- •Дипломная работа
- •Пояснительная записка
- •Содержание
- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.4 Объекты и предметы защиты в испДн мед.Учреждения
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в бузоо
- •1. 12. Недостатки в защите медицинского учреждения
- •1.13 Финансовые возможности медицинского учреждения
- •1.14 Этапы построения ксзи для мед. Учреждения
- •1.15Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •2.3 Расчет информационных рисков
- •2.4 Методики управления рисками
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3.1.1. Структура существующей системы
- •Дополнительные физически средства защиты информации.
- •Защита от пэМиН
- •3.3.3 Выбор программных средств защиты
- •3.3.3. Разграничение доступа
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
- •5 Экономическая часть
- •5.1 Заработная плата
- •5.1.1 Расчет трудоемкости
- •5.1.2 Расчет основной заработной платы
- •5.1.3 Расчет дополнительной заработной платы
- •5.2 Страховые взносы
- •5.3 Амортизация основных фондов
- •5.3.1 Расчет амортизации рабочего помещения за срок проектирования
- •5.3.2 Расчет амортизации по
- •5.3.3 Расчет расходных материалов
- •5.4 Расходы на электроэнергию
- •5.5 Расходы на материалы
- •5.6 Стоимость технического проектирования
- •5.7 Годовая экономия при использовании ксзи
2 Описание постановки задач
2.1 Постановка задачи
К задачам защиты информации в медицинском учреждении относятся :
Обеспечение деятельности медицинского учреждения режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной, в зависимости от нужд и прав. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать медицинскому учреждению возможность функционировать так же быстро и оправдывать затраты средств на защиту информации.
Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-ТС и методов выявления и нейтрализации источников угроз безопасности медицинского учреждения.
Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.
2.2. Цель и назначение системы безопасности
Целями и назначением системы безопасности в медицинском учреждении являются:
- предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и врачебной тайны);
- предотвращение угроз безопасности личности и медицинского учреждения;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение, конфиденциальности документированной информации в соответствии с законодательством.
2.3 Расчет информационных рисков
Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:
стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;
мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 — минимальная мера уязвимости (слабое воздействие), 2 — средняя (ресурс подлежит восстановлению), 3 — максимальная (ресурс требует полной замены после реализации угрозы);
оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года) и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле:
SLE = AV x EF;
итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле:
ALE = SLE x ARO.
Таким образом, конечная формула расчета рисков представляет собой произведение:
ALE = ((AV x EF = SLE) x ARO).
Полученные результаты излагаются в табличной форме (см. Таблицу 2).
Как видим, большинство из описанных параметров принимается на основе мнения эксперта. Это связано с тем, что количественная оценка вероятности реализации угрозы затруднена ввиду относительной новизны информационных технологий и, как следствие, отсутствия достаточного количества статистических данных. В случае оценки стоимости ресурса (AV) количественная оценка (например, в денежном эквиваленте) чаще всего не проводится, и тогда оценка параметра SLE затруднена.
|
|
Основная БД |
Реестр ОМС |
Информация о сотрудниках |
|
AV |
3 |
2 |
1 |
|
EF |
2 |
1 |
1 |
|
|
Основная БД |
Реестр ОМС |
Информация о сотрудниках |
|
ARO |
2 |
1 |
1 |
|
SLE |
6 |
2 |
1 |
|
ALE |
12 |
2 |
1 |
Как видно из таблицы, наибольший риск приходится на Основную БД. Т.к. эта информация имеет огромную ценность, вероятность ее утечки нужно свести к нулю. Реестр ОМС имеет ALE = 2, мы принимаем такой риск, соответственно и для информации о сотрудниках