Анализ объекта информатизации на примере медицинского центра "Салютем"

1.

Федеральное агентство по рыболовству
Федеральное государственное бюджетное образовательное
учреждение высшего образования
«Астраханский государственный технический университет»
Система менеджмента качества в области образования, воспитания, науки и инноваций сертифицирована
ООО «ДКС РУС» по международному стандарту ISO 9001:2015
Институт
Информационных технологий и коммуникаций
Кафедра
«Информационная безопасность»
КУРСОВОЙ ПРОЕКТ
на тему
"Анализ объекта информатизации на примере медицинского центра
"Салютем""
Работу выполнила студент 4 курса
группы ДИБСС-41
Акбаева Алина

2.

Актуальность
В России рост
количества утекших
записей ПДн за 2022 год был
внушительным. Всего за
год утекло 667,6 млн записей.
Это в 2,67 раза (на 167%)
больше, чем в 2021 году.
2

3.

Цель и задачи
Цель: Совершенствование мер защиты информации в медицинском
центре «Салютем».
01
Провести анализ конфиденциальной информации в
медицинском центре и определить перечень конфиденциальной
информации.
02
Проанализировать методы и средства защиты
информации в медицинском центре.
03
Выявить нарушения и недостатки по защите
информации.
04
Разработать перечень мер по устранению
выявленных недостатков.
3

4.

01
Анализ конфиденциальной информации в
медицинском центре и определение
перечень конфиденциальной информации
4

5.

Краткая характеристика организации
«Салютем» - многопрофильный медицинский центр,
специализирующимся во многих направлениях медицины.
Основной целью создания и деятельности является
осуществления мероприятий по оказанию первой помощи,
а также оказание медико-санитарной, врачебной и
доврачебной помощи.
5

6.

Перечень конфиденциальной информации
6

7.

Классификация
ИСПДн "Пациент.Net"
В соответствии с «Требованиями к
защите персональных данных
при их обработке в
информационных системах
персональных данных»,
утвержденными постановлением
Правительства РФ от 01 ноября
2012 г. № 1119, в информационной
системе персональных данных
требуется обеспечение 3-го
уровня защищённости ПДн.
8

8.

Классификация
ИСПДн 1С: Предприятие
В соответствии с «Требованиями к
защите персональных данных
при их обработке в
информационных системах
персональных данных»,
утвержденными постановлением
Правительства РФ от 01 ноября
2012 г. № 1119, в информационной
системе персональных данных
требуется обеспечение 4-го
уровня защищённости ПДн.
8

9.

Требования по защите информации
ИСПДн
ИАФ.1
Идентификация и аутентификация пользователей, являющихся работниками оператора
да
ИАФ.3
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
да
ИАФ.4
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, да
блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации
средств аутентификации
ИАФ.5
Защита обратной связи при вводе аутентификационной информации
УПД.1
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, да
в том числе внешних пользователей
УПД.2
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов да
(чтение, запись, выполнение или иной тип) и правил разграничения доступа
УПД.3
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные да
способы управления) информационными потоками между устройствами, сегментами информационной
системы, а также между информационными системами
УПД.4
Разделение полномочий (ролей) пользователей,
функционирование информационной системы
УПД.6
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной нет
системе)
администраторов
да
и
лиц,
обеспечивающих да

10.

УПД.10
Блокирование сеанса доступа в информационную систему после установленного времени бездействия нет
(неактивности) пользователя или по его запросу
ЗНИ.8
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их да
передаче между пользователями
РСБ.1
Определение событий безопасности, подлежащих регистрации, и сроков их хранения
да*
РСБ.2
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
да
РСБ.3
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени да*
хранения
АВЗ.1
Реализация антивирусной защиты
да
АВЗ.2
Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
да
АНЗ.3
Контроль работоспособности, параметров настройки и правильности функционирования программного нет
обеспечения и средств защиты информации
АНЗ.4
Контроль состава технических средств, программного обеспечения и средств защиты информации
ЗТС.4
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный да
просмотр
ЗИС.3
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной да
информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы
контролируемой зоны, в том числе беспроводным каналам связи
УКФ.1
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию да
информационной системы и системы защиты персональных данных
(*) - реализовано механизмами Windows
нет

11.

02
Анализ методов
и средств защиты информации
в медицинском центре
9

12.

Организационно-правовые методы
защиты информации
01
Распоряжение о
назначении ответственных
лиц по обеспечению
безопасности обработки
персональных данных
03
02
Распоряжение о
правилах хранения
сведений на
бумажных носителях
Политика
конфиденциальности в
отношении обработки
персональных данных
04
Должностные
инструкции
10

13.

Физические средства защиты
информации
Помещение управления
конфиденциальными записями
в медицинском центре находится
на втором этаже в
кабинете бухгалтера. Помещение
соответствует требованиям
пожарной безопасности и
санитарным нормам.
В медицинском центре есть
специальный сейф для
хранения конфиденциальных
документов, оборудованный
кодовым замком. Дверь
помещения оборудована
врезным замком. Оригиналы и
копии ключей хранятся у
директора и бухгалтера.
11

14.

Программно-аппаратные
средства защиты информации
Сервер на
основе OS
Windows
Server 2012
На АРМ
сотрудников установлены:
операционная система MS
Windows 10
антивирусное программное
обеспечение - Dr. Web 12.0.
ПДн клиентов
обрабатывается в
Пациент.Net
ПДн сотрудников
обрабатывается в
1С: Предприятие
12

15.

Схема информационных потоков
медицинского центра
Врач
Электронный
документ
Пациент
Мед. сестра
Регистратура
Твердые носители
информации
Кабинет
обследования
Система оцифровки
Электронный документ
Сервер
Ординаторская
Шлюз

16.

Распределение АРМ
Расположение
Количество
Компьютер в кабинете врача
8
Компьютер на стойке ресепшн
2
Компьютер в отдельной кассе
1
Компьютер в кабинете директора/управляющего
1
Компьютер у старшей медсестры
1
Компьютер в рентгене (при наличии отдельного
рентген-кабинета)
1
Принтер сетевой
1

17.

03
Актуальные угрозы
13

18.

Актуальные угрозы
УБИ 067
УБИ 074
УБИ 088
Угроза неправомерного
ознакомления с защищаемой
информацией.
Угроза несанкционированного
доступа к
аутентификационной
информации.
Угроза
несанкционированного
копирования защищаемой
информации.
УБИ 090
УБИ 091
УБИ 122
Угроза
несанкционированного
создания учётной
записи пользователя.
Угроза
несанкционированного
удаления защищаемой
информации.
Угроза повышения
привилегий.
15

19.

04
Предложенные меры по
устранению недостатков
16

20.

Разработка Политики
безопасности
В состав Политики безопасности в ООО «Салютем» должны войти
следующие разделы:
o Ведение конфиденциального делопроизводства;
o Регистрация и учет конфиденциальных документов;
o Движение документов внутри компании;
o Работа и обработка конфиденциальных документов;
o Размножение и копирование конфиденциальных документов;
o Контроль исполнения документов;
o Хранение и архивация конфиденциальных документов;
o Подготовка, составление и оформление конфиденциальных документов,
их подписание, согласование и утверждение.
17

21.

Внедрение должности системного
администратора
Перечень документов:
1. Заявление от соискателя на должность
системного администратора.
2. Резюме соискателя с подробным описанием
его профессионального опыта, навыков и
образования.
3. Копия паспорта или иного документа,
удостоверяющего личность.
4. Копии диплома об окончании
образовательного учреждения,
специализирующегося в области
информационных технологий.
5. Сертификаты или иные документы,
подтверждающие профессиональные навыки и
квалификацию в области системного
администрирования.
6. Справка об отсутствии судимости.
7. Дополнительные рекомендательные письма
или отзывы от предыдущих работодателей.
Функции системного
администратора
1. Установка и настройка серверов и
сетевого оборудования
2. Обеспечение безопасности
информации
3. Управление пользователями и
ролями
4. Поддержка и обслуживание
информационных систем
5. Резервное копирование данных
6. Мониторинг и анализ
производительности сети
18

22.

Внедрение СЗИ от НСД
Параметр сравнения
Dallas Lock 8.0
Secret Net Studio
Сертификат ФСТЭК
да
да
Наличие в реестре отечественного ПО
да
да
Windows Server 2012
да
да
Наличие самотестирования модуля МЭ
да
нет
Выполнение групповых операций над правилами МЭ
да
нет
СОВ
да
да
Наличие «тихого» режима работы — маскирование датчиков СОВ
да
нет
Возможность проверки наличия новой версии на сервере компании-производителя
да
нет
Разграничение доступа пользователей
да
да
103000 рублей
118775 рублей
бесплатная первые 3
бесплатная в 1-й год
года пользования
пользования 19
Совокупная стоимость бессрочных лицензий (15 клиентов)
Ценовая политика техподдержки

23.

Предложенные меры по устранению
актуальных угроз
Угрозы информационной безопасности
Предложенные меры по их устранению
УБИ. 067 Угроза неправомерного ознакомления с Введение в организацию Политики безопасности
защищаемой информацией.
УБИ.
088
Угроза
и Службы безопасности.
несанкционированного Внедрение СЗИ от НСД Dallas Lock. Функция
копирования защищаемой информации.
идентификации диска.
УБИ. 090 Угроза несанкционированного создания Внедрение
СЗИ
от
доступа
НСД
Dallas
Lock.
пользователей.
Учет
учётной записи пользователя.
Разграничение
УБИ. 122 Угроза повышения привилегий.
учетных записей пользователей.
УБИ. 091 Угроза несанкционированного удаления Внедрение СЗИ от НСД Dallas Lock. Резервное
защищаемой информации.
копирование.
УБИ. 140 Угроза приведения системы в состояние Внедрение СЗИ от НСД Dallas Lock. Система
«отказ в обслуживании».
обнаружения вторжений. Межсетевой экран.
20

24.

Заключение
Изучена структура организации;
Выявлен перечень конфиденциальной
информации;
Классифицированы АС, ИСПДн;
Рассмотрены используемые методы и средства
ЗИ;
Разработана актуальная модель угроз;
Предложены меры по устранению выявленных
угроз.
21

25.

СПАСИБО ЗА
ВНИМАНИЕ!
22