Обеспечение безопасности автоматизированных рабочих мест в клинике «Здоровье»

1. Выпускная квалификационная работа Обеспечение безопасности автоматизированных рабочих мест в клинике «Здоровье» 10.05.03

ФЕДЕРАЛЬНОЕ АГЕНТСТВО МОРСКОГО И РЕЧНОГО ТРАНСПОРТА
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Государственный университет морского и речного флота имени адмирала С.О. Макарова»
Институт водного транспорта
Кафедра комплексного обеспечения информационной безопасности
Выпускная квалификационная работа
Обеспечение безопасности автоматизированных
рабочих мест в клинике «Здоровье»
10.05.03 «Информационная безопасность автоматизированных систем»
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
1
Листов
Научный руководитель:
доцент каф.коиб. Коротков В.В.
Работу выполнила: студентка группы ИБ-51
Смольникова Д.С.
23
Санкт-Петербург
2025

2.

Цель и задачи
Цель:
Задачи:
Совершенствование системы
информационной безопасности в клинике
«Здоровье»
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
2
Листов
23
Изучить теоретические основы
информационной безопасности;
Провести анализ объекта защиты;
Разработать предложения по обеспечению
безопасности АРМ на объекте;
Оценить стоимость предложенных мер.
2

3.

Актуальность
Рост зависимости
от цифровых систем
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
3
Листов
Увеличение числа угроз
информационной
безопасности
Нарушение
конфиденциальности
и утечка данных
23
3

4.

Классификация видов информации
Информация
бывает
Подлежащая
предоставлению или
распространению в
соответствии с
федеральными законами
Предоставляемой по соглашению
лиц, участвующих в
соответствующих отношениях
Ограниченного
доступа
Конфиденциальная
информация
Ноу-Хау
Коммерческая
тайна
Институт
Водного транспорта
Дипломник
Смольникова
Д.С
ФИО
Подпись
Кафедра
КОИБ
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
4
Листов
Государственная
тайна
Секретно
Совершенно
секретно
Служебная тайна
Профессиональная
тайна
Персональные
данные
Свободно
распространяемой
Особой
важности
Тайна
следствия
23
4

5.

Нормативно-правовая база
Федеральные законы
Указы президента
• Федеральный закон от
27.07.2006 № 149-ФЗ
«Об информации,
информационных
технологиях и о
защите информации»
• Федеральный закон от
27.07.2006 № 152-ФЗ
«О персональных
данных»
• Федеральный закон от
29.07.2004 № 98-ФЗ
«О коммерческой
тайне».
• Указ Президента РФ от
06.03.1997 № 188 «Об
утверждении перечня
сведений
конфиденциального
характера»
• Указ Президента РФ от
22.05.2015 № 260 «О
некоторых вопросах
информационной
безопасности
Российской
Федерации»
• Указ Президента РФ от
05.12.2016 № 646 «Об
утверждении Доктрины
информационной
безопасности
Российской
Федерации»
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
5
Листов
23
Постановления
правительства
• Постановление
Правительства РФ от
01.11.2012 № 1119 «Об
утверждении
требований к защите
персональных данных
при их обработке в
информационных
системах
персональных
данных»;
• Постановление
Правительства РФ от
26.06.1995 № 608 «О
сертификации средств
защиты информации»
Приказы ФСТЭК и ФСБ
• Приказ ФСТЭК РФ от
18.02.2013 № 21 «Об
утверждении состава и
содержания
организационных и
технических мер по
обеспечению
безопасности
персональных данных
при их обработке в
информационных
системах
персональных
данных»;
• Приказ ФСБ РФ и
ФСТЭК РФ от
31.08.2010 № 416/489
«Об утверждении
Требований о защите
информации,
содержащейся в
информационных
системах общего
пользования»;
5

6.

Общая информация об объекте
Расположение клиники «Здоровье»
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
6
Листов
23
План помещений клиники
6

7.

Анализ объекта
№
Наименование
Количество
Лицензия на ПО
16
Есть
АРМ
1
ОС: Microsoft Windows
10
2
1С: Бухгалтерия
3
Есть
3
1С:Зарплата и
2
Есть
управление
персоналом
4
1С:Документооборот
4
Есть
5
Google Chrome
16
Есть
6
Libre Office
16
Есть
7
ЛидерТаск
3
Есть
8
Microsoft Windows
16
Есть
Defender
Рис.3 Техническая оснащенность помещений клиники
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
7
Сервер
9
Windows Server
1
Есть
10
СУБД Postgres Pro
1
Есть
Таблица 1. Программное обеспечение
Листов
23
7

8. Анализ объекта

Рис.4 Схема потенциальных путей нарушителя
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
8
Листов
23
8

9.

Анализ объекта
Врачебная
тайна
• Кабинеты врачей специалистов
• Кабинеты глав.врача и зам.директора по медицинской части
• Регистратура
ПДн клиентов и
работников
Коммерческая
тайна
Служебная
тайна
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
9
Листов
• Регистратура
• Кабинеты врачей специалистов
• Отдел кадров
• Бухгалтерия
• Кабинеты ген.директора, зам.директора по медицинской части и зам.директора по административно-хозяйственной части
• Бухгалтерия
• Кабинет ген.директора
• Кабинет зам.директора по медицинской части
• Кабинет зам.директора по административно-хозяйственной части
• Отдел охраны
• Кабинет директора по административно-хозяйственной части
• Отдел сетевого администрирования и отдел ИБ
• Кабинет генерального директора
• Кабинет заместителя директора по медицинской части
23
9

10. Анализ объекта

Помещения, в которых обрабатывается информация,
содержащая врачебную тайну
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
10
Листов
23
Помещения, в которых обрабатывается информация,
содержащая ПДн.
10

11. Анализ объекта

Помещения, в которых обрабатывается информация,
содержащая коммерческую тайну.
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
11
Листов
23
Помещения, в которых обрабатывается информация,
содержащая служебную тайну.
11

12. Выводы по результатам анализа

Потенциальные пути
нарушителя
• 9 потенциальных путей в северной части здания клиники через оконные
конструкции
• Главный вход путем преодоления физических преград
Категории защищаемой
информации
• Врачебная тайна
• Коммерческая тайна
• ПДн клиентов и работников
• Служебная тайна
Структура помещений
• Кабинеты врачей, а также административные кабинеты клиники нуждаются в
установке дополнительных средств физической защиты, таких как элементы СКУД
а также системы видеонаблюдения.
Программно-аппаратное
обеспечение
• Отсутствие программных СЗИ(межсетевого экрана, СЗИ от НСД, DLP-систем)
• Необходима замена АРМ на АРМ в защищенном исполнении
Организационная
структура
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
12
Листов
• Отсутствие нормативно-правовых актов и документов, необходимых для
обеспечения информационной безопасности
23
12

13.

Предложенные меры для достижения
цели работы
Программные
средства защиты
информации
Технические
средства защиты
информации
Физические
средства защиты
информации
Приобретение и
установка системы
видеонаблюдения
Приобретение и
установка СЗИ
Разработка и
утверждение
организационно
распорядительной
документации на
объекте
Замена АРМ
Приобретение и
установка СЗИ от
НСД
ФИО
Подпись
Внедрение
элементов СКУД
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
13
Организационные
методы защиты
информации
Листов
23
13

14. Программные средства защиты

ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
14
Листов
23
14

15. Программные средства защиты

Результаты обнаружения
атак
Институт
Водного транспорта
Дипломник
Смольникова
Д.С
ФИО
Подпись
Кафедра
КОИБ
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
15
Листов
23
Результаты обнаружения
и защиты от угроз
15

16.

Программные средства
защиты
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
16
Листов
23
16

17.

Критерий
Сертификация ФСТЭК
Соответствие
Интеграция с KES
Функциональность
Поддержка ОС
Управление
Инфраструктура
Стоимость
Простота внедрения
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
17
Листов
23
Dallas Lock 8.0-К
Secret Net Studio
ПАК «Соболь»
5 класс СВТ от НСД, 4
4 класс СВТ от НСД, 4
уровень НДВ, МЭ, СОВ,
3 класс СВТ от НСД, 2 уровень НДВ
уровень НДВ, МЭ, СОВ, СКН
СКН
ИСПДн 1 уровня, ГИС 1
ИСПДн 1 уровня, ГИС 1
ИСПДн 1 уровня, ограниченно для
класса, приказы №17, класса, приказы №17, №21,
№17, №21
№21, №239
№239
Подтверждена (АРМ,
Подтверждена (АРМ,
Ограниченная
сервер)
сервер)
-Дискреционное
разграничение
-Дискреционное и
- СКН (теневое
мандатное разграничение
копирование)
- Доверенная загрузка
- СКН, МЭ, СОВ
- Двухфакторная
- Аппаратная аутентификация
- Интеграция с AD
аутентификация
- Контроль целостности
- Защита сервера
- Элементы DLP, SIEM
- Ограниченное разграничение
- Шифрование
- Песочница
(опционально)
- Защита сервера
- Контроль целостности
Windows XP–11, Server
Windows 7–11, Server 2008– Windows, Linux (ограниченно), слабая
2003–2022, Linux,
2022, Linux, виртуализация
виртуализация
виртуализация
Единый центр управления
Централизованная консоль,
(на сервере), удаленная
требует AD
установка
Не требует серверной
Требует Windows Server +
ОС/СУБД
AD
~7500 ₽/АРМ, ~10–15 тыс.
~10–15 тыс. ₽/АРМ, ~20–30
₽/сервер, скидки для 17
тыс. ₽/сервер
устройств
Высокая: минимальная
Средняя: сложная
инфраструктура
серверная настройка
Ограниченное, через Secret Net
Требует аппаратных плат
~10–15 тыс. ₽/устройство (включая
платы)
Низкая: установка плат
17

18. Технические средства защиты

АРМ-Интернет.
Защищённый персональный компьютер
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
18
Листов
23
18

19. Физические средства защиты информации

1. Внедрение системы видеонаблюдения
2. Внедрение врезного электромеханического замка с
контактным устройством, считывателя бесконтактного для
карт формата EMM/HID и бесконтактных карт доступа
EMM
3. Установка турникета-трипода
4. Установка металлических оконных решеток
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
19
Листов
Схема интегрирования средств физической защиты
информации
23
19

20. Перечень предлагаемых средств физической защиты

Комплект контроля доступа в
помещения PERCo
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
Турникет-трипод UltraScan
T600
Комплект системы
видеонаблюдения AHD Ps-Link
KIT-A504HD
20
Листов
23
Решетка оконная R-002
20

21. Организационно-правовые меры защиты

1. Модель угроз безопасности информации
(перечень актуальных угроз для АРМ и описание возможных сценариев их реализации);
2. Положение об обработке и защите персональных данных
(описание процессов обработки ПДн, целей, правовых оснований и мер защиты на АРМ);
3. Технический паспорт автоматизированного рабочего места
(сведения о составе АРМ: аппаратное и программное обеспечение, средства защиты, класс защищенности);
4. Приказ о назначении ответственных лиц
(указание сотрудников, отвечающих за эксплуатацию АРМ, обеспечение безопасности и контроль соблюдения требований);
5. Журнал учета событий информационной безопасности
(шаблон для регистрации изменений доступа, инцидентов и действий пользователей на АРМ);
6. Перечень средств защиты информации
(список используемых СЗИ с указанием их сертификации ФСТЭК, ФСБ);
7. Соглашение об ответственности сотрудников
(документ, подтверждающий ознакомление персонала с правилами работы и ответственностью за нарушения);
8. Эксплуатационная документация на средства защиты
(руководства по установке, настройке и использованию СЗИ, применяемых на АРМ).
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
21
Листов
23
21

22. Примерная стоимость денежных затрат для достижения поставленной цели работы

ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
22
Листов
23
22

23.

Выводы
Изучены теоретические основы
информационной безопасности;
Проведен анализ объекта защиты;
Разработаны предложения по обеспечению
безопасности АРМ в клинике «Здоровье»;
Оценена стоимость предложенных мер.
ФИО
Подпись
Институт
Водного транспорта
КОИБ
Дипломник
Смольникова
Д.С
Кафедра
Руководитель
Коротков В.В
Дата
Зав.каф.КОИБ
Нырков А.П
Лист
23
Листов
23
Цель совершенствование системы
информационной безопасности в
клинике «Здоровье». достигнута!
Спасибо за внимание!
23