Разработка системы защиты персональных данных в государственном бюджетном учреждении здравоохранения «Областной противотуберкулезный диспансер № 8» города Южноуральска
Аннотация 2
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 9
ВВЕДЕНИЕ 10
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ГБУЗ «ОПТД № 8» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 11
1.1. Определение информационных систем 11
1.2. Разработка моделей деятельности 11
1.3. Выявление защищаемой информации 11
1.4. Описание информационных систем 12
1.5. Реализованные меры по защите персональных данных 16
1.6. Выявление объектов защиты 17
1.7. Разработка моделей угроз и уязвимостей 17
1.7.1. Угрозы безопасности персональных данных 18
1.7.2. Расчет рисков важных объектов защиты 23
1.7.2.1. Исходный уровень защищенности 23
1.7.2.2. Реализуемость угроз 24
1.7.2.3. Оценка опасности угроз 26
1.7.2.4. Определение актуальных угроз 28
1.8. Разработка технических заданий 29
1.9. Вывод по первой главе 29
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТВ ЗАЩИТЫ 31
2.1. Требуемые меры по защите персональных данных 31
2.2. Обзор возможных методов устранения уязвимостей 31
2.2.1. Угрозы, связанные с несанкционированным доступом 31
2.2.1.1. Кража носителей информации 31
2.2.1.2. Действия вредоносных программ (вирусов) 32
2.2.1.3. Установка ПО, не связанного с исполнением служебных обязанностей на рабочем месте 33
2.2.2. Угрозы непреднамеренных действий пользователей и нарушений без
опасности функционирования ИСПДн 34
2.2.2.1. Утрата ключей и атрибутов доступа 35
2.2.2.2. Непреднамеренная модификация или уничтожение информации сотрудниками 35
2.2.2.3. Непреднамеренное отключение средств защиты 36
2.3. Вывод по второй главе 36
3. РАЗРАБОТКА ПРОЕКТА СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСО
НАЛЬНЫХ ДАННЫХ В ГБУЗ «ОПТД № 8» 38
3.1. Описание объекта 38
3.2. Резюме проекта 38
3.3. Цели и задачи проекта 38
3.4. Объекты поставки проекта 39
3.5. Расчет рисков проекта 40
3.6. Структура разбиения работ 41
3.7. Структурная схема организации проекта 42
3.8. Матрица ответственности 42
3.9. Диаграмма Ганта и сетевой график 43
3.10. Вывод по третьей главе 44
4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ 45
4.1. Требования к организации рабочего места 45
4.2. Требования к микроклимату 47
4.3. Требования к уровню шума 48
4.4. Требования к освещенности 48
4.5. Требования по электробезопасности 49
4.6. Требования по пожарной безопасности 49
4.7. Рекомендации по организации режима труда и отдыха 51
4.8. Вывод о соответствии рабочего места требованиям по охране труда 52
4.9. Вывод по четвертой главе 53
ЗАКЛЮЧЕНИЕ 54
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 55
ПРИЛОЖЕНИЕ А 57
ПРИЛОЖЕНИЕ Б 58
ПРИЛОЖЕНИЕ В 59
ПРИЛОЖЕНИЕ Г 66
ПРИЛОЖЕНИЕ Д 79
ПРИЛОЖЕНИЕ Е 82
ПРИЛОЖЕНИЕ Ж 86
ПРИЛОЖЕНИЕ З 98
ПРИЛОЖЕНИЕ И 109
ПРИЛОЖЕНИЕ К 112
ПРИЛОЖЕНИЕ Л 114
ПРИЛОЖЕНИЕ М 115
ПРИЛОЖЕНИЕ Н 125
ПРИЛОЖЕНИЕ О 129
ПРИЛОЖЕНИЕ П 133
Деятельность медицинских учреждений невозможно представить без обработки персональных данных, так как они работают с пациентами, а также ведут бухгалтерский и кадровый учет. При этом обработка персональных данных сейчас осуществляется как с использованием электронных, так и с использованием бумажных документов.
Государственное бюджетное учреждение здравоохранения «Областной противотуберкулезный диспансер № 8» города Южноуральска (далее - ГБУЗ «ОПТД № 8») оказывает специализированную туберкулезную (противотуберкулезную) медицинскую помощь населению. Учреждение организует профилактическую работу, а также проводит обследования, лечение и реабилитацию больных в амбулаторных и стационарных условиях.
Актуальность данной работы обусловлена необходимостью разработки системы защиты персональных данных в ГБУЗ «ОПТД № 8».
Объектом выпускной квалификационной работы является ГБУЗ «ОПТД № 8».
Предметом выпускной квалификационной работы являются информационные системы персональных данных в данном учреждении.
Целью дипломной работы является организация защиты персональных данных в ГБУЗ «ОПТД № 8».
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Определить информационные системы персональных данных ГБУЗ «ОПТД № 8» и проанализировать их с целью определения актуальных угроз и уязвимостей;
2. Провести анализ и теоретическое обоснование выбора средств защиты информации;
3. Разработать проект по созданию системы защиты персональных данных в ГБУЗ «ОПТД № 8».
Результатом выполнения выпускной квалификационной работы является созданная система защиты персональных данных в ГБУЗ «ОПТД № 8», которая удовлетворяет требованиям законодательства Российской Федерации в области защиты персональных данных.
В ходе выполнения выпускной квалификационной работы были выполнены следующие задачи:
1) Проведен анализ состояния защиты ГБУЗ «ОПТД № 8», в ходе которого были определены 2 информационные системы: ИСПДн «Бухгалтерия и кадры» и ИСПДн «Медицина».
В ИСПДн «Бухгалтерия и кадры» обрабатываются иные категории персональных данных, тип актуальных угроз - 3, уровень защищенности персональных данных - 4.
В ИСПДн «Медицина» обрабатываются специальные категории персональных данных, тип актуальных угроз - 3, уровень защищенности персональных данных - 3.
Для данных информационных систем были разработаны модели угроз и технические задания на создание системы защиты персональных данных.
2) Сформировано теоретическое обоснование выбора средств защиты, в процессе выполнения которого были рассмотрены актуальные угрозы безопасности персональных данных, и определены средства и меры защиты:
- Разработана организационно-распорядительная документация;
- Внедрены программно-аппаратные средства защиты (Dallas Lock 8.0K, Dr.Web Desktop Security Suite и RedCheck);
- Проведено обучение персонала.
3) Разработан проект введения системы защиты персональных данных в ГБУЗ «ОПТД № 8», для которого были рассчитаны риски, определены основные этапы, ответственные лица и срок выполнения.
