- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.3. Функции основных структурных подразделений
- •1.4 Объекты и предметы защиты в медицинском учреждении
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в ск
- •1. 12. Недостатки в защите страховой компании
- •1.13 Финансовые возможности страховой компании "Уникум"
- •1.14 Этапы построения ксзи для страховой компании
- •1.15 Требования руководящих документов к системе безопасности объекта
- •1.15.1 Требования руководящих документов к системам видеонаблюдения
- •1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
- •1.15.3 Требования нормативно-методических документов по защите информации на объект
- •Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
- •Закон "Об информации, информационных технологиях и защите информации"
- •1.16 Обоснование выбора методов и средств защиты
- •1.17 Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Создание службы защиты информации
- •3.2.2 Проверка лояльности персонала медицинского учреждения
- •3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3 Инженерно-техническая защита
- •3.3.2 Выбор аппаратных средств защиты
- •Защита телефонной линии
- •Защита по акустическому каналу
- •Генератор шума гш-1000м
- •Генератор шума гш-к-1000м
- •Устройство защиты цепей электросети и заземления sel sp-44
- •3.3.3 Выбор программных средств защиты
- •3.4 Введение в эксплуатацию системы защиты информации
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
1.3. Функции основных структурных подразделений
Основные подразделения медицинского учреждения - это профильные отделения (палаты, койки) стационаров, отделения (кабинеты) поликлиник, лечебно-диагностические (параклинические) и другие подразделения (должности), в которых пациенту обеспечивается непосредственное оказание платных услуг.
Вспомогательные подразделения (исполнители) – это службы, обеспечивающие деятельность основных подразделений, исполнителей, оказывающих платные услуги (административно-хозяйственные и вспомогательные медицинские подразделения).
Схемы все дела то да се
1.4 Объекты и предметы защиты в медицинском учреждении
Основными объектами защиты в медицинском учреждении являются:
персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).
объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с клиентами;
информация ограниченного доступа;
Медицинская тайна (сведения о пациентах, состоянии их здоровья, результатах исследований);
Персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника [18]).
защищаемая от утраты общедоступная информация:
документированная информация, регламентирующая статус учреждения, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)
информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки)
материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)
средства защиты информации (Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система сигнализации, антижучки и др.)
технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов)
Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:
- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;
- Личные дела работников в бумажном и электронном (база данных работников) виде;
- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.
Документы, которые имеют конфиденциальный характер и требующие зашиты:
Выписки рецептов
Документы о направлении на исследования
Результаты анализов
Документы об уплате стоимости услуг
Медицинские карточки пациентов
Внутренние приказы и распоряжения
Материалы кадрового делопроизводства
Персональные данные сотрудников
Должностные инструкции по отдельным подразделениям
Программный код, разработанный в компании
Проектные данные (схемы, чертежи, расчеты, планы работ)
Схемы информационных потоков и коммуникаций
Архитектура информационной системы
Активационные коды на лицензионное ПО
Приказ о категорировании и классификации объектов вычислительной техники
Приказ о вводе в эксплуатацию ПЭВМ
Приказ о введении режима коммерческой тайны на предприятии
Положение об отделе администрирования и технического сопровождения информационных систем
Положение о группе инженерно-технической защиты информации
Положение об охранно-пропускном режиме предприятия
Положение о структуре службы безопасности
Положение об отделе защиты информации
Положение о компьютерной сети поликлиники
Положение о системном администрировании компьютерной сети поликлиники
Должностные инструкции сотрудников предприятия
Трудовые договоры сотрудников, работающих с конфиденциальной информацией
Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ
Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации
Генеральный план развития поликлиники
План инвестиций предприятия
Бюджет поликлиники
Договор подряда на режимное обслуживание клиентов
Договоры предоставления услуг
Договоры, заключенные с поставщиками оборудования
Договоры, заключенные с клиентами
В списке помещений, подлежащих оснащению системой противодействия экономическому шпионажу следует отнести:
Кабинет главного врача;
Лаборатория;
Бухгалтерия;
Серверная;