- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.4 Объекты и предметы защиты в медицинском учреждении
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в ск
- •1. 12. Недостатки в защите медицинского учреждения
- •1.13 Финансовые возможности медицинского учреждения
- •1.14 Этапы построения ксзи для мед. Учреждения
- •1.15 Требования руководящих документов к системе безопасности объекта
- •1.15.1 Требования руководящих документов к системам видеонаблюдения
- •1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
- •1.15.3 Требования нормативно-методических документов по защите информации на объект
- •Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
- •Закон "Об информации, информационных технологиях и защите информации"
- •1.16 Обоснование выбора методов и средств защиты
- •1.17 Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Создание службы защиты информации
- •3.2.2 Проверка лояльности персонала медицинского учреждения
- •3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3 Инженерно-техническая защита
- •3.3.1 Физические
- •3.3.1.1 Построения системы обеспечения безопасности объекта для медицинского учреждения
- •Дополнительные физически средства защиты информации.
- •3.3.2 Выбор аппаратных средств защиты
- •Защита телефонной линии
- •Защита по акустическому каналу
- •Генератор шума гш-1000м
- •Генератор шума гш-к-1000м
- •Устройство защиты цепей электросети и заземления sel sp-44
- •3.3.3 Выбор программных средств защиты
- •3.4 Введение в эксплуатацию системы защиты информации
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
- •7 Безопасность жизнедеятельности
- •7.1 Характеристика условий труда сотрудника мед. Учренждения
- •7.2 Требования к помещениям Окраска и коэффициенты отражения
- •Освещение
- •Параметры микроклимата
- •Шум и вибрация
- •Электромагнитное и ионизирующее излучения
- •7.3 Эргономические требования к рабочему месту
- •7.4 Режим труда
- •7.5 Расчет освещенности
- •7.6 Расчет уровня шума
1.11 Прошлые случаи кражи в ск
Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.
1. 12. Недостатки в защите медицинского учреждения
Внешние недостатки:
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
Внутренние недостатки:
недостаточное внимание к обеспечению защиты информации со стороны руководства (нет отдельной службы защиты информации);
довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников учреждения (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
полное отсутствие разграничения доступа
Сервер, на котором хранится база даных имеет прямой доступ в интернет.
недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в мед. учреждении (в данный момент в штате нет ни одного специалиста по защите информации).
Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ)
Генераторы электромагнитного шума в помещении не установлены и не могут использоваться.
Окна организации выходят во двор.
Отсутствует защита телефонных, а так же UTP-8 линий.
Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.
На предприятии существуют устаревшие методы и принципы организации работы с документами.
Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.
Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.
1.13 Финансовые возможности медицинского учреждения
В связи с выходом законов и стремительном развитии нормативно правовых актов в сфере защиты информации, муниципальные учреждения финансируются, для создания КСЗИ с соблюдением всех норм и правил, установленных на территории РФ. Для улучшения этой КСЗИ, финансирование будет идти из своего бюджета, по этому:
простота защиты;
приемлемость защиты для пользователей;
подконтрольность системы защиты;
постоянный контроль за наиболее важной информацией;
минимизация привилегий по доступу к информации;
независимость системы управления для пользователей;
устойчивость защиты во времени и при неблагоприятных обстоятельствах;
минимизация общих механизмов защиты.