СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 12
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 14
1.1. Разработка технического паспорта 14
1.2. Разработка модели деятельности 14
1.3. Выявление защищаемой информации 14
1.4. Описание информационной системы 14
1.5. Выявление объектов защиты 17
1.6. Разработка модели угроз и уязвимостей для важных объектов защиты 17
1.6.1. Угрозы несанкционированного доступа к информации 18
1.6.2. Угрозы преднамеренных действий внутренних нарушителей 22
1.6.3. Угрозы несанкционированного доступа по каналам связи 22
1.7. Расчет рисков важных объектов защиты 28
1.7.1 Вероятность реализации угроз безопасности персональных данных 28
1.7.2 Реализуемость угроз 29
1.7.3 Оценка опасности угроз 31
1.7.4 Определение актуальности угроз 33
1.8. Разработка технического задания на создание системы защиты персональных данных в учреждении здравоохранения 35
1.9. Безопасность жизнедеятельности 36
1.9.1. Рекомендации по организации рабочего места пользователя 36
1.9.2. Электробезопасность 41
1.9.3. Пожарная безопасность 41
1.9.4. Рекомендации по организации режима труда и отдыха пользователя ... 44
1.9.5. Выводы по первой главе 45
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТВ ЗАЩИТЫ 46
2.1. Обзор возможных методов устранения уязвимостей 46
2.2. Угрозы несанкционированного доступа к информации 46
2.3. Угрозы преднамеренных действий внутренних нарушителей 47
2.4. Выводы по второй главе 47
3. РАЗРАБОТКА ПЕРЕЧНЯ МЕРОПРИЯТИЙ МОДЕРНИЗАЦИИ СИСТЕМЫЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ 49
3.1. Описание объекта 49
3.2. Резюме перечня мероприятий 49
3.3. Цели и задачи перечня мероприятий 49
3.4. Объекты поставки перечня мероприятий 50
3.4.1. Организационно-распорядительная документация 50
3.4.2. Программно-аппаратные и инженерно-технические меры 50
3.5. Риски перечня мероприятий 50
3.6. Структура разбиения работ 53
3.7. Структурная схема организации 54
3.8. Матрица ответственности 55
3.9. Диаграмма Ганта 55
3.10. Расчет бюджета перечня мероприятий и его эффективности 56
3.11. Выводы по третьей главе 56
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 58
ПРИЛОЖЕНИЕ А 60
ПРИЛОЖЕНИЕ Б 73
ПРИЛОЖЕНИЕ В 79
ПРИЛОЖЕНИЕ Г 80
ПРИЛОЖЕНИЕ Д 85
ПРИЛОЖЕНИЕ Е 88
Обработка информации, на сегодняшний день, является одним из наиболее трудоемких процессов, особенно если эта информация ограниченного доступа. Скорость обработки информации и качество получаемых результатов, являются важными факторами, обеспечивающими конкурентоспособность фирмы, а результаты могут являться одним из ценнейших активов организации.
Не представляется возможным представить деятельность учреждения здравоохранения без обработки информации о пациентах. Вся эта информация является персональными данными. Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 установлены требования к защите персональных данных при их обработке в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами.
Помимо этого, защита персональных данных пациента регулируется Федеральным законом от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» регулирует соблюдение врачебной тайны и возможность ее разглашения. В законе № 152-ФЗ «О персональных данных» прописано выполнение ряда требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и выполнение ряда действий:
- направление уведомления об обработке персональных данных в уполномоченный орган (Закон № 152-ФЗ Ст. 22 п. 3);
- получение письменного согласия субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4);
- уведомление субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4).
Уведомление об обработке персональных данных и письменное согласие субъекта персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2, ст. 6 п. 2).
Таким образом, актуальность данной работы обусловлена необходимостью разработки защиты систем обработки персональных данных в учреждении здравоохранения.
Объектом выпускной квалификационной работы является учреждение здравоохранения.
Предметом выпускной квалификационной работы является система обработки персональных данных в данном учреждении.
Целью дипломной работы является выбор и обоснование мер по защите системы обработки персональных данных.
В соответствии с поставленной целью необходимо решить следующие задачи: -проанализировать информационную систему учреждения здравоохранения, с целью обоснования необходимости создания системы защиты системы обработки персональных данных;
- провести анализ и теоретическое обоснование выбора средств защиты информации;
- разработать проект по модернизации системы защиты обработки персональных данных в учреждении здравоохранения.
В результате выполненных работ по реализации перечня мероприятий по модернизации системы защиты персональных данных учреждения здравоохранения было сделано:
- подготовлен комплект организационно-распорядительной документации;
- закуплены и установлены программно-аппаратные средства защиты информации;
- проведено обучение сотрудников порядку работы с персональными данными, обучение основам работы с СЗИ от НСД и инструктаж по антивирусной защите;
- были рассчитаны риски проекта и определены их максимальные и минимальные значения;
- было проведено разбиение работ и на его основе составлена матрица ответственности;
- была построена диаграмма Ганта и сетевой график;
- был проведен расчет бюджета проекта и его эффективности.
