- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.4 Объекты и предметы защиты в медицинском учреждении
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в ск
- •1. 12. Недостатки в защите медицинского учреждения
- •1.13 Финансовые возможности медицинского учреждения
- •1.14 Этапы построения ксзи для мед. Учреждения
- •1.15 Требования руководящих документов к системе безопасности объекта
- •1.15.1 Требования руководящих документов к системам видеонаблюдения
- •1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
- •1.15.3 Требования нормативно-методических документов по защите информации на объект
- •Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
- •Закон "Об информации, информационных технологиях и защите информации"
- •1.16 Обоснование выбора методов и средств защиты
- •1.17 Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Создание службы защиты информации
- •3.2.2 Проверка лояльности персонала медицинского учреждения
- •3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3 Инженерно-техническая защита
- •3.3.1 Физические
- •3.3.1.1 Построения системы обеспечения безопасности объекта для медицинского учреждения
- •Дополнительные физически средства защиты информации.
- •3.3.2 Выбор аппаратных средств защиты
- •Защита телефонной линии
- •Защита по акустическому каналу
- •Генератор шума гш-1000м
- •Генератор шума гш-к-1000м
- •Устройство защиты цепей электросети и заземления sel sp-44
- •3.3.3 Выбор программных средств защиты
- •3.4 Введение в эксплуатацию системы защиты информации
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
- •7 Безопасность жизнедеятельности
- •7.1 Характеристика условий труда сотрудника мед. Учренждения
- •7.2 Требования к помещениям Окраска и коэффициенты отражения
- •Освещение
- •Параметры микроклимата
- •Шум и вибрация
- •Электромагнитное и ионизирующее излучения
- •7.3 Эргономические требования к рабочему месту
- •7.4 Режим труда
- •7.5 Расчет освещенности
- •7.6 Расчет уровня шума
3.1 Правовая защита
Согласно документам, регламентирующим деятельность в области защиты информации :
Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Законом об информации установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Соблюдение врачебной тайны
Описано в ФЗ РФ от 21 ноября 2011 г. N 323-ФЗ
1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.
3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
7) в целях расследования несчастного случая на производстве и профессионального заболевания;
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.
Список необходимых организационно-распорядительных документов в сфере защиты персональных данных и во исполнение Федерального закона РФ от 27 июня 2006 года № 152-ФЗ
1.Приказ
О назначении ответственного за организацию обработки персональных данных (далее ПДн);
О назначении сотрудников имеющих доступ к ПДн;
О создании комиссии (Классификация каждой информационной системы персональных данных (далее ИСПДн), установка класса защищенности АС, уничтожение документов ограниченного распространения);
О назначении ответственных лиц по работе с шифровальными (криптографическими средствами);
О утверждении перечня информационных систем ПДн;
Об утверждении перечня конфиденциальной информации;
Об установлении границ контролируемой зоны ИСПДн;
Об утверждении инструкции о порядке работы с документвсм ограниченного распространения, не содержащих государственную тайну;
Об утверждении инструкции по опечатыванию кабинетов;
Об утверждении инструкции о внутреобъектовом порядке режимных помещений;
Об утверждении инструкции о внутреобъектовом порядке режимных помещений;
Об утверждении инструкции по резервному копированию (восстановлению) информации;
Об утверждении инструкции о средствах антивирусной защиты ИСПДн;
Об утверждении инструкции ответственного за организацию обработки ПДн;
Об утверждении Положения об осуществлении внутреннего контроля соответствия обработки ПДн Федеральному закону Российской Федерации от 27 июня 2006 года №152-ФЗ и принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора;
Об утверждении Положения о комиссии по вопросам информационной безопасности;
Об утверждении политики обработки ПДн;
Об утверждении Положения о рассотрении запросов субъектов ПДн или их представителей;
Об утверждении инструкции пользователя при обработке ПДн без средств автоматизации;
Об утверждении Положения об обработке ПДн;
Об утверждении Положения об оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июня 2006 года №152-ФЗ “О персональных данных”;
Об утверждении перечня мест хранения материальных носителей ПДн;
Об утверждении инструкции работника Учреждения по эксплуатации автоматизированного рабочего места и пользования ведомственной сетью передачи данных;
Об утверждении схемы передачи ПДн по каналам связи Учреждения;
Об утверждении инструкции по эксплуатации машинных носителей информации;
О создании комиссии по вопросам информационной безопасности;
Об утверждении модели угроз безопасности ПДн при обработке в инфомарционных системах ПДн;
О назначении пользователей и правил работы со средствами криптографической защиты информации;
2.Журнал
Журнал учета обращении субъектов ПДн или их представителей;
Журнал учета лиц о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации;
Журнал ознакомления работников, непосредственно ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику “Учреждения” в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
Журнал учета фактов несанкцианированого доступа к ПДн и принятых мер;
Журнал поэкземплярного учета криптосредств;
Журнал учета
Для организации Службы защиты информации (СлЗИ) такие документы:
Положение о СлЗИ;
Должностные инструкция начальник службы безопасности;
Должностные инструкция инженер по защите информации;
Должностные инструкция начальник отдела конфиденциального делопроизводства;
Инструкция по защите конфиденциальной информации;
К уже существующему уставу мед. учреждения необходимо внести в устав следующие дополнения:
— мед. учреждение имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;
— обязано обеспечить сохранность коммерческой тайны;
— состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем мед. учреждения;
— имеет право не предоставлять информацию, содержащую коммерческую тайну;
— руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.
Внесение этих дополнений дает право администрации:
— создавать организационные структуры по защите коммерческой тайны;
— издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
— включать требования по защите коммерческой тайны в договора по всем видам деятельности;
— требовать защиты интересов учреждения перед государственными и судебными органами;
— распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.
Раздел «Конфиденциальная информация»:
Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.
Внесение этих дополнений дает право администрации:
создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
требовать защиты интересов учреждения перед государственными и судебными органами;
распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.
А также необходимо проставить грифы конфиденциальности:
Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).
Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность (коммерческая тайна); документы, содержащие данные о пациентах, не предоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).
Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловых сделках с партнерами или пациентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.
Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора»
Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.
Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.
Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.
Раздел «Кадры. Обеспечение дисциплины труда»
Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.
Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:
Раздел «Порядок приема и увольнения рабочих и служащих»
При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:
проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:
принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.
при решении об увольнении или отстранении от обязанностей заранее ограничить его доступ к системе.
Раздел «Основные обязанности рабочих и служащих»
Рабочие и служащие обязаны:
знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.
Раздел «Основные обязанности администрации»
Администрация и руководители подразделений обязаны:
обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.
Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.