Разработка и внедрение комплексной системы защиты информации для медицинского учреждения

Размещено на http://www.allbest.ru

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

Введение

Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.

Основание для разработки

Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.

Назначение разработки

Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.

Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.

Требования к КСЗИ

В требования к разработке входит:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- минимизация привилегий по доступу к информации;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- минимизация общих механизмов защиты.

- Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

- Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности страховой компании.

- Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.

Стадии и этапы разработки

Первая стадия доработка и создание нормативно-правовых документов. Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Во вторую стадию входит организационная защита. Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

В третью стадию входит подбор инженерно-технических решений. Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации.

РЕФЕРАТ

Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.

Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.

В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации и внедрения комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность внедрения данной системы.

СОДЕРЖАНИЕ

• ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
• ВВЕДЕНИЕ
• 1. АНАЛИЗ ПРОБЛЕМЫ И МЕТОДОВ ЕЕ РЕШЕНИЯ
• 1.1 Общие сведения о защищаемом объекте
• 1.2 Описание защищаемого объекта информатизации
• 1.3 Функции основных структурных подразделений
• 1.4 Объекты и предметы защиты в страховой компании
• 1.5 Угрозы защищаемой информации
• 1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
• 1.7 Причины дестабилизирующего воздействия на защищаемую информацию в страховой компании
• 1.8 Каналы и методы несанкционированного доступа к защищаемой информации в страховой компании
• 1.9 Вероятная модель злоумышленника
• 1.10 Фактическая защищенность страховой компании "Уникум"
• 1.11 Прошлые случаи кражи в СК
• 1. 12. Недостатки в защите страховой компании
• 1.13 Финансовые возможности страховой компании "Уникум"
• 1.14 Этапы построения КСЗИ для страховой компании
• 1.15 Требования руководящих документов к системе безопасности объекта
• 1.15.1 Требования руководящих документов к системам видеонаблюдения
• 1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
• 1.15.3 Требования нормативно-методических документов по защите информации на объект
• 1.16 Обоснование выбора методов и средств защиты
• 1.17 Выводы
• 2. ОПИСАНИЕ ПОСТАНОВКИ ЗАДАЧ
• 2.1 Постановка задачи
• 2.2. Цель и назначение системы безопасности
• 3. ОПИСАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
• 3.1 Правовая защита
• 3.2 Организационная защита
• 3.2.1 Создание службы защиты информации
• 3.2.2 Проверка лояльности персонала страховой компании
• 3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
• 3.3 Инженерно-техническая защита
• 3.3.1 Физические
• 3.3.2 Выбор аппаратных средств защиты
• 3.3.3 Выбор программных средств защиты
• 3.4 Введение в эксплуатацию системы защиты информации
• 4. АНАЛИЗ ЭФФЕКТИВНОСТИ КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И НАДЕЖНОСТИ ЕЕ ФУНКЦИОНИРОВАНИЯ

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

АС - автоматизированная система.

БД - база данных.

МСЭ - межсетевой экран.

ОС - операционная система.

ПО - программное обеспечение.

СБ - система безопасности.

СОА - система обнаружения атак.

ПС - пожарная сигнализация

ППКОП - прибор приёмно-контрольного охрано-пожарного пункта

ОПС - охрано-пожарная сигнализация

ОТС - охрано-тревожная сигнализация

ИСБ - интегрированная система безопасности

ЛВС - локально вычислительная сеть

СИРД - средства изготовления и размножения документов

ОТСС - основные технические средства и системы

ВТСС - вспомогательные технические средства и системы

ТСОИ - технические средства обработки информации

ФСТЭК - федеральная служба по техническому и экспортному контролю

РД - руководящий документ

СлЗИ - служба защиты информации

ПЭВМ - персональная электронная вычислительная машина

ЛПУ - Лечебно-Профилактическое Учреждение

ЗАО - закрытое акционерное общество

ЭВМ - электронная вычислительная машина

КПП - контрольно-пропускной пункт

ЧОП - частное охранное предприятие

АРМ - автоматизированное рабочее место

СНиП - строительные нормы и правила

КЗ - контролируемая зона

КСЗИ - комплексная система защиты информации

СОТ - система охранного телевидения

ТК - телевизионная камера

СВМ - специальные видеомагнитофоны

АСПИ - автоматизированная система передачи извещений

РСПИ - радиосистемы передачи извещений

ППК - приёмно-контрольный прибор

ТС - тревожная сигнализация

ПУО - пульт центральной охраны

СПИ - система передачи извещений

СОУЭ - система оповещения и управления эвакуацией

УК - уголовный кодекс

ФЗ - федеральный закон

ВВЕДЕНИЕ

Отправной точкой при разработке комплексной системы защиты информации медицинского учреждения, является ясное понимание роли и места системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.

В медицинском учреждении используются большой объем информации.

Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законом №152.

Безопасность медицинского учреждения представляет собой своеобразную многоуровневую систему барьеров, включающих в себя такие меры, как установка различных типов сигнализации, организация наблюдения и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться «тонких» мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы. информация медицинский защита комплексный

Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, неумение, безответственность сотрудников страховой компании. Можно утверждать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем ниже рилпу ошибок в безопасности информации.

С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.

Комплексная система защиты информации строиться на таких составляющих как организационная, правовая, инженерно-техническая защита.

Система так-же должна сохранять целостность данных даже при форс мажорных обстоятельствах, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе нарушающие работу системы.

Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.

1. АНАЛИЗ ПРОБЛЕМЫ И МЕТОДОВ ЕЕ РЕШЕНИЯ

1.1 Общие сведения о защищаемом объекте

Полное официальное наименование фирмы - БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ ОМСКОЙ ОБЛАСТИ "ГОРОДСКАЯ БОЛЬНИЦА № 6". Сокращенное наименование БУЗОО МУЗ ГБ№6.

Зарегистрировано 28 июня 1976 года в Администрации г. Омска.

МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.

Осуществляется следующие виды врачебных услуг:

акушерское дело, акушерство и гинекология (за искл. использования вспомогательных репродуктивных технологий), вакцинация (проведение профилактических прививок), гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология (за искл. кохлеарной имплантации), офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.

1.2 Описание защищаемого объекта информатизации

Объект зашиты БУЗОО МУЗ ГБ№6 относиться к классу 1.

Одно здание.

Штат сотрудников равен 20 человек. По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.

В компании имеется сервер который выполняет функцию файлового-сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.

Площадь здания 1500 м². Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.

Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.

Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.

Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.

В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.

Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.

В коридоре и кабинетах на высоте 2,2м. - 2,4м. смонтированы кабель каналы, с кабелем UTP-8.

В отделах присутствуют: ПЭВМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.

Телефонных аппаратов 18 штук. Тип розеток евророзетка. Тип проводки двухпроводная.

Система электропитания : сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.

1.3 Функции основных структурных подразделений

Основные подразделения медицинского учреждения - это профильные отделения (палаты, койки) стационаров, отделения (кабинеты) поликлиник, лечебно-диагностические (параклинические) и другие подразделения (должности), в которых пациенту обеспечивается непосредственное оказание платных услуг.

Вспомогательные подразделения (исполнители) - это службы, обеспечивающие деятельность основных подразделений, исполнителей, оказывающих платные услуги (административно-хозяйственные и вспомогательные медицинские подразделения).

1.4 Объекты и предметы защиты в медицинском учреждении

Основными объектами защиты в медицинском учреждении являются:

- персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).

- объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с клиентами;

- информация ограниченного доступа;

Медицинская тайна (сведения о пациентах, состоянии их здоровья, результатах исследований);

Персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника [18]).

- защищаемая от утраты общедоступная информация:

- документированная информация, регламентирующая статус учреждения, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)

- информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки)

- материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

- средства защиты информации (Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система сигнализации, антижучки и др.)

- технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов)

Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;

- Личные дела работников в бумажном и электронном (база данных работников) виде;

- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.

Документы, которые имеют конфиденциальный характер и требующие зашиты:

1. Выписки рецептов

2. Документы о направлении на исследования

3. Результаты анализов

4. Документы об уплате стоимости услуг

5. Медицинские карточки пациентов

6. Внутренние приказы и распоряжения

7. Материалы кадрового делопроизводства

8. Персональные данные сотрудников

9. Должностные инструкции по отдельным подразделениям

10. Программный код, разработанный в компании

11. Проектные данные (схемы, чертежи, расчеты, планы работ)

12. Схемы информационных потоков и коммуникаций

13. Архитектура информационной системы

14. Активационные коды на лицензионное ПО

15. Приказ о категорировании и классификации объектов вычислительной техники

16. Приказ о вводе в эксплуатацию ПЭВМ

17. Приказ о введении режима коммерческой тайны на предприятии

18. Положение об отделе администрирования и технического сопровождения информационных систем

19. Положение о группе инженерно-технической защиты информации

20. Положение об охранно-пропускном режиме предприятия

21. Положение о структуре службы безопасности

22. Положение об отделе защиты информации

23. Положение о компьютерной сети поликлиники

24. Положение о системном администрировании компьютерной сети поликлиники

25. Должностные инструкции сотрудников предприятия

26. Трудовые договоры сотрудников, работающих с конфиденциальной информацией

27. Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ

28. Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации

29. Генеральный план развития поликлиники

30. План инвестиций предприятия

31. Бюджет поликлиники

32. Договор подряда на режимное обслуживание клиентов

33. Договоры предоставления услуг

34. Договоры, заключенные с поставщиками оборудования

35. Договоры, заключенные с клиентами

В списке помещений, подлежащих оснащению системой противодействия экономическому шпионажу следует отнести:

- Кабинет главного врача;

- Лаборатория;

- Бухгалтерия;

- Серверная;

1.5 Угрозы защищаемой информации

Схема 1 - Угрозы защищаемой информации в медицинском учреждении

Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся [1]:

1. Утрата сведений, составляющих мадицинскую тайну, коммерческую тайну лечебного учреждения и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;

2. Утечка - несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;

3. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезполиклиники функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.

1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

К источникам дестабилизирующего воздействия на информацию относятся:

люди;

технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;

3. природные явления.



Схема 2 - Источники дестабилизирующего воздействия на защищаемую информацию

Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди. К ним относятся:

сотрудники данного медицинского учреждения ;

лица, не работающие в ЛПУ, но имеющие доступ к защищаемой информации в силу служебного положения (из контролирующих органов государственной и муниципальной власти и др.);

сотрудники посторонних фирм оказывающих услуги;

лиц, для которых защищаемая информация представляет ценность, хакеры.

Эти категории людей подразделяются на две группы:

имеющие доступ к носителям данной защищаемой информации, техническим средствам ее отображения, хранения, обработки, воспроизведения, передачи и системам обеспечения их функционирования и

не имеющие такового.

Самым многообразным этот источник является потому, что ему, по сравнению с другими источниками, присуще значительно большее количество видов и способов дестабилизирующего воздействия на информацию [2].

Самым опасным этот источник является потому, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников - к отдельным формам).

К техническим средствам отображения, хранения, обработки, воспроизведения, передачи информации и средствам связи в медицинском учреждении относятся электронно-вычислительная техника (персональные компьютеры); копировально-множительная техника (ксероксы, принтеры, сканеры); средства видео- и звукозаписывающей и воспроизводящей техники (видеокамеры, диктофоны) и средства телефонной, телеграфной, факсимильной, громкоговорящей передачи информации.

Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации это системы электроснабжения, водоснабжения, теплоснабжения, кондиционирования и вспомогательные электрические и радиоэлектронные средства (электрические часы, бытовые магнитофоны и др.).

Природные явления включают стихийные бедствия и атмосферные явления.

Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям [2].

Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:

1. Непосредственное воздействие на носители защищаемой информации.

2. Несанкционированное распространение конфиденциальной информации.

3. Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.

4. Нарушение режима работы перечисленных средств и технологии обработки информации.

5. Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

Способами непосредственного воздействия на носители защищаемой информации могут быть:

физическое разрушение носителя (поломка, разрыв и др.);

создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т.д.);

удаление информации с носителей (замазывание, стирание, обесцвечивание и др.);

создание искусственных магнитных полей для размагничивания носителей;

внесение фальсифицированной информации в носители;

непреднамеренное оставление их в неохраняемой зоне, чаще всего в общественном транспорте, магазине, на рынке, что приводит к потере носителей [2].

Несанкционированное распространение конфиденциальной информации может осуществляться путем:

словесной передачи (сообщения) информации;

передачи копий (снимков) носителей информации;

показа носителей информации;

ввода информации в вычислительные сети;

опубликования информации в открытой печати;

использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;

потеря носителей информации.

К способам вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования, приводящим к уничтожению, искажению и блокированию, можно отнести:

неправильный монтаж средств;

поломку (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей;

создание аварийных ситуаций для технических средств (поджог, искусственное затопление, взрыв и др.);

отключение средств от сетей питания;

вывод из строя или нарушение режима работы систем обеспечения функционирования средств;

вмонтирование в электросну вычислительную машину (ЭВМ) разрушающих радио- и программных закладок;

нарушение правил эксплуатации систем.

Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:

повреждение отдельных элементов средств;

нарушение правил эксплуатации средств;

внесение изменений в порядок обработки информации;

- заражение программ обработки информации вредоносными программами;

выдача неправильных программных команд;

превышение расчетного числа запросов;

создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;

- передача ложных сигналов - подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;

нарушение (изменение) режима работы систем обеспечения функционирования средств.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.

К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, наводнение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, уничтожению, искажению, блокированию и хищению.

Способами воздействия со стороны и стихийных бедствий и атмосферных явлений могут быть:

- разрушение (поломка);

- затопление;

- сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств;

- нарушение режима работы средств и систем, а также технологии обработки информации [2].

1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении

К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:

стремление получить материальную выгоду (подзаработать);

стремление нанести вред (отомстить) руководству или коллеге по работе;

стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;

стремление продвинуться по службе;

стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;

физическое воздействие (побои, пытки) со стороны злоумышленника;

стремление показать свою значимость.

Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:

неквалифицированное выполнение операций;

халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;

небрежность, неосторожность, неаккуратность;

- физическое недомогание (болезни, переутомление, стресс, апатия).

Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:

- недостаток или плохое качество средств;

низкое качество режима функционирования средств;

перезагруженность средств;

низкое качество технологии выполнения работ.

В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.

1.8 Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении

К числу наиболее вероятных каналов утечки информации можно отнести:

- совместную с другими фирмами деятельность, участие в переговорах;

- фиктивные запросы;

- посещения ЛПУ;

- общения представителей фирмы о характеристиках предоставляемых услуг;

- консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;

- совещания, конференции и т.п.;

- разговоры в нерабочих помещениях;

- обиженных сотрудников фирм;

- технические каналы;

- материальные потоки (транспортировка спецпочты).

При поликлиники защиты информации в медицинском учреждении необходимо учитывать следующие возможные методы и способы сбора информации:

- опрос сотрудников изучаемой учреждения при личной встрече;

- навязывание дискуссий по интересующим проблемам;

- ведение частной переписки со специалистами.

Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран нарушители могут прибегнуть в том числе и к противоправным действиям, шпионажу.

Наиболее вероятно использование следующих способов добывания информации:

- визуальное наблюдение;

- подслушивание;

- техническое наблюдение;

- прямой опрос, выведывание;

- ознакомление с материалами, документами, изделиями и т.д.;

- сбор открытых документов и других источников информации;

- хищение документов и других источников информации;

- изучение множества источников информации, содержащих по частям необходимые сведения.

Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы

Таблица 1 - Классификация возможных каналов утечки информации

Каналы утечки информации с объекта защиты
1	Оптический канал	Окно помещения
2	Радиоэлектронный канал	ПЭВМ
		СИРД
		Телефон
		ВТСС
		ОТСС
		Система ОПС
		Система энергоснабжения и розетки
3	Акустический канал	Теплопровод подземный
		Водопровод подземный
		Стены помещения
		Система центрального отопления
		Вентиляция
4	Материально-вещественный канал	Документы на бумажных носителях
		Персонал предприятия
		Твердотельные накопители

Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации в БУЗОО МУЗГБ №6.

1.9 Вероятная модель злоумышленника

Медицинское учреждение работает с клиентами которые предоставляют всю необходимую информацию, в результате обладая этой информацией ЛПУ обязано не допустить попадания её к третьим лицам. Утечка информации из нашего учреждения может нанести серьезный урон не только самой себе, но и клиентам.

Потенциальными злоумышленниками могут быть, и недобросовестные клиенты, и сотрудники фирмы, а так же лица заинтересованные в получении конфиденциальной информации.

Если угроза исходит от лиц, не являющиеся сотрудниками медицинского учреждения, то возможность проникновения в выделенное помещение исключается, во-первых, выделенное помещение оборудовано сигнализацией, а так же заперто на хорошую железную дверь, ключ к которой находится под пристальным наблюдением охраны. Дверь постоянно запирается, если выделенное помещение пустует.

Для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему поликлиники изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, возможен так же случай запугивания сотрудников.

Для исключения возможности несанкционированного доступа к данным сотрудниками поликлиники на двери выделенного помещения установлен электронный считыватель.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники учреждения, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

1.10 Фактическая защищенность медицинского учреждения

В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:

Организационные мероприятия:

1. Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.

2. Во все помещения здания имеет доступ лишь персонал поликлиники и пациенты.

3. Посетители, ожидающие приема, находятся в коридоре.

4. Вход людей в здание осуществляется через главный вход. Охрана на входе отсутствует, никаких СКУД не установлено.

5. Вход людей в помещение БУЗОО МУЗГБ №6 осуществляется через двустворчатую пластиковую дверь.

Правовые мероприятия:

1. Инструкции сотрудников, ответственных за защиту информации

2. Утверждены должностные обязанности руководителей, специалистов и служащих предприятия

Инженерно-технические меры:

1. Во всех помещениях поликлиники установлены извещатели пожарной сигнализации

2. Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией

Программно-аппаратные меры:

1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение - MS Office 2003, антивирусное программное обеспечение - Dr. Web 6.0.

2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.

3. Пакет Microsoft Office; Интернет-шлюз UserGate.

4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.

5. Установлен сервер на основе OS Server 2003.

5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.

Инженерно-техническая укрепленность объекта защиты

В соответствии с руководящий документ (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.

В защищаемом помещении конфиденциальная информация обрабатывается на ПЭВМ, а также хранится на открытых стеллажах на материальном носителе (бумаге). Отсюда следует, что помещение должно иметь 2 категорию защищенности:

- вторая категория - помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.

К таким помещениям на объекте защиты относится, отдел юридический, кабинет директора, секретаря, лаборатория, кабинет старшей медсестры.

В соответствии с требованиями РД 78.36.003-2002 объект защиты соответствует классу Б II. Согласно этому строительные конструкции объекта должны соответствовать первому классу защищенности, то есть кирпичные перегородки должны быть толщиной 138 мм по строительным нормам и правилам (СНиП) III-17-78, а железобетонные конструкции толщиной 160 мм по ГОСТ 9561-91. Как уже указывалось выше, толщина кирпичной кладки внутри объекта защиты составляет 1 кирпич, что равно 250мм, а железобетонные блоки имеют ширину 200 мм. То есть строительные конструкции удовлетворяют первому классу защищенности.

Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.

Оконные конструкции так же удовлетворяют требованиям класса Б II.

Основная проблема предприятия:

1.11 Прошлые случаи кражи в СК

Случаев кражи информации зафиксировано не было. Также не было зафиксировано никаких инцидентов, так или иначе указывающих на кражу.

1.12 Недостатки в защите страховой компании

Внешние недостатки:

- недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

Внутренние недостатки:

- недостаточное внимание к обеспечению защиты информации со стороны руководства (нет отдельной службы защиты информации);

- довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников фирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);

- полное отсутствие разграничения доступа

- Сервер, на котором хранится база даных имеет прямой доступ в интернет.

- недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в страховой компании (в данный момент в штате нет ни одного специалиста по защите информации).

- Система кондиционирования, состоящая из 1-го кондиционера не защищена

- Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ)

- Генераторы электромагнитного шума в помещении не установлены

- Окна организации выходят во двор.

- Отсутствует защита телефонных, а так же UTP-8 линий.

- Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.

- Нет документа, четко устанавливающего порядок конфиденциального документооборота в организации, требования к составлению и оформлению конфиденциальных документов, а также к обработке. Не ведется учет объема конфиденциального документооборота.

- Медицинское учреждение не имеет в своей структуре службы безопасности.

- Не эффективная система конфиденциального делопроизводства в организации.

- На предприятии существуют устаревшие методы и принципы организации работы с документами.

Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации.

1.13 Финансовые возможности страховой компании "Уникум"

Руководство страховой компании готово потратить серьёзную сумму в размере до 800 тысяч рублей на комплексную систему защиты информации, но с одним условием что бы были соблюдены следующие принципы:

- простота защиты;

- приемлемость защиты для пользователей;

- подконтрольность системы защиты;

- постоянный контроль за наиболее важной информацией;

- минимизация привилегий по доступу к информации;

- независимость системы управления для пользователей;

- устойчивость защиты во времени и при неблагоприятных обстоятельствах;

- минимизация общих механизмов защиты.

1.14 Этапы построения КСЗИ для страховой компании

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

- обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;

- предотвратить кражу и утечку, а так же любую порчу конфиденциальной информации;

- документировать процесс защиты тайны, чтобы в случае попыток незаконного завладения любой нежелательной информацией для учреждения можно было защитить свои права юридически и наказать нарушителя.

Планируемые мероприятия должны:

- способствовать достижению определенных задач, соответствовать общему замыслу;

- являться оптимальными.

- Не должны:

- противоречить законам, требованиям руководителя организации;

- дублировать другие действия.

Правовая защита - специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.

Кроме того, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.

Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

Организационную защиту обеспечивает:

- Организация режима охраны, работы с кадрами, документами;

- Использование технических средств безопасности;

- Использование информационно-аналитической работы по выявлению угроз.

Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации.

Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

- Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

- Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

- Программные средства.

1.15 Требования руководящих документов к системе безопасности объекта

1.15.1 Требования руководящих документов к системам видеонаблюдения

Одним из основных руководящих документов включающих требования к системам видеонаблюдения является РД 78.36.003-2002. Этот документ включает требования изданных ранее изданных руководящих документов. Рассмотрим основные его положения, касающиеся систем видеонаблюдения.

Согласно РД 78.36.003-2002 системы охранного телевидения (СОТ) должны обеспечивать передачу визуальной информации о состоянии охраняемых зон, помещений, периметра и территории объекта в помещение охраны. Применение охранного телевидения позволяет в случае получения извещения о тревоге определить характер нарушения, место нарушения, направление движения нарушителя и определить оптимальные меры противодействия. Кроме того, система охранного телевидения позволяет проводить наблюдение охраняемых зон объекта.

В состав СОТ, согласно ГОСТ Р 51558-2000 входят:

Обязательные устройства для всех СОТ:

­ телевизионная камера (ТК);

­ видеомонитор;

­ источник электропитания, в том числе резервный;

­ линии связи.

Дополнительные устройства для конкретных СОТ:

­ устройство управления и коммутации видеосигналов;

­ обнаружитель движения;

­ видеонакопитель.

На объекте ТК следует оборудовать:

­ периметр территории;

­ КПП;

­ главный и служебные входы;

­ помещения, коридоры, по которым производится перемещение денежных средств и материальных ценностей;

­ помещения, в которых непосредственно сосредоточены материальные ценности, за исключением хранилищ ценностей;

­ другие помещения по усмотрению руководства (собственника) объекта или по рекомендации сотрудника подразделения вневедомственной охраны.

Р 78 36.008-99 определяет общие требования с системам видеонаблюдения:

1. Условия эксплуатации:

­ в закрытых отапливаемых помещениях;

­ в закрытых неотапливаемых помещениях;

­ на улице под навесом;

­ на открытом воздухе;

­ в особых условиях (повышенная влажность, запыленность, вибрация).

2. Безопасность:

­ пожарная безопасность;

­ электробезопасность;

­ заземление;

­ отсутствие вредного влияния на здоровье пользователей и лиц, находящихся на объекте.

3. Надежность:

­ средняя наработка на отказ;

­ среднее время восстановления работоспособности;

­ средний срок службы;

­ гарантия исполнителя.

4. Продолжительность работы:

­ непрерывная круглосуточная работа;

­ работа в дневное время;

­ работа в ночное время;

­ периодическое включение.

5. Электропитание:

­ номинальные значения и допустимые отклонения напряжения и частоты в сети переменного тока;

­ категория энергоснабжения объекта или его отдельных зон;

­ способы резервирования питания;

­ переход на резервное питание и обратно - автоматический/ручной;

­ продолжительность работы от источника резервного питания в дежурном и тревожном режимах;

­ сетевые фильтры.

6. Техническое обслуживание и ремонт:

­ организация, проводящая техническое обслуживание и ремонт;

­ виды, состав и периодичность выполнения работ;

­ наличие и состав "холодного" резерва;

­ переход на резерв - автоматический или путем замены блоков, модулей.

7. Возможности расширения системы охранного телевидения:

­ свободные входы для ТК;

­ свободные выходы для видеомониторов/видеомагнитофонов;

­ интеграция с системами сигнализации, контроля и управления доступом;

­ интеграция с телеметрической системой ТК;

­ без нарушения работоспособности смонтированной СОТ;

­ с выключением смонтированной СОТ.

8. Состав документации:

­ спецификация оборудования с указанием его стоимости;

­ структурные (скелетные) схемы;

­ схемы (планы) размещения компонентов СОТ с указаниями по их монтажу;

­ схемы (планы) размещения источников охранного (дежурного) освещения с указанием мощности и типа (лампы накаливания, люминесцентные лампы, инфракрасные прожекторы);

­ схемы электрических соединений;

­ схемы прокладки линий связи и электропроводок;

­ схемы электрические принципиальные подключения оборудования;

­ техническое описание и инструкция по эксплуатации СОТ;

­ документация, поставляемая фирмой-изготовителем в комплекте с оборудованием, на русском языке.

Учет требований и рекомендаций руководящих документов позволит создать надежную систему видеонаблюдения.

1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации

РД 78.36.003-2002 предусматривает требования к системам охранной сигнализации.

Защита периметра территории и открытых площадок.

Технические средства охранной сигнализации периметра должны выбираться в зависимости от вида предполагаемой угрозы объекту, помеховой обстановки, рельефа местности, протяженности и технической укрепленности периметра, типа ограждения, наличия дорог вдоль периметра, зоны отторжения, ее ширины.

Охранная сигнализация периметра объекта проектируется, как правило, однорубежной.

Для усиления охраны, определения направления движения нарушителя, блокировки уязвимых мест следует применять многорубежную охрану.

Технические средства охранной сигнализации периметра могут размещаться на ограждении, зданиях, строениях, сооружениях или в зоне отторжения. Охранные извещатели должны устанавливаться на стенах, специальных столбах или стойках, обеспечивающих отсутствие колебаний, вибраций.

В качестве пультов внутренней охраны могут использоваться ППК средней и большой емкости (концентраторы), СПИ, автоматизированные системы передачи извещений (АСПИ) и радиосистемы передачи извещений (РСПИ). Пульты внутренней охраны могут работать как при непосредственном круглосуточном дежурстве персонала на них, так и автономно в режиме "Самоохраны".

Установка охранных извещателей по верху ограждения должна производиться только в случае, если ограждение имеет высоту не менее 2 м.

На КПП, в помещении охраны следует устанавливать технические устройства графического отображения охраняемого периметра (компьютер, световое табло с мнемосхемой охраняемого периметра и другие устройства).

Все оборудование, входящее в систему охранной сигнализации периметра должно иметь защиту от вскрытия.

...