Разработка и внедрение комплексной системы защиты информации для медицинского учреждения

Открытые площадки с материальными ценностями на территории объекта должны иметь предупредительное ограждение и оборудоваться объемными, поверхностными или линейными извещателями различного принципа действия.

Защита здания, помещений, отдельных предметов.

Техническими средствами охранной сигнализации должны оборудоваться все помещения с постоянным или временным хранением материальных ценностей, а также все уязвимые места здания (окна, двери, люки, вентиляционные шахты, короба и т. п.), через которые возможно несанкционированное проникновение в помещения объекта.

Объекты подгрупп AI, AII и БII оборудуются многорубежной системой охранной сигнализации, объекты подгруппы БI - однорубежной.

Первым рубежом охранной сигнализации, в зависимости от вида предполагаемых угроз объекту, блокируют:

­ деревянные входные двери, погрузочно-разгрузочные люки, ворота - на "открывание" и "разрушение" ("пролом");

­ остекленные конструкции - на "открывание" и "разрушение" ("разбитие") стекла;

­ металлические двери, ворота - на "открывание" и "разрушение",

­ стены, перекрытия и перегородки, не удовлетворяющие требованиям настоящего Руководящего документа или за которыми размещаются помещения других собственников, позволяющие проводить скрытые работы по разрушению стены - на "разрушение" ("пролом"),

­ оболочки хранилищ ценностей - на "разрушение" ("пролом") и "ударное воздействие";

­ решетки, жалюзи и другие защитные конструкции, установленные с наружной стороны оконного проема - на "открывание" и "разрушение";

­ вентиляционные короба, дымоходы, места ввода/вывода коммуникаций сечением более 200x200 мм - на "разрушение" ("пролом");

Защита персонала и посетителей объекта.

Для оперативной передачи сообщений на пульт центральной охраны (ПЦО) и/или в дежурную часть органов внутренних дел о противоправных действиях в отношении персонала или посетителей (например, разбойных нападениях, хулиганских действиях, угрозах) объект должен оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками, радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и другими устройствами.

Система тревожной сигнализации организуется "без права отключения".

Устройства ТС на объекте должны устанавливаться:

­ в хранилищах, кладовых, сейфовых комнатах;

­ в помещениях хранения оружия и боеприпасов;

­ на рабочих местах кассиров;

­ на рабочих местах персонала, производящего операции с наркотическими средствами и психотропными веществами;

­ в кабинетах руководства организации и главного бухгалтера;

­ у центрального входа и запасных выходах в здание;

­ на постах и в помещениях охраны, расположенных в здании, строении, сооружении и на охраняемой территории;

­ в коридорах, у дверей и проемов, через которые производится перемещение ценностей;

­ на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах);

­ в других местах по требованию руководителя (собственника) объекта или по рекомендации сотрудника вневедомственной охраны.

Ручные и ножные устройства ТС должны размещаться в местах, по возможности незаметных для посетителей. Руководители, ответственные лица, собственники объекта совместно с представителем подразделения вневедомственной охраны определяют места скрытой установки кнопок или педалей тревожной сигнализации на рабочих местах сотрудников.

Руководство объекта, сотрудников службы безопасности и охраны следует оснащать мобильными устройствами ТС, работающими по радиоканалу (радиокнопками или радиобрелоками).

Места хранения денежных средств, драгоценных металлов, камней и изделий из них (столы операционно-кассовых работников, металлические шкафы или сейфы, кассовые аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть оборудованы специальными техническими средствами (ловушками), формирующими сигналы тревоги без участия персонала при попытках нарушителя завладеть ценностями. Указанные технические средства должны включаться в шлейфы тревожной сигнализации объекта.

Организация передачи информации о срабатывании сигнализации.

Передача извещений о срабатывании охранной сигнализации с объекта на ПЦО может осуществляться с ППК малой емкости, внутреннего пульта охраны или устройств оконечных система передачи извещений (СПИ).

Количество рубежей охранной сигнализации, выводимых на ПЦО отдельными номерами, определяется совместным решением руководства объекта и подразделения вневедомственной охраны исходя из категории объекта, анализа риска и потенциальных угроз объекту, возможностей интеграции и документирования ППК (внутренним пультом охраны или устройством оконечным) поступающей информации, а также порядком организации дежурства персонала охраны на объекте.

Минимально необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего охраняемого объекта должно быть, для подгруппы.

БI - один объединенный рубеж (первый - периметр);

AI, БII - два объединенных рубежа (первый - периметр и второй - объем).

Кроме того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые, оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.

При наличии на объекте пульта внутреннего охраны с круглосуточным дежурством собственной службы безопасности или частного охранного учреждения, на ПЦО выводятся:

­ один общий сигнал, объединяющий все рубежи охранной сигнализации объекта за исключением рубежей специальных помещений объекта;

­ рубежи охранной сигнализации (периметр и объем) специальных помещений.

При этом должна быть обеспечена регистрация всей поступающей информации каждого рубежа охраны помещений на внутреннем пульте охраны.

С охраняемых объектов "автодозвон" должен осуществляться по двум и более телефонным номерам.

Для исключения доступа посторонних лиц к извещателям, ППК, разветвительным коробкам, другой установленной на объекте аппаратуры охраны должны приниматься меры по их маскировке и скрытой установке. Крышки клеммных колодок данных устройств должны быть опломбированы (опечатаны) электромонтером ОПС или инженерно-техническим работником подразделения вневедомственной охраны с указанием фамилии и даты в технической документации объекта.

Распределительные шкафы, предназначенные для кроссировки шлейфов сигнализации, должны закрываться на замок, быть опломбированы и иметь блокировочные (антисаботажные) кнопки, подключенные на отдельные номера пульта внутренней охраны "без права отключения", а при отсутствии пульта внутренней охраны - на ПЦО в составе тревожной сигнализации.

При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 - «Нормы и правила проектирования установок пожаротушения и сигнализации».

Здание ЗАО «Уникум»» относится к административным сооружениям, поэтому его помещения при применении автоматической пожарной сигнализации, следует оборудовать дымовыми пожарными извещателями.

Дымовой пожарный извещатель - пожарный извещатель, реагирующий на частицы твердых или жидких продуктов горения и (или) пиролиза в атмосфере.

В каждом защищаемом помещении следует устанавливать не менее двух пожарных извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.

Дымовые пожарные извещатели рекомендуется применять для оперативного, локального оповещения и определения места пожара в помещениях, в которых одновременно выполняются следующие условия:

­ основным фактором возникновения очага загорания в начальной стадии является появление дыма;

­ в защищаемых помещениях возможно присутствие людей.

Такие извещатели должны включаться в единую систему пожарной сигнализации с выводом тревожных извещений на прибор приемно-контрольный пожарный, расположенный в помещении дежурного персонала. Прибор приемно-контрольный пожарный - это устройство, предназначенное для приема сигналов от пожарных извещателей, обеспечения электропитанием активных пожарных извещателей, выдачи информации на световые, звуковые оповещатели и пульты централизованного наблюдения, а также формирования стартового импульса запуска прибора пожарного управления.

Ручной пожарный извещатель - устройство, предназначенное для ручного включения сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения [22].

Ручные пожарные извещатели следует устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из здания.

Но эффективная система пожарной сигнализации должна обязательно включать в себя систему оповещения людей о пожаре.

Система оповещения и управления эвакуацией (СОУЭ) - комплекс организационных мероприятий и технических средств, предназначенный для своевременного сообщения людям информации о возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна функционировать в течение времени, необходимого для завершения эвакуации людей из здания.

Здание рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями (сиреной или тонированным сигналом).

Для обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в защищаемом помещении.

На внешней стене здания перед входом следует расположить комбинированный, светозвуковой оповещатель.

1.15.3 Требования нормативно-методических документов по защите информации на объект

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений

Статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.

Статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Современный в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).

Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

­ статья 272. Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами на конфиденциальность)

­ статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. (имеет дело с вредоносным ПО)

­ статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ)

Включение в сферу действия уголовный кодекс (УК) Российской Федерации (РФ) вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информационных технологиях и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

1.16 Обоснование выбора методов и средств защиты

В плане правовой защиты, в ЛПУ обязан иметься рад нормативно-правовых документов:

- правила внутреннего распорядка служащих предприятия;

- должностные обязанности руководителей, специалистов и служащих предприятия;

- Положение о конфиденциальной информации;

Необходимо разработать такой список нормативно-правовой документации :

- Устав;

- коллективный трудовой договор;

- трудовые договоры с сотрудниками предприятия;

- договорные обязательства.

- Перечень сведений, составляющих конфиденциальную информацию;

- договорное обязательство о неразглашении коммерческой тайны;

- Акт о выделении к уничтожению документов и дел

- Приложение к заявлению об увольнении

- Подписка о сохранении коммерческой тайны

- Обязательства работника о сохранении коммерческой тайны.

- Обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну

- Система допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;

По организационной стороны в связи созданием службы защиты информации (СлЗИ) необходимо разработать такие документы:

- Положение о СлЗИ;

- Должностные инструкции сотрудников СлЗИ.(начальник службы безопасности, инженер по защите информации, начальник отдела конфиденциального делопроизводства);

- Инструкция по защите конфиденциальной информации;

СлЗИ будет выполнять ряд функций необходимых по поддержанию надлежащего уровня КСЗИ.

Так как на данный момент у страховой компании уже были такие технические средства как :

­ Датчики дыма

­ Пропускная система (вход в здание)

­ Модуль пожаротушения

1.17 Выводы

В результате анализа медицинского учреждения можно сделать определенные выводы.

Защита на данный момент у медицинского учреждения есть, но она является не достаточной. С самой лучшей стороны выглядит ситуация с програмнно-апаратными средствами, так как организована необходимая защита, но ёё тоже следует доработать. Намного хуже обстоят дела с организационными, и инженерно-технические применяемыми мерами в медицинском учреждении. Правовая база строго регламентируется законами, и доработок не требует.

Для организации эффективной защиты от различных преднамеренных угроз необходимо четко представлять, что намеривается сделать злоумышленник. Для совершения преступления необходимо наличие одновременно трех составляющих - желания, способности и возможности. Соответственно, для предотвращения преступления необходимо убрать один из этих «необходимых, но недостаточных» элементов. Применяя КСЗИ разработанную для охраняемого объекта, можно существенно снизить или устранить две составляющие - желание и возможности.

Следует признать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Чем меньше возможность человека влиять на систему, тем ниже риск ошибок и саботажа. Предлагаемая современная интеллектуальная система безопасности будет сводить это влияние к минимуму.

Также при выборе технических средств было уделено особое внимание надежности. Без этого система попросту не эффективна. Так как ложные тревоги являются неизбежным "злом" при эксплуатации. Интенсивность ложных срабатываний связана с надежностью, принципом действия и режимом использования технического средства.

Возможности злоумышленников тоже прогрессируют чрезвычайно быстро. И поэтому в предлагаемой КСЗИ учтена возможность модернизации, «наращивании» до более совершенного уровня. Внимание коснулось и затраты на охранные мероприятия которые должны быть соизмеримыми с возможными убытками от преступных посягательств.

Результатом внедрения комплексной системой защиты информации будет являться :

- улучшенная организационная структура системы защиты информации в медицинском учреждении, ее кадровое обеспечение;

- повыситься оснащенность медицинского учреждения высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;

Так же планируется улучшить имеющуюся систему обработки конфиденциальных данных, в результате доработки :

- улучшится стабильность, а так же быстродействие системы. Повысится удобство администрирования.

Предлагаемая комплексная система защиты информации, а в частности входящие в неё различные меры защиты, обеспечат необходимый уровень защиты конфиденциальной информации.

В результате будет создана система, соответствующая задачам обеспечения защиты информации в медицинском учреждении, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности медицинского учреждения.

2. ОПИСАНИЕ ПОСТАНОВКИ ЗАДАЧ

2.1 Постановка задачи

К задачам защиты информации в медицинском учреждении относятся :

1. Обеспечение деятельности медицинского учреждения режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной, в зависимости от нужд и прав. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать медицинскому учреждению возможность функционировать так же быстро и оправдывать затраты средств на защиту информации.

2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности медицинского учреждения.

4. Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.

2.2 Цель и назначение системы безопасности

Целями и назначением системы безопасности в медицинском учреждении являются:

- предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и врачебной тайны);

- предотвращение угроз безопасности личности и медицинского учреждения;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение, конфиденциальности документированной информации в соответствии с законодательством.

3. ОПИСАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

В комплексную систему защиты информации входит:

Правовая защита

Правовое обеспечение системы защиты информации включает:

- Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;

- Формулирование и доведение до сведения всего персонала страховой компании (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации.

Организационная защита

Организационная защита обеспечивает:

- организацию охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

- Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);

- Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа

- Программные средства.

3.1 Правовая защита

Согласно документам, регламентирующим деятельность в области защиты информации :

Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Указанным Законом установлен порядок обработки персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (гл. 14), согласно которому работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Положение о неразглашении персональных данных содержится и в Федеральном законе от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния» (в ред. от 18.07.2006), в ст. 12 которого говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.

Уголовный кодекс Российской Федерации (ст. 137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан.

Соблюдение врачебной тайны

1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.

3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.

4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;

5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;

7) в целях расследования несчастного случая на производстве и профессионального заболевания;

8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

9) в целях осуществления учета и контроля в системе обязательного социального страхования;

10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.

1. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» (в ред. от 23.09.2005) определяет служебную тайну как служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

2. Постановлением Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» установлен порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Положением установлено, что на документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования». Положение также определяет порядок изготовления, учета документов ограниченного распространения и организации их документооборота.

Сведения, связанные с коммерческой деятельностью, доступ к которым ограничивается (коммерческая тайна).

Гражданском кодексе Российской Федерации (ст. 139) и Федеральном законе от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (в ред. от 24.07.2007). Закон трактует коммерческую тайну как конфиденциальность информации, позволяющую ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (ст. 3).

Закон «О коммерческой тайне» устанавливает виды информации, которая не может составлять коммерческую тайну. Это информация, содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; содержащаяся в документах, дающих право на осуществление предпринимательской деятельности; о составе имущества государственного или муниципального унитарного учреждения, государственного учреждения и об использовании ими средств соответствующих бюджетов; о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, о наличии свободных рабочих мест и др. (ст. 5).

Данный Закон устанавливает меры организационного характера, обеспечивающие защиту документов, содержащих коммерческую тайну, от несанкционированного доступа. В том числе законом установлен гриф ограничения доступа к документам, содержащим коммерческую тайну, - «Коммерческая тайна».

На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации на предприятии независимо от его формы собственности и категории защищаемых сведений. Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации должно включать в себя комплекс внутренней нормативно-организационной документации, в которую могут входить такие документы учреждения, как:

На данный момент в организации уже был такой список нормативно-правовой документации :

- правила внутреннего распорядка служащих предприятия;

- должностные обязанности руководителей, специалистов и служащих предприятия.

- инструкции пользователей информационно-вычислительных сетей и баз данных;

- Положение о коммерческой тайне;

- Положение о защите персональных данных;

- Положение о конфиденциальной информации;

- инструкции администраторов ИВС и БД;

Необходимо разработать такой список нормативно-правовой документации:

- Устав;

- коллективный трудовой договор;

- трудовые договоры с сотрудниками предприятия;

- памятка сотрудника о сохранении коммерческой или иной тайны;

- Перечень сведений, составляющих конфиденциальную информацию;

- Договорное обязательство о неразглашении коммерческой тайны;

- Акт о выделении к уничтожению документов и дел;

- Приложение к заявлению об увольнении;

- Обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;

- Система допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;

Для организации Службы защиты информации (СлЗИ) такие документы:

- Положение о СлЗИ;

- Должностные инструкция начальник службы безопасности;

- Должностные инструкция инженер по защите информации;

- Должностные инструкция начальник отдела конфиденциального делопроизводства;

- Инструкция по защите конфиденциальной информации;

К уже существующему уставу страховой компании необходимо внести в устав следующие дополнения:

-- страховая компания имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;

-- обязано обеспечить сохранность коммерческой тайны;

-- состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем страховой компании;

-- имеет право не предоставлять информацию, содержащую коммерческую тайну;

-- руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

-- создавать организационные структуры по защите коммерческой тайны;

-- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

-- включать требования по защите коммерческой тайны в договора по всем видам деятельности;

-- требовать защиты интересов фирмы перед государственными и судебными органами;

-- распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.

Раздел «Конфиденциальная информация»:

Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение этих дополнений дает право администрации:

- создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

- включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);

- требовать защиты интересов фирмы перед государственными и судебными органами;

- распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

А также необходимо проставить грифы конфиденциальности:

- Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).

- Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность (коммерческая тайна); документы, содержащие данные о клиентах, не предоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).

- Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловых сделках с партнерами или клиентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.

Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»

· Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.

· Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.

· Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:

Раздел «Порядок приема и увольнения рабочих и служащих»

При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:

· проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;

· оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:

· принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;

· осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.

· при решении об увольнении или отстранении от обязанностей заранее ограничить его доступ к системе.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны:

· знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;

· дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;

· бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.

Раздел «Основные обязанности администрации»

Администрация и руководители подразделений обязаны:

· обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;

· последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;

· включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;

· неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.

3.2 Организационная защита

3.2.1 Создание службы защиты информации

Необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей учреждения, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия.

Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования - высшее профессиональное образование и стаж работы в области защиты информации не менее 3 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.

В медицинском учреждении целесообразно организовать Службу защиты информации в следующем составе:

- Руководитель СлЗИ;

- инженер по защите информации.

- Начальник отдела конфиденциального делопроизводства

Функции конфиденциального делопроизводства возложить на уже имеющегося сотрудника, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря, главного бухгалтера).

Для работы СлЗИ необходимо подготовить ряд нормативных документов:

- Положение о СлЗИ;

- Инструкцию по безопасности конфиденциальной информации.

- Перечень сведений, составляющих конфиденциальную информацию.

- Инструкцию по работе с конфиденциальной информацией.

- Должностные инструкции сотрудников СлЗИ.

- Инструкцию по обеспечению пропускного режима в компании.

- Памятку работнику (служащему) о сохранении конфиденциальной информации.

Назначение на должность начальника СлЗИ учреждения, а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.

Основными функциями СлЗИ являются проблемы организации защиты сведений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работников учреждения умению хранить секреты своего учреждения; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.

СлЗИ готовит руководству учреждения предложения по вопросам защиты конфиденциальной информации, порядка определения составляющих эту информацию, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим тайну. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии КСЗИ, недобросовестном поведении сотрудников а так же обнаружение новых угроз и брежи в системе защиты информации.

СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками учреждения, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток нарушителей получить несанкционированный доступ к защищаемой информации и т.д. Она должна находиться на высоком уровне в организационной структуре учреждения с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники фирмы должны знать политику фирмы по защите этой информации и меры наказания за нарушение этих правил.

Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию учреждения, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня - исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

СлЗИ применяет меры в которые входит:

- повседневный контроль со стороны руководства учреждения и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников учреждения, имеющих постоянное общение с населением; Врачи, санитары и прочие сотрудники, так или иначе вынужденные общаться с населением;

- обеспечение соблюдения всеми сотрудниками учреждения требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирующими поведение работников на предприятии.

Все посещения учреждения посторонними лицами не могут строго регламентированы. Вход не оборудован никакими СКУД, фиксация проходящих и выходящих посетителей не ведется. Основных входов - 3, Главный вход в поликлинику, вход в приемное отделение, вход в стационар.

Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;

- выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников учреждения, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).

Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;

- защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками учреждения, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;

- важным звеном защиты конфиденциальной информации учреждения является работа с пациентами. При ведении приема важно убедиться, что пациент преследует те же цели, что и врач, то есть обращение по волнующему его вопросу о состоянии его здоровья, а не получение конфиденциальной информации о других лицах или иных сведениях к которым он не имеет доступ.

3.2.2 Проверка лояльности персонала медицинского учреждения

Тут два эффективных метода. Первый метод основан на использовании полиграфа «детектора лжи».

Использование "Детектора лжи" психологически оправдано.

Когда сотрудник ощущает возможность совершить действие, о котором не узнает руководство, он остается наедине со своей совестью и корыстными побуждениями. Принесут ли действия сотрудника ущерб учреждению, и как далеко он может зайти в жажде наживы, или из личного интереса зависит только от него самого.

Таким образом, ресурсы учреждения в закрытых областях действий сотрудников оказываются во власти индивидуальных влечений, далеко не всегда контролируемых совестью работника. Если прибавить к этому удивительную изворотливость ума, позволяющую оправдать свои действия не только перед другими, но и перед собой, то для контроля индивидуальной совести остается мало места.

При проверке на лояльность сотрудников можно использовать универсальный компьютерный полиграф «Поларг», соответствующий техническим условиям ТУ 4389-001-07560771-99. Зарегистрирован в Госстандарте России за № 200/026794 от 30.03.2000г. Универсальный компьютерный полиграф «Поларг» позволяет регистрировать восемь физиологических показателей человека, применять любые методики и тесты опросов с использованием полиграфа, получать валидизированную оценку реакций, зарегистрированных с помощью полиграфа.

Выпуск универсального компьютерного полиграфа «Поларг» осуществляется под техническим контролем Института криминалистики ФСБ России.

Полиграф можно купить и нанять специально обученных людей умеющих работать с ним. Аппаратное средство достаточно дорого, но при штате большого количества сотрудников выгоднее приобрести и обучить работе одного сотрудника СлЗИ, такие затраты быстро окупятся, учитывая штат.

И второй метод достаточно дешевый по сравнению с первым, это найти организацию либо людей которые предоставляют услуги проверки лояльности сотрудников путем внедрения в объект специально обученных разведчиков. Задача разведчиков войти в доверие к сотрудникам страховой компании в виде потенциальных клиентов и постараться выполнить специальную разработанную программу такой проверки лояльности персонала, которая учтет все особенности именно медицинского учреждения. Медицинское учреждение не потратит время на выявление нарушения работников.

А возможность постоянной качественной проверки лояльности персонала помогут снизит риски медицинского учреждения, связанные с сотрудниками.

3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к.

Сотрудники больницы, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.

Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в поликлинику, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации и врачебной тайны.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

3.3 Инженерно-техническая защита

3.3.1 Физические

3.3.1.1 Построения системы обеспечения безопасности объекта для медицинского учреждения

Рисунок 3.1 - Общая схема системы обеспечения безопасности объекта

3.3.1.2 Структура построения системы обеспечения безопасности объекта

...