Назначение системы защиты информации коммерческого предприятия
Содержание:
Введение
В настоящее время информация считается стратегическим национальным ресурсом - одним из основных богатств страны. С массовым внедрением компьютеров во все сферы деятельности человека объем информации, хранимой в электронном виде, вырос в тысячи раз. Под воздействием информатизации все сферы жизни общества приобретают новые качества - гибкость, динамичность. Однако одновременно возрастает и потенциальная уязвимость общественных процессов от информационного воздействия. В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных "взломах" банков, росте компьютерного пиратства, распространении компьютерных вирусов.
Особенно актуальна проблема информационной безопасности в сферах деятельности, где доступ к информации законодательно ограничивается или она запрещается к распространению в Российской Федерации. Информация ограниченного доступа подразделяется на сведения, представляющие собой: государственную тайну, коммерческую тайну, служебную тайну, профессиональную тайну, а также персональные данные граждан (физических лиц).
К профессиональной тайне может быть отнесена информация, полученная гражданами при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности. Профессиональная тайна подлежит защите в случае, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Целью информационной безопасности в подобного типа сферах является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
Защита данных в компьютерных сетях становится одной из самых важных проблем в современных информационно-вычислительных системах.
В настоящее время сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:
- целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;
- конфиденциальности информации;
- доступности информации для авторизованных пользователей.
При анализе проблем, связанных с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации, условно подразделяемые на три класса:
- средства физической защиты;
- программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);
- административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).
Особенностью медицинских информационных систем является, прежде всего, то, что в них хранится и обрабатывается информация, всесторонне определяющая социальный статус человека, а это обусловливает особую форму отношений между теми, кто ее формирует, и теми, кто использует. Значит, наряду с повышенными требованиями к достоверности информации должны накладываться нравственные ограничения на доступ к ней, а также юридическая ответственность предоставляющих ее лиц.
Целью курсовой работы является разработка политики информационной безопасности коммерческого предприятия.
Для достижения данной цели необходимо решить следующие задачи:
- изучить понятие и сущность информационной безопасности; - выявить наиболее распространенные угрозы информационной безопасности;
- определить понятие политики безопасности;
- рассмотреть модели защиты информации;
- проанализировать современные средства физической, аппаратной и программной защиты информации;
- дать обоснование необходимости обеспечения информационной безопасности коммерческого предприятия;
- обосновать модель защиты информации коммерческого предприятия;
- разработать политику защиты персональных данных коммерческого предприятия.
1. Аналитическая часть
1.1. Информационная безопасность
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности как страны в целом, так и отдельных регионов, населенных пунктов и организаций.
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Информационная безопасность организации - состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.
Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые возможны, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
Стандартной моделью безопасности считается модель, описываемая посредством следующих категорий:
- конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
- целостность - избежание несанкционированной модификации информации;
- доступность - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Выделяют и другие не всегда обязательные категории модели безопасности:
- неотказуемость или апеллируемость - невозможность отказа от авторства;
- подотчётность - обеспечение идентификации субъекта доступа и регистрации его действий;
- достоверность - свойство соответствия предусмотренному поведению или результату;
- аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Исследователи выделяют несколько категорий действий, которые могут нанести ущерб информационной безопасности организации. К ним относятся:
1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.
2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS_атаки.
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.
3. Компьютерные вирусы. Отдельной категорией электронных методов воздействия являются компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью организации.
4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами; вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
5. «Естественные» угрозы. На информационную безопасность организации могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д.
Таким образом, информационная безопасность представляет собой защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. В современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой организации. Поэтому особое внимание руководством фирмы должно уделяться выработке основных направлений политики безопасности и разработке специальных программ, направленных на обеспечение информационной безопасности.
1.2. Политика безопасности
Политика безопасности является необходимой для эффективной организации режима информационной безопасности компании. Традиционно в мировой практике политикой безопасности организации называется документ, в котором определены концептуальные и общеорганизационные вопросы информационной безопасности, отражены основные направления, цели и задачи, обязательства и важнейшие принципы деятельности предприятия в области информационной безопасности, официально сформулированные его высшим руководством и принятые к обязательному выполнению на предприятии. Согласно ИСО/МЭК 15408-99 «Общие критерии» политика безопасности организации - это одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. Политика безопасности является одним из компонентов среды безопасности, включающей также законы, опыт, специальные навыки, знания и угрозы безопасности, присутствие которых в этой среде установлено или предполагается. Изложение политики безопасности организации включается в такие документы как «Профиль защиты» и «Задание по безопасности».
Содержательно политика безопасности представляет собой совокупность норм и правил, регламентирующих процесс обработки информации, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз. Политика безопасности составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности.
Основное назначение политики безопасности – информирование сотрудников и руководства компании о существующих требованиях по защите информационных активов компании. Политика также определяет механизмы и способы, используемые для достижения выполнения этих требований. Для этого в политике безопасности должны быть определены показатели и критерии защищенности активов компании, в соответствии с которыми будут приобретаться и настраиваться средства защиты. Политика также служит основой для последующей разработки стандартов, процедур, регламентов безопасности.
Выделяют два типа политики безопасности: дискреционная (избирательная) и мандатная (полномочная).
Дискреционная политика безопасности – политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.
К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство распространенных в настоящее время АС обеспечивают выполнение положений именно данной политики безопасности.
Основным недостатком данного типа политики является статичность формируемой системы.
Мандатная политика безопасности – политика безопасности, основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности субъекта и объекта. Основу мандатной (полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control - MAC), которое подразумевает, что:
- все субъекты и объекты системы должны быть однозначно идентифицированы;
- задан линейно упорядоченный набор меток секретности;
- каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации - его уровень секретности в АС;
- каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в АС - максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.
Основная цель мандатной политики безопасности - предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в АС информационных каналов сверху вниз.
Достоинством мандатной политики безопасности является более высокая степень надежности, правила в ней ясны и понятны.
Это связано с тем, что МБО такой системы должен отслеживать не только правила доступа субъектов системы к объектам, но и состояния самой АС. Таким образом, каналы утечки в системах данного типа не заложены в нее непосредственно (что мы наблюдаем в положениях предыдущей политики безопасности), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандатной политики безопасности более ясны и просты для понимания разработчиками и пользователями АС, что также является фактором, положительно влияющим на уровень безопасности системы.
Недостатком является то, что реализация систем с политикой безопасности данного типа довольно сложна и требует значительных ресурсов вычислительной системы.
Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. Для того, чтобы разработать эффективную и недорогую политику безопасности для защиты соединений с Интернетом, нужно выполнить тот или иной анализ риска для оценки требуемой жесткости политики, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики. То, насколько жесткой будет политика, зависит от: 1) уровня угроз, которым подвергается организация и видимость организации из внешнего мира; 2) уязвимости организации к последствиям потенциальных инцидентов с безопасностью со стороны государственных законов и требований вышестоящих организаций, которые могут явно определять необходимость проведения того или иного вида анализа риска или диктовать применение конкретных средств обеспечения безопасности для конкретных систем, приложений или видов информации.
Таким образом, политика информационной безопасности – это совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Для построения политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы: защита объектов информационной системы; защита процессов, процедур и программ обработки информации; защита каналов связи (акустическая информация, инфракрасные, проводные, радиоканалы и др.); подавление побочных электромагнитных излучений; управление системой защиты.
При этом по каждому из перечисленных направлений политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
- Определение информационных и технических ресурсов, подлежащих защите;
- Выявление полного множества потенциально возможных угроз и каналов утечки информации;
- Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
- Определение требований к системе защиты;
- Осуществление выбора средств защиты информации и их характеристик;
- Внедрение и организация использования выбранных мер, способов и средств защиты;
- Осуществление контроля целостности и управление системой защиты.
1.3. Современные средства физической, аппаратной и программной защиты информации
Для обеспечения защиты информации и информационной безопасности организации используется ряд средств. К ним относятся физические средства защиты, аппаратные средства защиты информации и программные средства. Дадим характеристику каждому из этих типов средств обеспечения информационной безопасности.
Физические средства защиты – это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.
Эти средства применяются для решения следующих задач:
1. охрана территории предприятия и наблюдение за ней;
2. охрана зданий, внутренних помещений и контроль за ними;
3. охрана оборудования, продукции, финансов и информации;
4. осуществление контролируемого доступа в здания и помещения.
Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов – это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз.
В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:
- охранные и охранно-пожарные системы;
- охранное телевидение;
- охранное освещение;
- средства физической защиты.
Аппаратные средства защиты информации – это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа. К аппаратным средствам обеспечения информационной безопасности относятся самые разные по принципу работы, устройству и возможностям технические средства, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.
Использование аппаратных средств защиты информации позволяет решать следующие задачи:
- проведение специальных исследований технических средств на наличие возможных каналов утечки информации;
- выявление каналов утечки информации на разных объектах и в помещениях;
- локализация каналов утечки информации;
- поиск и обнаружение средств промышленного шпионажа;
- противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.
По назначению аппаратные средства классифицируют на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения общих оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и измерения всех характеристик средств промышленного шпионажа.
Программная защита информации – это система специальных программ, реализующих функции защиты информации. Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации:
- защита информации от несанкционированного доступа;
- защита информации от копирования;
- защита информации от вирусов;
- программная защита каналов связи.
Проанализируем каждое из этих направлений.
1) Защита информации от несанкционированного доступа:
Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:
- идентификация субъектов и объектов;
- разграничение доступа к вычислительным ресурсам и информации;
- контроль и регистрация действий с информацией и программами.
Процедура идентификации и подтверждения подлинности предполагает проверку, является ли субъект, осуществляющий доступ, тем, за кого себя выдает.
Наиболее распространенным методом идентификации является парольная идентификация. Практика показала, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать.
После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях: аппаратуры, программного обеспечения и данных.
2) Защита от копирования:
Средства защиты от копирования предотвращают использование нелегальных копий программного обеспечения и являются в настоящее время единственно надежным средством, защищающим авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального не копируемого элемента. Таким элементом (называемым ключевым) может быть определенная часть компьютера или специальное устройство.
3) Защита информации от разрушения:
Одной из задач обеспечения безопасности для всех случаев пользования компьютером является защита информации от разрушения. Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и пр.), то проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.
Необходимо специально отметить опасность компьютерных вирусов. Компьютерный вирус – это небольшая, достаточно сложная и опасная программа, которая может самостоятельно размножаться, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами — от «безобидной» выдачи какого-либо сообщения до стирания, разрушения файлов. Антивирус — программа, обнаруживающая и удаляющая вирусы.
Таким образом, для обеспечения защиты информации и информационной безопасности организации используются физические средства защиты, аппаратные средства защиты информации и программные средства.
1.4. Обоснование необходимости обеспечения информационной безопасности
Среди мер для повышения надежности и безопасности информационных систем целесообразно использовать следующие основные методы и способы защиты:
- кардинальное улучшение системы регистрации первичных данных на основе применения индивидуальных носителей информации (ИНИ);
- обязательное дублирование информации, хранимой в ИНИ, в базах данных различных уровней;
- периодическая (лучше ежедневная) актуализация всех баз данных в информационной системе (эта мера исключает возможность фальсификации сведений "задним числом");
- обеспечение доступа к информации различными путями: открыть часть информации для всех, открыть часть информации для чтения и записи специалистам при условии их идентификации, и, наконец, часть информации открыть для чтения с разрешения пациента;
- для достижения необходимого уровня защиты информации со стороны программных средств использовать средства сетевых операционных систем.
Защита информации от несанкционированного доступа должна обеспечиваться блокированием доступа к информации:
- для СУБД - со стороны как персонала, так и тех задач системы, которым данная информация не требуется в силу функционального назначения;
- на рабочем месте - со стороны пользователей, не обладающих соответствующими полномочиями на доступ к различным информационным ресурсам;
- по каналам связи - со стороны сетевых пользователей и тех задач системы, которым данная информация не требуется опять-таки в силу функционального назначения.
Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.
Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности: постоянный контроль функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и НСД, обновление и дополнение механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обоснование и реализация на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием.
Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.
Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм - систему информационной безопасности. Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранение конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами. Без соблюдения этих условий никакая система информационной безопасности не может обеспечите требуемого уровня защиты. Медицинское учреждение должно целенаправленно формировать политику информационной безопасности.
2. Практическая часть
2.1. Выбор и обоснование модели защиты информации коммерческого предприятия
Информационная безопасность в первую очередь ассоциируется с безопасностью информационных систем. Именно этому и посвящено абсолютное большинство работ на эту тему. Однако такой подход является ошибочным: безопасность компьютерных систем является лишь частью общей системы информационной безопасности любого предприятия. Ведь "информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления". И организация комплексной системы информационной безопасности весьма актуальна для медицинских учреждений, где основным и самым распространенным носителем информации является бумажный документ – амбулаторная карта, история болезни, лист назначений и т.д.
Информационная безопасность коммерческого предприятия должна начинаться с мероприятий по обеспечению его общей безопасности, среди которых выделяют:
- Ограничение доступа на территорию предприятия;
- Ограничение доступа в здания и сооружения;
- Выделение зон (помещений) с ограниченным доступом – лишь для лиц, имеющих специальный допуск;
- Защита объекта, закрытой территории и территорий ограниченного доступа, материальных ценностей, ценных бумаг и персонала предприятия от насильственных действий, терроризма, захвата заложников и вооруженных нападений со стороны преступных элементов.
Конкретное содержание мероприятий по обеспечению информационной безопасности для каждого отдельно взятого учреждения может быть различным по масштабам и формам. Это зависит в первую очередь от структуры, финансовых и иных возможностей предприятия, а также от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что все эти мероприятия обязательно должны планироваться и использоваться с учетом особенностей использования в медицинском учреждении средств вычислительной техники и функционирования информационной системы.
Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации всех видов. Как правило, особый режим конфиденциальности подразумевает:
- организацию охраны помещений, в которых содержатся носители конфиденциальной информации;
- установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации;
- установление режима доступа (или пропускного режима) в помещения, содержащие носители конфиденциальной информации;
- закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность;
- установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);
- организацию ремонта технических средств обработки конфиденциальной информации;
- организацию контроля за установленным порядком.
Требования устанавливаемого на предприятии особого режима конфиденциальности оформляются в виде организационно-распорядительных документов и доводятся для ознакомления до сотрудников предприятия.
Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Традиционно для организации доступа к конфиденциальной информации используются организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. В них должен быть четко определен круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.
Требования по соблюдению информационной безопасности и ответственность и санкции за их невыполнение должны быть в обязательном порядке включены в трудовой договор (контракт) между работником и предприятием, причем не размыто и безлико, а конкретно и дифференцированно, в зависимости от выполняемых работником функциональных обязанностей. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно, только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.
Суть этих формальностей, изложенных в статье 139 Гражданского кодекса Российской Федерации, заключается в том, что, во-первых, информация должна иметь действительную или потенциальную коммерческую ценность, во-вторых, учреждению необходимо принять определенные меры по охране конфиденциальности и, в-третьих, все сотрудники, знакомые с этими сведениями, должны быть официально предупреждены об их конфиденциальности.
Только при соблюдении всех перечисленных условий возможно применение санкций за несоблюдение требований информационной безопасности.
В трудовом договоре (контракте) условия сохранения конфиденциальности должны быть оговорены не только на период совместной работы, но и на определенный срок после завершения этих взаимоотношений. Только в этом случае имеется возможность при необходимости предъявлять какие-либо претензии. Особенно это касается сотрудников информационных служб, администраторов локальных вычислительных сетей и баз данных, имеющих прямой доступ к информационным ресурсам предприятия.
На защиту интересов владельцев информации — основных потребителей товаров и услуг в области ее защиты — нацелены "Система сертификации средств защиты информации по требованиям безопасности информации" (РОСС RU 0001. 01БИ00) и "Система сертификации средств криптографической защиты информации (СКЗИ)" (РОСС RU 0001.03001).
В некоторых коммерческих организациях организации, использующей электронные медицинские архивы, должен существовать документ "Политика безопасности" в отношении электронных персональных медицинских записей. В открытой части документа должно быть отражено: сведения об ЭМА, существующих в данной организации (включая их идентификаторы); сведения о типах ЭПМЗ, содержащихся в этих архивах; сведения о мерах безопасности, использующихся для обеспечения сохранности, неизменности и достоверности ЭПМЗ; сведения о лицах, имеющих права на создание, ведение, подписание, доступ, просмотр, распечатку, копирование и передачу ЭПМЗ по электронным каналам связи, с указанием способов обеспечения этих прав в конкретных ситуациях; сведения о лицах, ответственных за обеспечение безопасности и прав доступа в системе; сведения о лицах, имеющих особые права в данной системе (администрирование архива, выполнение особо ответственных и нештатных процедур), с указанием меры их ответственности. Закрытая часть ПБ должна содержать описание технических методов и средств обеспечения безопасности ЭМА и предоставляться только органам по сертификации или иным компетентным органам по решению суда. Национальный стандарт РФ ГОСТ Р 52636-2006 «Электронная история болезни. Общие положения» (Дата введения - 1 января 2008 года)
Должны быть оговорены принципы идентификации и аутентификации. Идентификация (лат. Identifico отождествлять) в компьютерной безопасности означает процесс сообщения субъектом своего имени или номера, с целью получения определённых полномочий (прав доступа) на выполнение некоторых (разрешенных ему) действий в системах с ограниченным доступом. Аутентификация (англ. Authentication) или подтверждение подлинности процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации. Авторизация (англ. Authorization) процесс, а также результат процесса проверки (через идентификацию или аутентификацию) некоторых обязательных параметров пользователя и, при успешности, предоставление ему определённых полномочий (прав доступа) на выполнение некоторых (разрешенных ему) действий в системах с ограниченным доступом.
Доступ пользователя к информационным ресурсам компьютера и / или локальной вычислительной сети предприятия должен разрешаться только после его идентификации и аутентификации по псевдониму (логину) и паролю. В качестве пароля должна выбираться последовательность символов, обеспечивающая малую вероятность её угадывания. Пароль должен легко запоминаться. Запрещается использовать в качестве пароля «пустой» пароль, имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Выдачу пользователям паролей должен производить администратор информационной системы, который ведет "Журнал смены личных паролей". Внеплановая смена (удаление) личного пароля любого пользователя автоматизированной системы должна производиться в случае прекращения его полномочий (увольнение, либо переход на другую работу) немедленно после окончания последнего сеанса работы данного пользователя системы. Внеплановая полная смена всех паролей должна производится в случае прекращения полномочий администраторов информационной безопасности и других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению автоматизированной системой в целом, либо полномочия по управлению подсистемой защиты информации данной автоматизированной системы, а значит, кроме личного пароля им могут быть известны пароли других пользователей системы. Для организации своевременной и эффективной парольной защиты необходимо внесение записи – отметки о блокировании (удалении) пароля в обходной лист увольняемого сотрудника.
Должно быть предусмотрено программное обеспечение безопасности. Так, может быть использован контактный считыватель смарт-карт, подключаемых через порт USB (смарт-карты врача и пациента, используемые в системе здравоохранения Германии и Франции), социальные карты жителей населенного пункта. Рекомендуется использовать программно-аппаратные средства защиты информации, сертифицированные Гостехкомиссией России («Аккорд - АМДЗ», «Криптон - замок/PCI», электронные замки «Соболь»), iButton семейство микроэлектронных устройств фирмы Dallas Semiconductor (USA), осуществлять биометрическую аутентификацию личности с помощью отпечатков пальцев, сканирования радужной оболочки или глазного дна, биометрического считывателя HandKey, оценки индивидуальных черт лица.
Должна использоваться антивирусная защита. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам от сторонних лиц и организаций. При возникновении подозрения на наличие компьютерного вируса пользователь должен провести внеочередной антивирусный контроль, или при необходимости привлечь специалистов информационного подразделения для определения факта наличия или отсутствия компьютерного вируса. При обнаружении компьютерного вируса пользователь или сетевой администратор обязан приостановить работу, провести лечение заражённых вирусом файлов штатными антивирусными средствами, а при невозможности или неэффективности лечения уничтожить заражённые вирусом файлы способом, исключающим их восстановление.
2.2. Разработка политики защиты персональных данных в коммерческой организации
Политика информационной безопасности информационных систем персональных данных
Общие положения
Настоящая политика информационной безопасности является официальным документом.
В Политике определены требования к работникам организации, работающим с информационной системой персональных данных (ИСПДн), степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в ИСПДн учреждения.
Цель Политики информационной безопасности – обеспечение безопасности объектов защиты (персональных данных) учреждения от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Информация и связанные с ней ресурсы должны имеют доступ только для авторизованных пользователей.
В целях предотвращения преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения ПДн проводятся плановые мероприятия.
По результатам обследования информационных систем учреждения определены ИСПДн, подлежащие защите.
Область действия
Требования Политики информационной безопасности распространяются на всех работников учреждения (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).
Система защиты персональных данных
Система защиты персональных данных (СЗПДн), строится на основании:
- «Отчета о результатах проведения внутренней проверки»;
- «Перечня персональных данных, подлежащих защите»;
- «Акта классификации информационной системы персональных данных»;
- «Модели угроз безопасности персональных данных»;
- «Положения о разграничении прав доступа к обрабатываемым персональным данным»;
- Руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн учреждения. На основании анализа актуальных угроз безопасности ПДн делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в «Плане мероприятий по обеспечению защиты ПДн».
Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн: АРМ пользователей; сервера приложений; СУБД; граница ЛВС; каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства: антивирусные средства для рабочих станций пользователей и серверов; системы управления и разграничения прав доступа; средства межсетевого экранирования; средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
Так же в список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн включаются функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты.
Функции защиты должны обеспечивать целостность данных и производить обнаружение вторжений.
Список используемых технических средств отражается в «Плане мероприятий по обеспечению защиты персональных данных». Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в список и утверждены руководителем учреждения или лицом, ответственным за обеспечение защиты ПДн.
Требования к подсистемам СЗПДн
СЗПДн включает в себя следующие подсистемы: управления доступом, регистрации и учета; обеспечения целостности и доступности; антивирусной защиты; межсетевого экранирования; анализа защищенности; обнаружения вторжений; криптографической защиты.
Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в «Акте классификации информационной системы персональных данных».
Подсистемы управления доступом, регистрации и учета
Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций: идентификации и проверки подлинности субъектов доступа при входе в ИСПДн; идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам; идентификации программ, томов, каталогов, файлов, записей, полей записей по именам; регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрации загрузки и инициализации операционной системы и ее остановки; регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам; регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
Подсистема обеспечения целостности и доступности
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Учреждения, а так же средств защиты, при случайной или намеренной модификации.
Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.
Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн учреждения.
Средства антивирусной защиты предназначены для реализации следующих функций:
- резидентный антивирусный мониторинг;
- антивирусное сканирование;
- скрипт-блокирование;
- централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
- автоматизированное обновление антивирусных баз;
- ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
- автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.
Подсистема межсетевого экранирования
Подсистема межсетевого экранирования предназначена для реализации следующих функций: фильтрации открытого и зашифрованного (закрытого) IP-трафика по определенным параметрам; фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике; идентификации и аутентификации администратора межсетевого экрана при его локальных запросах на доступ; регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова; контроля целостности своей программной и информационной части; фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; фильтрации с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов; регистрации и учета запрашиваемых сервисов прикладного уровня; блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату; контроля за сетевой активностью приложений и обнаружения сетевых атак.
Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛСВ, классом не ниже 4.
Подсистема анализа защищенности
Подсистема анализа защищенности, должна обеспечивать выявление уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
Подсистема обнаружения вторжений
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
Подсистема криптографической защиты
Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн учреждения, при ее передачи по каналам связи сетей общего пользования и (или) международного обмена.
Подсистема реализуется внедрением криптографических программно-аппаратных комплексов.
Пользователи ИСПДн
В ИСПДн учреждения можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн: администратор ИСПДн; администратор безопасности; оператор АРМ; администратор сети; технический специалист по обслуживанию периферийного оборудования; программист-разработчик ИСПДн.
Администратор ИСПДн
Администратор ИСПДн, сотрудник учреждения, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные. Администратор ИСПДн обладает следующим уровнем доступа и знаний: обладает полной информацией о системном и прикладном программном обеспечении ИСПДн; обладает полной информацией о технических средствах и конфигурации ИСПДн; имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн; обладает правами конфигурирования и административной настройки технических средств ИСПДн.
Администратор безопасности
Администратор безопасности, сотрудник Учреждения, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент. Администратор безопасности обладает следующим уровнем доступа и знаний: обладает правами Администратора ИСПДн; обладает полной информацией об ИСПДн; имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн; не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). Администратор безопасности уполномочен: реализовывать политику безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн; осуществлять аудит средств защиты; устанавливать доверительные отношения своей защищенной сети с сетями других учреждений.
Оператор АРМ
Оператор АРМ, сотрудник учреждения, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн. Оператор ИСПДн обладает следующим уровнем доступа и знаний: обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн; располагает конфиденциальными данными, к которым имеет доступ.
Администратор сети
Администратор сети, сотрудник учреждения, ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности. Администратор сети обладает следующим уровнем доступа и знаний: обладает частью информации о системном и прикладном программном обеспечении ИСПДн; обладает частью информации о технических средствах и конфигурации ИСПДн; имеет физический доступ к техническим средствам обработки информации и средствам защиты; знает, по меньшей мере, одно легальное имя доступа.
Программист-разработчик ИСПДн
Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут относиться как сотрудники учреждения, так и сотрудники сторонних организаций. Лицо этой категории: обладает информацией об алгоритмах и программах обработки информации на ИСПДн; обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения; может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
Требования к персоналу по обеспечению защиты ПДн
Все сотрудники учреждения, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Сотрудники учреждения, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Сотрудники учреждения должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
Сотрудники учреждения должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами учреждения, третьим лицам.
При работе с ПДн в ИСПДн сотрудники учреждения обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.
При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Сотрудники учреждения должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
Должностные обязанности пользователей ИСПДн
Должностные обязанности пользователей ИСПДн описаны в следующих документах: «Инструкция администратора ИСПДн»; «Инструкция администратора безопасности ИСПДн»; «Инструкция пользователя ИСПДн»; «Инструкция пользователя при возникновении внештатных ситуаций».
Ответственность сотрудников, пользователей ИСПДн учреждения
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).
Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях сотрудниками учреждения – пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
Основными нормативно-правовыми и методическими документами, на которых базируется Положение о политике информационной безопасности являются:
- Федеральный закон от 27.06.2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
- Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации по обеспечению безопасности ПДн при их обработке в ИСПДн;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП);
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г.;
- Приказ Федеральной службы по техническому и экспортному контролю от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
- Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК);
- Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК);
Информационные системы, в которых обрабатываются персональные данные работников:
- Автоматизированная информационная система «Перечень льготных профессий на предприятии», класс информационной системы К3;
- Автоматизированная информационная система «Регистр медицинских и фармацевтических работников REVDO», класс информационной системы К3;
- Автоматизированная информационная система «Федеральный регистр медицинских работников», класс информационной системы К3;
- Автоматизированная информационная система «Программа комплексного бухгалтерского учета bit 2000», класс информационной системы К3;
- Автоматизированная информационная система «Программный продукт «Парус», класс информационной системы К3.
Основание для обработки персональных данных: Трудовой кодекс РФ ст. 85-90.
Цель обработки персональных данных: бухгалтерский, кадровый, налоговый учет.
Меры безопасности, которые необходимо принять: Провести оценку вреда, который может быть причинен субъектам персональных данных. Определить актуальные угрозы безопасности персональных данных при обработке персональных данных в информационных системах персональных данных. Организовать режим обеспечения безопасности помещений, в которых размещены информационные системы. Обеспечить сохранность носителей персональных данных. Приказом утвердить перечень должностных лиц учреждения, которым разрешен доступ к персональным данным. Использовать лицензионные средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ: СЗИ «Система защиты информации от несанкционированного доступа «Dallas Lock 7.5», антивирусная защита СЗИ «Антивирус Касперского 6.0 для Windows Workstations»; СЗИ «Система криптографической защиты информации «Крипто Про CSP» версия 3.6.; Программный комплекс UserGate Proxy & Firewall 5.2.F. Приказом назначить должностных лиц: ответственное за организацию защиты информации; ответственное за обеспечение безопасности персональных данных в информационных системах; ответственный пользователь криптосредств.
Заключение
В настоящее время благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, контроля и управления различными объектами. К таким системам относятся и медицинские информационные системы.
Их особенностью является, прежде всего, то, что в них хранится и обрабатывается информация, всесторонне определяющая социальный статус человека, а это обусловливает особую форму отношений между теми, кто ее формирует, и теми, кто использует. Значит, наряду с повышенными требованиями к достоверности информации должны накладываться нравственные ограничения на доступ к ней, а также юридическая ответственность предоставляющих ее лиц.
Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.
Список литературы
- Галатенко В.А. Основы информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ.ру, 2008.
- Горбунов В.И., Лапицкая Л,В., Возженникова Г.В., Никифоров Д.А. Основы маркетинга медицинских услуг: Методические рекомендации. Ульяновск: УлГУ, 1998. - 24 с.
3. Гулиев Я.И., Фохт И.А., Фохт О.А., Белякин А.Ю. Медицинские информационные системы и информационная безопасность. Проблемы и решения // http://skif.pereslavl.ru/psi-info/psi/psi-publications/e-book-2009/volume2/175-Guliev.Healthcare_Information.pdf
- Иорданская Н.А. Маркетинг в здравоохранении: учебное пособие / Н.А. Иорданская, Т.В. Поздеева, В.А. Носкова. Н. Новгород: изд-во Нижегородской государственной медицинской академии, 2008. — 64 с.
- Концепция развития системы здравоохранения в Российской Федерации до 2020 года.
- Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2005. - 608 c.: ил.
- Лопатин В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000. - 428 с.
- Лукевич В.С. Основы социальной медицины и управления здравоохранением. СПб.: СПбГМА, 1997. – 184 с.
- Обеспечение информационной безопасности медицинского учреждения // http://krasgmu.ru/sys/files/ebooks/el_medinfo_lessons/Lesson_6/index.htm
- Политикабезопасности//http://www.coolreferat.com/Политика_безопасност
- Система поддержания здоровья в современной России: сб. ст. и материалов полевых исслед. / [С. Г. Кордонский и др.]; под ред. И.В. Кошкаровой. – М.: Страна Оз, 2012. – 400 с.
- Тищенко Е.М., Заборовский Г.И. Общественное здоровье и здравоохранение: Учебное пособие для студентов факультета медицинских сестер с высшим образованием. Гродно, 2004. – 156 с.
- Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. - 544 с.
- Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009. - 352 с.
- Необходимость возникновения и применения денег
- Управление финансовыми рисками на предприятии (диагностика банкротства)
- Консолидированная отчетность, порядок ее формирования
- «Особенности формирования и функционирования олигополии»
- Оборотные активы предприятия (способы обеспечения фирмы оборотными средствами)
- Правовое отношение
- Ценообразование на услуги фитнес-клуба
- Послепечатные процессы полиграфического производства
- Рекламно-графический комплекс для музея
- Возмещение морального вреда (основания для компенсации морального вреда)
- Обзор развития технологий Интернета
- Реализация операций бизнес-процесса