- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.4 Объекты и предметы защиты в медицинском учреждении
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в ск
- •1. 12. Недостатки в защите медицинского учреждения
- •1.13 Финансовые возможности медицинского учреждения
- •1.14 Этапы построения ксзи для мед. Учреждения
- •1.15 Требования руководящих документов к системе безопасности объекта
- •1.15.1 Требования руководящих документов к системам видеонаблюдения
- •1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
- •1.15.3 Требования нормативно-методических документов по защите информации на объект
- •Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
- •Закон "Об информации, информационных технологиях и защите информации"
- •1.16 Обоснование выбора методов и средств защиты
- •1.17 Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Создание службы защиты информации
- •3.2.2 Проверка лояльности персонала медицинского учреждения
- •3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3 Инженерно-техническая защита
- •3.3.1 Физические
- •3.3.1.1 Построения системы обеспечения безопасности объекта для медицинского учреждения
- •Дополнительные физически средства защиты информации.
- •3.3.2 Выбор аппаратных средств защиты
- •Защита телефонной линии
- •Защита по акустическому каналу
- •Генератор шума гш-1000м
- •Генератор шума гш-к-1000м
- •Устройство защиты цепей электросети и заземления sel sp-44
- •3.3.3 Выбор программных средств защиты
- •3.4 Введение в эксплуатацию системы защиты информации
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
- •7 Безопасность жизнедеятельности
- •7.1 Характеристика условий труда сотрудника мед. Учренждения
- •7.2 Требования к помещениям Окраска и коэффициенты отражения
- •Освещение
- •Параметры микроклимата
- •Шум и вибрация
- •Электромагнитное и ионизирующее излучения
- •7.3 Эргономические требования к рабочему месту
- •7.4 Режим труда
- •7.5 Расчет освещенности
- •7.6 Расчет уровня шума
3.2 Организационная защита
3.2.1 Создание службы защиты информации
Необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей учреждения, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия.
Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 3 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.
В медицинском учреждении целесообразно организовать Службу защиты информации в следующем составе:
Руководитель СлЗИ;
инженер по защите информации.
Начальник отдела конфиденциального делопроизводства
Функции конфиденциального делопроизводства возложить на уже имеющегося сотрудника, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря, главного бухгалтера).
Для работы СлЗИ необходимо подготовить ряд нормативных документов:
Положение о СлЗИ;
Инструкцию по безопасности конфиденциальной информации.
Перечень сведений, составляющих конфиденциальную информацию.
Инструкцию по работе с конфиденциальной информацией.
Должностные инструкции сотрудников СлЗИ.
Инструкцию по обеспечению пропускного режима в компании.
Памятку работнику (служащему) о сохранении конфиденциальной информации.
Назначение на должность начальника СлЗИ учреждения, а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.
Основными функциями СлЗИ являются проблемы организации защиты сведений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работников учреждения умению хранить секреты своего учреждения; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.
СлЗИ готовит руководству учреждения предложения по вопросам защиты конфиденциальной информации, порядка определения составляющих эту информацию, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим тайну. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии КСЗИ, недобросовестном поведении сотрудников а так же обнаружение новых угроз и брежи в системе защиты информации.
СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками учреждения, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток нарушителей получить несанкционированный доступ к защищаемой информации и т.д. Она должна находиться на высоком уровне в организационной структуре учреждения с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники учреждения должны знать политику учреждения по защите этой информации и меры наказания за нарушение этих правил.
Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию учреждения, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня – исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.
СлЗИ применяет меры в которые входит:
- повседневный контроль со стороны руководства учреждения и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников учреждения, имеющих постоянное общение с населением; Врачи, санитары и прочие сотрудники, так или иначе вынужденные общаться с населением;
- обеспечение соблюдения всеми сотрудниками учреждения требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирующими поведение работников на предприятии.
Все посещения учреждения посторонними лицами не могут строго регламентированы. Вход не оборудован никакими СКУД, фиксация проходящих и выходящих посетителей не ведется. Основных входов – 3, Главный вход в поликлинику, вход в приемное отделение, вход в стационар.
Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;
- выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников учреждения, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).
Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;
- защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками учреждения, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;
- важным звеном защиты конфиденциальной информации учреждения является работа с пациентами. При ведении приема важно убедиться, что пациент преследует те же цели, что и врач, то есть обращение по волнующему его вопросу о состоянии его здоровья, а не получение конфиденциальной информации о других лицах или иных сведениях к которым он не имеет доступ.