- •Дипломная работа
- •Пояснительная записка
- •Содержание
- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.4 Объекты и предметы защиты в испДн мед.Учреждения
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в бузоо
- •1. 12. Недостатки в защите медицинского учреждения
- •1.13 Финансовые возможности медицинского учреждения
- •1.14 Этапы построения ксзи для мед. Учреждения
- •1.15Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •2.3 Расчет информационных рисков
- •2.4 Методики управления рисками
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3.1.1. Структура существующей системы
- •Дополнительные физически средства защиты информации.
- •Защита от пэМиН
- •3.3.3 Выбор программных средств защиты
- •3.3.3. Разграничение доступа
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
- •5 Экономическая часть
- •5.1 Заработная плата
- •5.1.1 Расчет трудоемкости
- •5.1.2 Расчет основной заработной платы
- •5.1.3 Расчет дополнительной заработной платы
- •5.2 Страховые взносы
- •5.3 Амортизация основных фондов
- •5.3.1 Расчет амортизации рабочего помещения за срок проектирования
- •5.3.2 Расчет амортизации по
- •5.3.3 Расчет расходных материалов
- •5.4 Расходы на электроэнергию
- •5.5 Расходы на материалы
- •5.6 Стоимость технического проектирования
- •5.7 Годовая экономия при использовании ксзи
1.10 Фактическая защищенность медицинского учреждения
В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:
Организационные мероприятия:
Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.
Во все помещения здания имеет доступ лишь персонал поликлиники и пациенты.
Посетители, ожидающие приема, находятся в коридоре.
Вход людей в здание осуществляется через главный вход. Охрана на входе отсутствует, никаких СКУД не установлено.
Вход людей в помещение БУЗОО МУЗГБ №6 осуществляется через двустворчатую пластиковую дверь.
Вся конфеденциальная информация пересылается посредством электронной почты, доступ к которой имеется у большого количества сотрудников.
Правовые мероприятия:
Инструкции сотрудников , ответственных за защиту информации
Утверждены должностные обязанности руководителей, специалистов и служащих предприятия
Плановые проверки
Инженерно-технические меры:
Установка извещателей пожарной сигнализации во всех помещениях поликлиники
Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией
Программно-аппаратные меры:
1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение – MS Office 2003, антивирусное программное обеспечение – Dr. Web 6.0.
2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.
3. Пакет Microsoft Office 2003; Интернет-шлюз UserGate.
4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.
5. Установлен сервер на основе MS Server 2003.
5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.
Инженерно-техническая укрепленность объекта защиты
В соответствии с руководящим документом (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.
Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.
Оконные конструкции так же удовлетворяют требованиям класса Б II.
Основная проблема предприятия:
1.11 Прошлые случаи кражи в бузоо
Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.
1. 12. Недостатки в защите медицинского учреждения
Внешние недостатки:
Часть ЛВС выходит за пределы контролируемой зоны
Информация не защищена от утечки по каналу ПЭМиН
Внутренние недостатки:
недостаточное внимание к обеспечению защиты информации со стороны руководства;
довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников учреждения;
одинаковые и простые пароли для всех АРМ, а так же ПО;
сервер, на котором хранится база даных имеет прямой доступ в интернет, что порождает лишнюю угрозу;
недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в мед. Учреждении;
Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ);
Генераторы электромагнитного шума в помещении не установлены;
Окна организации выходят во двор;
Отсутствует защита телефонных, а так же UTP-8 линий;
Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.
Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.