Файл: Высшая школа электроники и компьютерных наук Кафедра Защита информации.pdf

Министерство образования и науки Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
«Южно-Уральский государственный университет
(национальный исследовательский университет)»
Высшая школа электроники и компьютерных наук
Кафедра «Защита информации»
Модернизация системы защиты данных пациентов
учреждения здравоохранения
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЕ
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Руководитель проекта, начальник отдела аттестации
___________Е.Ю. Мищенко
_______________ 2018 г.
Автор проекта, студент группы КЭ-471
__________В.А.Башканова
________________ 2018 г.
Нормоконтролер, к.т.н., доцент
___________В.П. Мартынов
______________ 2018 г.
Челябинск 2018
ДОПУСТИТЬ К ЗАЩИТЕ
Заведующий кафедрой, к.т.н., доцент
______________ А.Н. Соколов
_______________ 2018 г.

Министерство образования и науки Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
«Южно-Уральский государственный университет
(национальный исследовательский университет)»
Высшая школа электроники и компьютерных наук
Кафедра «Защита информации»
Специальность 10.03.01 «Информационная безопасность»
З А Д А Н И Е
на выпускную квалификационную работу студента
Башкановой Валентины Андреевны
Группа __________
1
Тема работы
Утверждена приказом ректора ЮУрГУ от ______________________ № _________
(утверждена, прот. заседания кафедры от _______________________ № _________)
2
Срок сдачи студентом законченной работы _______________________________
3
Исходные данные к работе
− Отчет о преддипломной практике;
− Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ;
− Постановление Правительства РФ от 1 ноября 2012 г. № 1119
− Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан в
Российской Федерации» 21 ноября 2011 года
− Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Модернизация
системы защиты персональных данных
пациентов учреждения здравоохранения
КЭ-471
УТВЕРЖДАЮ
Заведующий кафедрой
____________________ А.Н. Соколов
_____________________ 2018 г.

4
Содержание расчетно-пояснительной записки (перечень подлежащих разработке вопросов)
− провести обследование сетевой инфраструктуры ГБУЗ «Челябинский областной клинический противотуберкулезный диспансер»
− составить технический паспорт на отдел технического обслуживания;
− разработать перечень персональных данных, подлежащих защите в системе обработки персональных данных;
− составить типовую схему ГБУЗ «Челябинский областной клинический противотуберкулезный диспансер»
− изучить действующие документы по аудиту информационной безопасности;
− проанализировать программное обеспечение, использующееся для тестов на проникновение в сетевую инфраструктуру;
− разработать частную модель угроз информационной безопасности и провести расчет рисков;
− создать модели нарушителя и выявить точки входа нарушителей;
− дать рекомендации по усовершенствованию защищенности персональных данных пациентов в ГБУЗ «Челябинский областной клинический противотуберкулезный диспансер».
5 Перечень графического материала (с точным указанием обязательных чертежей, плакатов в листах формата А1)
Всего ___ листов

6 Консультанты по работе (проекту), с указанием относящихся к ним разделов работы (проекта)
Раздел
Консультант
Подпись, дата
Задание выдал
(консультант)
Задание принял
(студент)
7 Дата выдачи задания __________________________________________________
Руководитель,
Начальник отдела аттестации ООО «Стратегия безопасности»______________________________________________Е.Ю.Мищенко
Задание принял к исполнению ________________________________В.А.Башканова
25 января 2018

КАЛЕНДАРНЫЙ ПЛАН
Наименование этапов выпускной
квалификационной работы (проекта)
Срок выполнения
этапов работы
Отметки
о выполнении
руководителя
Введение
24.03.2018
1. Анализ состояния защищенности сетевой инфраструктуры в учреждении
24.03.2018
1.1. Разработка технического паспорта
24.03.2018
1.2. Выявление защищаемой информации
24.03.2018
1.3. Описание сетевой инфраструктуры
24.03.2018
1.4. Выявление объектов аудита
24.03.2018
1.5. Разработка частной модели угроз
ИСПДн и расчет рисков
24.03.2018
1.5.1.
Расчет рисков информационной безопасности
24.03.2018
1.5.2.
Вероятность реализации угроз безопасности персональных данных
24.03.2018
1.5.3. Реализуемость угроз
24.03.2018
1.5.4. Оценка опасности угроз
24.03.2018
1.5.5. Определение актуальности угроз
24.03.2018
1.6.
Разработка плана проведения внутреннего аудита учреждения
24.03.2018
1.7. Выводы по первой главе
24.03.2018
2.
Создание программы и методики проведения внутреннего аудита сетевой инфраструктуры учреждения
30.04.2018
2.1. Постановка целей аудита сетевой инфраструктуры
30.04.2018
2.2.
Создание копии сетевой инфраструктуры ОБГУ «ЧРЦНИТ» для тестов
30.04.2018
2.2.1. Эмуляция сетевой инфраструктуры
ОБГУ «ЧРЦНИТ»
30.04.2018
2.2.2. Создание виртуальных копий дисков
30.04.2018
2.3. Изучение механизмов защиты сетевой инфраструктуры ОБГУ «ЧРЦНИТ»
30.04.2018
2.4. Создание моделей нарушителя
30.04.2018
2.5. Выявление физических точек входа нарушителей
30.04.2018
2.6. Изучение программного обеспечения для аудита сетевой инфраструктуры
30.04.2018
2.7. Разработка программы и методики проведения внутреннего аудита сетевой инфраструктуры
30.04.2018
2.8. Выводы по второй главе
30.04.2018

3.
Проведение внутреннего аудита учреждения
30.04.2018
3.1. Создание виртуальных копий АРМ сотрудников ОБГУ «ЧРЦНИТ»
30.04.2018
3.2. Эмуляция сетевой инфраструктуры
ОБГУ «ЧРЦНИТ»
30.04.2018
3.3. Проведение тестирования сетевой инфраструктуры на проникновение
30.04.2018
3.4. Составление протоколов внутреннего аудита ОБГУ «ЧРЦНИТ»
30.04.2018
3.5. Выводы из отчета и рекомендации по защите сетевой инфраструктуры
30.04.2018
3.6. Выводы по третьей главе
30.04.2018
Заключение
30.04.2018
Библиографический список
15.05.2018
Предзащита ВКР
4.06.2018
Защита ВКР
11.06.2018
Заведующий кафедрой ______________________________
А.Н. Соколов
Руководитель работы ______________________________
Е.Ю. Мищенко
Студент
______________________________
В.А. Башканова

АННОТАЦИЯ
Башканова В.А. Модернизация системы защиты персональных данных пациентов учреждения здравоохранения – Челябинск:
ЮУрГУ, КЭ-471, 89 с., 1 ил., 17 табл., библиогр. список – 18 наим., 7 прил.
Выпускная квалификационная работа выполнена с целью совершенствования системы защиты системы обработки персональных данных в учреждении здравоохранения.
В выпускной квалификационной работе отражены все этапы создания системы защиты персональных данных, от сбора исходных данных до заключения о соответствии нормативным документам РФ по защите персональных данных.
Работа состоит из трех глав. В процессе выполнения квалификационной работы было проведено предпроектное обследование предприятия, созданы все необходимые документы, регламентирующие порядок защиты информации, а также описывающих информационную систему персональных данных предприятия. Было проведено проектирование системы защиты, включающее в себя выбор средств защиты, предотвращающих актуальные угрозы предприятия, приведено обоснование их эффективности и экономической целесообразности.
Лист
7
ЮУрГУ – 10.03.01.2017.097.ПЗ ВКР
Модернизация системы защиты
персональных данных пациентов
учреждения здравоохранения
Лит.
Листов
ЮУрГУ
Кафедра ЗИ
89
Реценз.
Пров.
Мищенко
Разраб.
Башканова
Изм.
Дата
Лист № докум.
Подпись
Н. Кон.
Мартынов
Утв.
Соколов

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
8
ОГЛАВЛЕНИЕ
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ ..................................................................... 10
ВВЕДЕНИЕ .............................................................................................................. 12 1.АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ УЧРЕЖДЕНИЯ
ЗДРАВООХРАНЕНИЯ И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ .......................... 14 1.1.
Разработка технического паспорта ................................................................. 14 1.2.
Разработка модели деятельности ..................................................................... 14 1.3.
Выявление защищаемой информации ............................................................ 14 1.4.
Описание информационной системы .............................................................. 14 1.5.
Выявление объектов защиты ........................................................................... 17 1.6.
Разработка модели угроз и уязвимостей для важных объектов защиты ..... 17 1.6.1.
Угрозы несанкционированного доступа к информации ........................... 18 1.6.2.
Угрозы преднамеренных действий внутренних нарушителей ................ 22 1.6.3.
Угрозы несанкционированного доступа по каналам связи ...................... 22 1.7.
Расчет рисков важных объектов защиты ........................................................ 28 1.7.1
Вероятность реализации угроз безопасности персональных данных ..... 28 1.7.2
Реализуемость угроз ..................................................................................... 29 1.7.3
Оценка опасности угроз ............................................................................... 31 1.7.4
Определение актуальности угроз ................................................................ 33 1.8.
Разработка технического задания на создание системы защиты персональных данных в учреждении здравоохранения .............................. 35 1.9.
Безопасность жизнедеятельности .................................................................... 36 1.9.1.
Рекомендации по организации рабочего места пользователя .................. 36 1.9.2.
Электробезопасность .................................................................................... 41 1.9.3.
Пожарная безопасность ................................................................................ 41 1.9.4.
Рекомендации по организации режима труда и отдыха пользователя ... 44 1.9.5.
Выводы по первой главе............................................................................... 45 2.ТЕОРЕТИЧЕСКОЕ
ОБОСНОВАНИЕ
ВЫБОРА
СРЕДСТВ
ЗАЩИТЫ ................................................................................................................. 46 2.1.
Обзор возможных методов устранения уязвимостей .................................... 46 2.2.
Угрозы несанкционированного доступа к информации ............................... 46 2.3.
Угрозы преднамеренных действий внутренних нарушителей ..................... 47 2.4. Выводы по второй главе .................................................................................. 47

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
9 3.РАЗРАБОТКА ПЕРЕЧНЯ МЕРОПРИЯТИЙ МОДЕРНИЗАЦИИ СИСТЕМЫ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ УЧРЕЖДЕНИЯ
ЗДРАВООХРАНЕНИЯ ........................................................................................... 49 3.1.
Описание объекта .............................................................................................. 49 3.2.
Резюме перечня мероприятий .......................................................................... 49 3.3.
Цели и задачи перечня мероприятий .............................................................. 49 3.4.
Объекты поставки перечня мероприятий ....................................................... 50 3.4.1.
Организационно-распорядительная документация ................................... 50 3.4.2.
Программно-аппаратные и инженерно-технические меры ...................... 50 3.5.
Риски перечня мероприятий ............................................................................ 50 3.6.
Структура разбиения работ .............................................................................. 53 3.7.
Структурная схема организации ..................................................................... 54 3.8.
Матрица ответственности ................................................................................ 55 3.9.
Диаграмма Ганта ............................................................................................... 55 3.10.
Расчет бюджета перечня мероприятий и его эффективности .................... 56 3.11. Выводы по третьей главе ............................................................................... 56
БИБЛИОГРАФИЧЕСКИЙ СПИСОК .................................................................... 58
ПРИЛОЖЕНИЕ А .................................................................................................... 60
ПРИЛОЖЕНИЕ Б .................................................................................................... 73
ПРИЛОЖЕНИЕ В .................................................................................................... 79
ПРИЛОЖЕНИЕ Г .................................................................................................... 80
ПРИЛОЖЕНИЕ Д .................................................................................................... 85
ПРИЛОЖЕНИЕ Е .................................................................................................... 88

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
10
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ
АПКШ – аппаратно-программный комплекс шифрования;
АРМ – автоматизированное рабочие место;
АС – автоматизированная система;
ВТСС – вспомогательные технические средства и системы;
ЗИ – защита информации;
ИБ – информационная безопасность;
ИС – информационная система;
ИСПДн – информационная система персональных данных;
ИТ – информационные технологии;
МСЭ – межсетевой экран;
НСД – несанкционированный доступ;
ООО – Общество с ограниченной ответственностью;
ОТСС – основные технические средства и системы;
ПАК – программно-аппаратный комплекс;
ПДн – персональные данные;
ПО – программное обеспечение;
РД – руководящие документы;
РФ – Российская Федерация;
СВТ – средства вычислительной техники;
ФЗ – Федеральный закон;
ФСБ – Федеральная служба безопасности;
ФСТЭК – Федеральная служба по техническому и экспортному контролю;
Базовые угрозы информационной безопасности
– нарушение конфиденциальности, нарушение целостности и отказ в обслуживании;
Ресурс – любой контейнер, предназначенный для хранения информации, подверженный угрозам информационной безопасности (сервер, рабочая станция, переносной компьютер). Свойствами ресурса являются: перечень угроз, воздействующих на него, и критичность ресурса;
Угроза – действие, которое потенциально может привести к нарушению безопасности. Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза;
Уязвимость – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы.
Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость;
Критичность ресурса – степень значимости ресурса для информационной системы, т.е. как сильно реализация угроз информационной безопасности на ресурс повлияет на работу информационной системы. Задается в деньгах;
Критичность реализации угрозы – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах;

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
11
Вероятность реализации угрозы через данную уязвимость в течение года – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
12
ВВЕДЕНИЕ
Обработка информации, на сегодняшний день, является одним из наиболее трудоемких процессов, особенно если эта информация ограниченного доступа.
Скорость обработки информации и качество получаемых результатов, являются важными факторами, обеспечивающими конкурентоспособность фирмы, а результаты могут являться одним из ценнейших активов организации.
Не представляется возможным представить деятельность учреждения здравоохранения без обработки информации о пациентах. Вся эта информация является персональными данными. Постановлением Правительства РФ от 1 ноября
2012 г. № 1119 установлены требования к защите персональных данных при их обработке в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами.
Помимо этого, защита персональных данных пациента регулируется
Федеральным законом от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля
2006 года № 152-ФЗ «О персональных данных». № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» регулирует соблюдение врачебной тайны и возможность ее разглашения. В законе № 152-ФЗ «О персональных данных» прописано выполнение ряда требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и выполнение ряда действий: