройства на работу, а также, получить консультации специалистов и прочие виды услуг.

Хангаласская больница оснащена современным лечебным и диагностическим медицинским оборудованием. В учреждении постоянно внедряются достижения современной науки и техники, профилактические методики. Обслуживание ведут высококвалифицированные специалисты. На базе учреждения созданы выездные бригады врачей специалистов для оказания различных видов медицинской, организационно методической и консультативной помощи.

Хангаласская ЦРБ -- постоянно развивающееся и совершенствующееся лечебно-профилактическое учреждение. В работе организации используются самые современные информационные технологии. Для удобства пациентов в работе широко используется возможность электронной записи к врачу онлайн через международную сеть Интернет при помощи сервиса "Электронная регистратура".

Структура организации

Главный врач - Бурнашев Евгений Николаевич;

Заместитель по ОМР - Мартынова Нина Семеновна;

Заместитель по лечебной работе - Осипова Людмила Львовна;

Заместитель по КЭР - Протодьяконова Надежда Николаевна;

Главный экономист - Платонова Татьяна Робертовна;

Главный бухгалтер - Осипов Геннадий Николаевич;

Статистик - Острельдина Кристина Анатольевна;

Начальник отдела кадров - Капитонова Тамара Валерьевна;

Начальник АХЧ - Слепцов Янослав Николаевич;

Юрист - Торохов Станислав Валерьевич;

Инженер по охране труда - Стручков Александр Иванович;

Старший программист - Владимиров Данил Иванович;

Программист - Данилов Алексей Анатольевич.



Глава I. Теоретическая часть

Обеспечение организации системы безопасности предприятия

Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.

На это подразделение целесообразно возложить решение следующих основных задач:

определение требований к системе защиты информации, ее носителей и

процессов обработки, разработка политики безопасности;

организация мероприятий по реализации принятой политики

безопасности, оказание методической помощи и координация работ по

созданию и развитию комплексной системы защиты;

контроль за соблюдением установленных правил безопасной работы в

АС, оценка эффективности и достаточности принятых мер и

применяемых средств защиты.

Основные функции службы заключаются в следующем:

формирование требований к системе защиты при создании и развитии АС;

участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;

распределение между пользователями необходимых реквизитов доступа к ресурсам АС;

контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

взаимодействие с ответственными за безопасность информации в подразделениях;

регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);

* принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;

* наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.

Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:

* служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

* сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;

* руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;

* численность службы должна быть достаточной для выполнения всех перечисленных выше функций;

* штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;

* сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.

Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права:

* определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;

* получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ;

* участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач);

* участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ;

* контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ.

Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:

* руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;

* аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;

* администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;

* администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;

* ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);

* специалисты по защите информации от утечки по техническим каналам;

* ответственные за организацию конфиденциального (секретного) делопроизводства и др.

Понятие технологии обеспечения информационной безопасности

Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

* соответствие современному уровню развития информационных 4; технологий;

* учет особенностей построения и функционирования различных подсистем АС;

* точная и своевременная реализация политики безопасности организации;

* минимизация затрат на реализацию самой технологии обеспечения безопасности.

Для реализации технологии обеспечения безопасности в АС необходимо:

* наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нормативно - методических и организационно -распорядительных документов) по вопросам ОИБ;

* распределение функций и определение порядка взаимодействия

подразделений и должностных лиц организации по вопросам ОИБ на всех

этапах жизненного цикла подсистем АС, обеспечивающее четкое разделение их полномочий и ответственности;

* наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам ОИБ.

Реализация технологии ОИБ предполагает:

* назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

* строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;

* разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

* реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по информационной безопасности;

* принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

* применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;

* регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организационно-распорядительных документов по вопросам обеспечения безопасности информации;

* четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

* персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

* эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, - требований по обеспечению безопасности информации;

* проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

Организационные (административные) меры регламентируют процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Организация работ подразделений защиты информации

Организационные меры являются той основой, которая объединяет различные меры защиты в единую систему. Они включают:

* разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

* мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

* периодически проводимые (через определенное время) мероприятия;

* постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Технологии защиты компьютеров и сети Wi-Fi от несанкционированного доступа, антивирусной, антиспамовой защиты

В качестве защиты компьютеров от несанкционированного доступа, вирусов используется Антивирус Касперского 6.0, который установлен на всех ПК.

Для обеспечения безопасности сетевых устройств используется следующее:

- защита административного доступа к устройствам (пароли);

- отключение не нужных служб на устройствах;

- настройка административных ролей.

Для обеспечения безопасности Wi-Fi используется:

На сервере:

- пароль администратора.

На точках доступа:

- сеть является скрытой;

- пароль при входе;

- проверка подлинности WPA2-PSK;

- шифрование данных TKIP;

- ключ шифрования.

WPA2 (Wi-FiProtectedAccess) -- представляет собой обновленную программу сертификации устройств беспроводной связи. Плюсами WPA являются усиленная безопасность данных и ужесточенный контроль доступа к беспроводным сетям. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на аппаратном уровне, так и на программном.

В WPA обеспечена поддержка стандартов 802.1X, а также протокола EAP (ExtensibleAuthenticationProtocol, расширяемый протокол аутентификации).

Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi.

Некоторые отличительные особенности WPA:

усовершенствованная схема шифрования RC4

обязательная аутентификация с использованием EAP.

система централизованного управления безопасностью, возможность использования в действующих корпоративных политиках безопасности.

Аутентификация пользователей

Wi-FiAlliance дает следующую формулу для определения сути WPA:

WPA = 802.1X + EAP + TKIP + MIC

Видно, что WPA, по сути, является суммой нескольких технологий.

В стандарте WPA используется Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства, подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена.

Шифрование

TKIP, MIC и 802.1X (части уравнения WPA) внесли свою лепту в усиление шифрования данных сетей, использующих WPA.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость.

TKIP -- протокол целостности временного ключа (TemporalKeyIntegrityProtocol) в протоколе защищённого беспроводного доступа WPA.

В протоколе TKIP предусмотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (MessageIntegrityCode), препятствующей атакующему изменять содержимое передаваемых пакетов (forgery-атака).

Сервер аутентификации, после получения сертификата от пользователя, использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Другим важным механизмом является проверка целостности сообщений (MessageIntegrityCheck, MIC). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

При этом механизмы шифрования, которые используются для WPA и WPA-PSK, являются идентичными. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

Сетевых экранов и безопасных протоколов удаленного доступа к устройству не имеется, т. к. администрацией лицея было подсчитано, что для приобретения необходимого ПО и оборудование нужно потратить около 100 000 рублей, что для Лицея невыгодно (затратно), а обеспечение безопасности очень важно, т.к. Лицей хранит информацию третьей степени секретности.

Администрацией г. Хабаровска было решено, что все общеобразовательные учреждения г. Хабаровска, будут хранить все свои БД и прочую информацию на серверах «Тихоокеанского государственного университета», в котором имеется все необходимое ПО и оборудования, для обеспечения безопасности хранения информации.

Основные методы, силы и средства, используемы для организации защиты информации

Один из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, - совокупность сил и средств предприятия, используемых для организации защиты информации.

Силы и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по её защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу её небольших объёмов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.

Предприятия, работающие с незначительными объёмами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.

Ведущую роль в организации защиты информации на предприятии играет руководитель предприятия, а также его заместитель, непосредственно возглавляющий эту работу.

Руководитель предприятия несёт персональную ответственность за организацию и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесённых к конфиденциальной информации, и утрат носителей информации. Он обязан:

? знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;

? определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;

? проявлять высокую требовательность к персоналу предприятия в вопросах сохранности конфиденциальной информации;

? оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

Заместитель руководителя предприятия обязан постоянно изучать все стороны и направления деятельности предприятия для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.

Разработка системы защиты конфиденциальной информации

Под разглашением КИ понимаются умышленные или неосторожные действия допущенных к КИ лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая работников АО, которым эта информация не была доведена в официально установленном порядке; утечка КИ - это несанкционированное распространение информации за пределы установленного физического пространства.

Комплексная защита КИ имеет целью решение двух задач: защиту права организации на КИ, в том числе относящуюся к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты КИ, образующих систему защиты конфиденциальной информации (СЗКИ)).

СЗКИ дает возможность укрепления экономической безопасности организации, что способствует созданию условий для долгосрочного устойчивого функционирования организации.

Что же такое конфиденциальная информация???

К категории конфиденциальной информации относятся все виды информации ограниченного доступа, защищаемой законом -

* коммерческая,

* служебная,

* личная.

За исключением государственных секретов. (статьи 727, 771, 1032 Гражданского кодекса РФ, ст. 16 Таможенного кодекса РФ, Указ Президента РФ от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера”)

«Коммерческая тайна - вид тайны, включающий информацию, устанавливаемую и защищаемую ее обладателем в любой сфере его коммерческой деятельности, доступ у которой ограничивается в интересахобладателя информации».

Коммерческая тайна - один из главных видов тайн, так как успешность функционирования предприятия по производству продукции или услуг определяется умением вести конкурентную борьбу, а значит, уметь увидеть, за счет чего можно добиться повышения прибыли по сравнению с конкурентами.

К сведениям, составляющим коммерческую тайну, можно отнести любую деловую информацию, кроме ограничений, накладываемых постановлением Правительства РФ “О перечне сведений, которые не могут составлять коммерческую тайну” от 05.12.91г. № 35

Сведения, относящиеся к служебной информации, не являются обычно предметом самостоятельных сделок, однако их разглашение может причинить имущественный ущерб организации и вред ее деловой репутации.

В Федеральном законе от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информации о гражданах - персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Создание системы защиты КИ

Для того чтобы легально заниматься защитой конфиденциальной информации нужно получить лицензию на право осуществления деятельности по технической защите конфиденциальной информации (В соответствии с положением о лицензировании деятельности по технической защите конфиденциальной информации Утвержденным Постановлением Правительства Российской Федерации от 30 апреля 2002 г. N 290).

Для этого нужно выполнить следующие требования:

а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации.

б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации и нормативно-методическими документами по технической защите информации; (пп. "б" в ред. Постановления Правительства РФ от 23.09.2002 N 689)

в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:

а) заявление о выдаче лицензии с указанием: лицензируемой деятельности; наименования, организационно-правовой формы и места нахождения - для юридического лица; фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя;

б) копии учредительных документов и документа, подтверждающего внесение записи о юридическом лице в Единый государственный реестр юридических лиц; (в ред. Постановления Правительства РФ от 06.02.2003 N 64)

в) копия свидетельства о государственной регистрации соискателя лицензии - индивидуального предпринимателя;

г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;

д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии;

е) сведения о квалификации специалистов по защите информации соискателя лицензии.

Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.

Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.

Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления.

Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.

Как Известно, право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определённых сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).

Правовые нормы обеспечения безопасности и защиты информации на любом предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.



Организация работы службы сейфово-ключного хозяйства

Необходимо организовать учет ключей и металлических печатей для опечатывания сейфов и комнат, которые выдаются сотрудникам. К каждому сейфу в комплекте предприятие-изготовитель прилагает три ключа: один ключ выдается сотруднику, запасные экземпляры, хранятся в подразделении, отвечающем за ключное хозяйство. В таких подразделениях обычно превалирует журнальная форма учета выдачи ключей и печатей или заводятся карточки лицевого счета. Для обеспечения максимальной безопасности работы с документами необходимо, чтобы все сотрудники, имеющие доступ к документам, составляющих коммерческую тайну, имели на рабочих местах сейфы.

Такие сейфы в обязательном порядке должны не только закрываться на ключ, но и опломбироваться (мастика, нить, металлическая печать). После опломбирования сейфа сотрудник обязан также опломбировать помещение (если уходит последним) убрать ключи в специальный пенал, опломбировать его. Каждый пенал должен иметь свой номер. Опломбированные пеналы должны сдаваться на пост охраны предприятия под расписку в журнале. В этом случае у сотрудников 9 службы охраны предприятия должен быть список сотрудников, имеющих право на сдачу-получение пронумерованных пеналов с ключами. С учетом специфики подразделения, не следует слишком доверять электронным замкам. Возможно использование и тех и других видов замков. Важно, чтобы сотрудники, имеющие доступ к документам, составляющим коммерческую тайну, не носили с собой ключей в карманах и сумках. При таком подходе к процессу мы увеличиваем риски утечки информации. Да и банальный страх потери ключей, от которой никто не застрахован, может постоянно действовать на нервы сотрудникам. Правильный вариант - на связке ключей сотрудника должна быть только металлическая печатка, никаких ключей от сейфов.

Помещение также должно быть оснащено техническими средствами защиты информации: термодатчиками, средствами видеонаблюдения, и пр. Также необходимы средства для создания помех прослушивания и просмотра информации извне.

В помещениях, предназначенных для хранения конфиденциальных документов, должно находиться достаточное количество тары: спецконтейнеров, мешков, ящиков, в которых можно транспортировать документы.

Место для эвакуации документов должно быть определено заранее, о нем должны знать сотрудники службы ДОУ и службы охраны.



Глава II. Практическая часть

Перечисление выполненных работ

1 день- Знакомства с сотрудниками организации, оснащением и с уставом, локальными актами;

2 день- Создание БД в детской поликлинике, внесение списка пациентов с 10 мая 2016г. по 31 мая 2016г.;

3 день- Создание БД в детской поликлинике на WindowsInternetExplorer, внесение списка МБДОУ детский сад «Брусника» (47 детей с 2010г., 34 детей с 2012г., 21 детей с 2011г., 29 детей с 2013г., 15 детей с 2009г.)

4 день- Создание БД на приложении Диспан (Подсистема мониторинга проведения диспанцеризации детей-сирот и детей находящихся в трудной жизни), ввод карт несовершеннолетних МБДОУ д/с «Брусника»;

5,6,7 день- Подготовка черновика отчёта по производственной практике;

8 день- Создание БД на WindowsInternetExplorer, внесение списка МБДОУ д/с «Сказка» (27 детей 2010г., 27 детей с 2011г., 27 детей с 2012г.)

9 день- Создание БД на приложении Диспан(Подсистема мониторинга проведения диспанцеризации детей-сирот и детей находящихся в трудной жизни), ввод карт несовершеннолетних МБДОУ д/с «Сказка»;

10 день- Создание БД на приложении Диспан(Подсистема мониторинга проведения диспанцеризации детей-сирот и детей находящихся в трудной жизни), ввод карт несовершеннолетних МБДОУ д/с «Ромашка»;

11день- Создание БД на WindowsInternetExplorer, внесение списка МБДОУ д/c «Ромашка» (29 детей с 2010г., 29 детей 2011г.);

12,13 день- Заполнение дневника по практике;

14 день- Создание БД на WindowsInternetExplorer, Внесение списка МБДОУ д/с «Ромашка» (29 детей с 2012г., 29 детей с 2013г.);

15 день- Форматирование компьютера отдела кадров ГБУ РС(Я) «Хангаласской ЦРБ»;

16 день- Переустановка компьютера отдела кадров ГБУРС(Я) «Хангаласской ЦРБ» на Windows 7;

17 день- Форматирование компьютера (моноблока);

18 день- Переустановка компьютера (моноблока) на Windows 7;

19 день- Предоставление черновика отчёта на проверку руководителю практики;

20 день- Оформление чистового варианта отчета по практике, оформление отчета по практике и предоставление его на проверку руководителю практики;

21 день- Сбор документов, подписей и печатей.



Заключение

В период прохождения производственной практики я осуществляла разнообразную деятельность в соответствии с профилем подготовки. Прохождения производственной практики является важным элементом учебного процесса по направлению подготовки «Участие в планировании и организации работ по обеспечению защиты объекта».

Во время прохождения производственной практики я научилась применять полученные в процессе обучения знания, умения и навыки. Получила практический опыт работы в сфере участие в планировании и организации работ по обеспечению защиты объекта. Еще лучше стала пользоваться офисной оргтехникой, с легкостью могу переустановить, форматировать компьютер и занести документы в любую программу.



Список литературы

1) © Copyright 2000-2003 www.sec4all.net.

2) http://asher.ru/security/book/its/08

3) http://hang-crb.ucoz.ru/

4) medpokr@list.ru



Приложение

Размещено на Allbest.ru

...