Файл: Высшая школа электроники и компьютерных наук Кафедра Защита информации.pdf

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
41 1.9.2. Электробезопасность
По степени опасности поражения электрическим током согласно Правилам
Устройства Электроустановок (ПУЭ) рабочее помещение относится к классу помещений с повышенной опасностью, так как имеется возможность одновременного прикосновения человека к имеющим соединения с землей металлоконструкциям здания с одной стороны и металлическим корпусам электрооборудования с другой.
Если физический доступ к токоведущим частям оборудования затруднен, то основной причиной возникновения данного опасного фактора может являться прикосновение к металлическим нетоковедущим частям (например, корпусу
ПЭВМ), которые могут оказаться под напряжением в результате повреждения изоляции. В соответствии с правилами электробезопасности, должен осуществляться постоянный контроль состояния электропроводки, предохранительных щитов, шнуров, с помощью которых включаются в электросеть компьютеры, осветительные приборы, другие электроприборы.
Для защиты от случайного прикосновения к металлическим нетоковедущим частям оборудования, которые могут оказаться под напряжение применяют следующие меры:
-защитное заземление;
-зануление;
-изоляцию нетоковедущих частей;
-защитное экранирование.
Данные меры описаны в ГОСТ Р 12.1.019-2009 «ССБТ. Электробезопасность.
Общие требования и номенклатура видов защиты» [3].
1.9.3. Пожарная безопасность
Горючие вещества и материалы, находящиеся в помещении: дерево (мебель), бумага (документы), ПЭВМ.
Возможными источниками зажигания могут быть тепловые проявления электрической энергии (короткое замыкание. высокие сопротивления, искровые разряды статического электричества и др.).
Источниками пожара может стать неисправность или нарушение правил эксплуатации электротехнического оборудования.
Для тушения возможного пожара помещение оборудовано одним ручным порошковым огнетушителем ОП-4.
На основе ФЗ «Технический регламент о требованиях пожарной безопасности» были установлены следующие правила:
Организации, их должностные лица и граждане, нарушившие требования пожарной безопасности, несут ответственность в соответствии с законодательством Российской Федерации.
Наряду с настоящими Правилами, следует также руководствоваться иными нормативными документами по пожарной безопасности и нормативными

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
42 документами, содержащими требования пожарной безопасности, утвержденными в установленном порядке.
Руководители организации и индивидуальные предприниматели на своих объектах должны иметь систему пожарной безопасности, направленную на предотвращение воздействия на людей опасных факторов пожара, в том числе их вторичных проявлений.
На каждом объекте должны быть разработаны инструкции о мерах пожарной безопасности для каждого взрывопожароопасного и пожароопасного участка
(мастерской, цеха и т.п.) в соответствии с приложением данных правил.
Все работники организаций должны допускаться к работе только после прохождения противопожарного инструктажа, а при изменении специфики работы проходить дополнительное обучение по предупреждению и тушению возможных пожаров в порядке, установленном руководителем.
Руководители организаций или индивидуальные предприниматели имеют право назначать лиц, которые по занимаемой должности или по характеру выполняемых работ в силу действующих нормативных правовых актов и иных актов должны выполнять соответствующие правила пожарной безопасности либо обеспечивать их соблюдение на определенных участках работ.
Для привлечения работников предприятий к работе по предупреждению и борьбе с пожарами на объектах могут создаваться пожарно-технические комиссии и добровольные пожарные формирования.
Собственники имущества, лица, уполномоченные владеть, пользоваться или распоряжаться имуществом, в том числе руководители и должностные лица организаций, лица, в установленном порядке назначенные ответственными за обеспечение пожарной безопасности, должны:
-обеспечивать своевременное выполнение требований пожарной безопасности, предписаний, постановлений и иных законных требований государственных инспекторов по пожарному надзору;
-создавать и содержать на основании утвержденных в установленном порядке норм, перечней особо важных и режимных объектов и предприятий, на которых создается пожарная охрана, органы управления и подразделения пожарной охраны, а также обеспечивать в них непрерывное несение службы и использование личного состава и пожарной техники строго по назначению.
Во всех производственных, административных, складских и вспомогательных помещениях на видных местах должны быть вывешены таблички с указанием номера телефона вызова пожарной охраны.
Правила применения на территории организаций открытого огня, проезда транспорта, допустимость курения и проведения временных пожароопасных работ устанавливаются общеобъектовыми инструкциями о мерах пожарной безопасности.
В каждой организации распорядительным документом должен быть установлен соответствующий их пожарной опасности противопожарный режим, в том числе:
-определены и оборудованы места для курения;

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
43
-определены места и допустимое количество единовременно находящихся в помещениях сырья, полуфабрикатов и готовой продукции;
-установлен порядок уборки горючих отходов и пыли, хранения промасленной спецодежды;
-определен порядок обесточивания электрооборудования в случае пожара и по окончании рабочего дня;
-регламентированы:
-порядок проведения временных огневых и других пожароопасных работ;
-порядок осмотра и закрытия помещений после окончания работы;
-действия работников при обнаружении пожара;
-определен порядок и сроки прохождения противопожарного инструктажа и занятий по пожарно-техническому минимуму, а также назначены ответственные за их проведение.
В зданиях и сооружениях (кроме жилых домов) при единовременном нахождении на этаже более 10 человек должны быть разработаны и на видных местах вывешены планы (схемы) эвакуации людей в случае пожара, а также предусмотрена система (установка) оповещения людей о пожаре.
На объектах с массовым пребыванием людей (50 и более человек) в дополнение к схематическому плану эвакуации людей при пожаре должна быть разработана инструкция, определяющая действия персонала по обеспечению безопасной и быстрой эвакуации людей, по которой не реже одного раза в полугодие должны проводиться практические тренировки всех задействованных для эвакуации работников.
Световая, звуковая и визуальная информирующая сигнализация должна быть предусмотрена в помещениях, посещаемых данной категорией лиц, а также у каждого эвакуационного, аварийного выхода и на путях эвакуации. Световые сигналы в виде светящихся знаков должны включаться одновременно со звуковыми сигналами. Работники организаций, а также граждане должны:
-соблюдать на производстве и в быту требования пожарной безопасности, а также соблюдать и поддерживать противопожарный режим;
-выполнять меры предосторожности при пользовании газовыми приборами, предметами бытовой химии, проведении работ с легковоспламеняющимися (далее
- ЛВЖ) и горючими (далее - ГЖ) жидкостями, другими опасными в пожарном отношении веществами, материалами и оборудованием;
-в случае обнаружения пожара сообщить о нем в подразделение пожарной охраны и принять возможные меры к спасению людей, имущества и ликвидации пожара.
Граждане предоставляют в порядке, установленном законодательством
Российской Федерации, возможность государственным инспекторам по пожарному надзору проводить обследования и проверки принадлежащих им производственных, хозяйственных, жилых и иных помещений и строений в целях контроля за соблюдением требований пожарной безопасности.
Противопожарные системы и установки (противодымная защита, средства пожарной автоматики, системы противопожарного водоснабжения,

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
44 противопожарные двери, клапаны, другие защитные устройства в противопожарных стенах и перекрытиях и т.п.) помещений, зданий и сооружений должны постоянно содержаться в исправном рабочем состоянии.
Устройства для самозакрывания дверей должны находиться в исправном состоянии. Не допускается устанавливать какие-либо приспособления, препятствующие нормальному закрыванию противопожарных или противодымных дверей (устройств). Нормы оснащения помещения ручным огнетушителем приведены в Таблице 13.
1.9.4. Рекомендации по организации режима труда и отдыха пользователя
Режимы труда и отдыха при работе с ПЭВМ и ВДТ должны организовываться в зависимости от вида и категории трудовой деятельности согласно СанПиН
2.2.2/2.4.1340-03.
По виду трудовой деятельности работу оператора можно отнести к группе «А»
– работа по считыванию информации с экрана ВДТ или ПЭВМ с предварительным запросом.
Для видов трудовой деятельности устанавливается три категории тяжести и напряженности работы с ВДТ и ПЭВМ.
Для группы А категории определяются по суммарному числу считываемых знаков за рабочую смену, но не более 60 000 знаков за смену:
-1 категория – до 20 000 знаков;
-2 категория – до 40 000 знаков;
-3 категория – до 60 000 знаков.
Продолжительность обеденного перерыва определяется действующим законодательством о труде и правилами внутреннего распорядка предприятия.
Для обеспечения оптимальной работоспособности и сохранения здоровья профессиональных пользователей, на протяжении рабочей смены должны устанавливаться регламентированные перерывы. Время регламентированных перерывов в течении рабочей смены следует устанавливать в зависимости от ее продолжительности, вида и категории трудовой деятельности. Продолжительность непрерывной работы без регламентированного перерыва не должна превышать двух часов. При восьмичасовой рабочей смене и работе на ВДТ и ПЭВМ регламентированные перерывы следует устанавливать:
-для 1 категории работ через 2 ч. от начала рабочей смены и через 2 ч. после обеденного перерыва продолжительностью 15 мин. каждый;
-для 2 категории работ через 2 ч. от начала рабочей смены и через 1,5–2 ч. после обеденного перерыва продолжительностью 15 мин. каждый или продолжительностью 10 мин. через каждый час работы;
-для 3 категории работ через 2 ч. от начала рабочей смены и через 1,5−2,0 ч. после обеденного перерыва продолжительностью 20 мин. каждый или продолжительностью 15 мин. через каждый час работы.
Во время регламентированных перерывов с целью снижения нервно эмоционального напряжения, утомления зрительного анализатора, устранения

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
45 влияния гиподинамии и гипокинезии, предотвращения развития познотонического утомления целесообразно выполнять комплексы упражнений для глаз, для улучшения мозгового кровообращения, для снятия утомления с плечевого пояса и рук, а также общего воздействия.
В случаях возникновения у пользователя зрительного дискомфорта и других неблагоприятных субъективных ощущений, несмотря на соблюдение санитарно- гигиенических, эргономических требований, режимов труда и отдыха следует применять индивидуальный подход в ограничении времени работ с ВДТ и ПЭВМ.
Коррекцию длительности перерывов для отдыха или проводить смену деятельности на другую, не связанную с использованием ВДТ и ПЭВМ.
Организационные мероприятия, устраняющие причины возникновения пожаров: обучение рабочих и служащих противопожарным правилам, проведение лекций, инструкций и т.п.
Технические мероприятия: соблюдение противопожарных правил и норм при устройстве оборудования отопления, вентиляции и т.д.
Мероприятия режимного характера: запрещение курения в не установленных местах, проведения сварочных работ в пожарных помещениях. Эксплуатационные мероприятия: правильная эксплуатация машин, транспорта, оборудования и правильное содержание зданий, территорий.
1.9.5.
Выводы по первой главе
В результате проведенного предпроектного обследования СЗИ учреждения здравоохранения, была проделана следующая работа:
-составлен технический паспорт на систему обработки персональных данных пациентов;
-разработана модель деятельности, отражающая процесс обработки информации ограниченного доступа;
-разработан перечень персональных данных, подлежащих защите в автоматизированной системе обработки персональных данных;
-разработана модель угроз безопасности персональных данных и произведена оценка их актуальности;
-разработано техническое задание на модернизацию системы защиты персональных данных пациентов учреждения здравоохранения;
-был проведен анализ мероприятий по безопасности жизнедеятельности учреждения здравоохранения.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
46 2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТВ ЗАЩИТЫ
2.1.Обзор возможных методов устранения уязвимостей
Для модернизации защиты системы персональных данных пациентов здравоохранения, были определены методы и средства, необходимые для устранения выявленных угроз и уязвимостей, определенных в первой главе данной работы, и выбраны из них наиболее эффективные варианты.
2.2.Угрозы несанкционированного доступа к информации
Согласно ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» [4] несанкционированный доступ (НСД) к информации – деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Одним из способов защиты от НСД является использование соответствующих программно-аппаратных средств, которые позволяют управлять доступом к автоматизированной системе, выполнять регистрацию и учет и обеспечивать целостность и неизменность программной среды.
В рамках ВКР был проведен сравнительный анализ программно-аппаратных средств защиты от НСД, результаты которого приведены в Таблицах 9 и 10.
Таблица 9 – Сравнение СЗИ от НСД
Критерии сравнения
Secret
Net Studio
Dallas
Lock 8.0-K
Панцирь-К
СЗИ
Аура 1.2.4.
1 2
3 4
5
Класс защищенности
По
3 классу защищеннос ти
По
5 классу защищеннос ти
По
5 классу защищеннос ти
По
5 классу защищеннос ти
Уровень контроля НДВ
По
2 уровню контроля
По
4 уровню контроля
По
4 уровню контроля
По4 уровню контроля
Класс автоматизирован ных систем
До класса
1Б включитель но
До класса
1Г включитель но
До класса
1Г включитель но
До класса
1Г включитель но
Дополнительн ые аппаратные требования: свободное место на жестком диске
2 Гб
0,03 Гб
0,02 Гб
0,06 Гб

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
47
Продолжение таблицы 9 1
2 3
4 5
Дополнительная аппаратая поддержка есть есть есть нет
Цена
8 200 7 500 8 200 6 000
Таблица 10 – сравнение антивирусного ПО
Критерии сравнения
Kaspersky
Endpoint Security
10 для Windows
ESET NOD32
Secure Enterprise
Pack 5.0
Dr.Web
Enterprise Security
Suite
Наличие сертификата
ФСТЭК
Да
Да
Да
Наличие сертификата ФСБ
Да
Нет
Да
Цена
19 200
(10 рабочих мест)
2 725
(1 рабочее место)
6 400
(5 рабочих мест)
На основании разработанной модели угроз угрозы связанные с НСД были признаны актуальными. Для их минимизации были выбраны СЗИ от НСД «Dallas
Lock 8.0-К» и антивирусное ПО «Dr.Web Enterprise Security Suite» из-за их выгодного соотношения цена/функциональность.
2.3.Угрозы преднамеренных действий внутренних нарушителей
Данные угрозы являются наиболее распространенными и, соответственно, наиболее важными с точки зрения защиты информации, так как больший приоритет имеет защита информации ограниченного доступа от преднамеренных действий внутренних нарушителей, а именно сотрудников, допущенных к ее обработке.
Для учреждения здравоохранения актуален данный вид угроз и рекомендуются следующие меры для их минимизации:
-установка СЗИ от НСД «Dallas Lock 8.0-K»;
-установка антивирусного ПО «Dr.Web Enterprise Security Suite»;
- централизированное обновление VipNet 3 на VipNet 4;
-обеспечение резервного копирования информации ограниченного доступа, обрабатываемой на АРМ.
2.4. Выводы по второй главе
На основе результатов работ по выявлению уязвимостей на рассматриваемом предприятии, приводящих к реализации возможных угроз, были применены следующие меры по их минимизации:
-для защиты от угроз несанкционированного доступа к информации:

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
48
-установлены СЗИ от НСД «Dallas Lock 8.0-K» по причине наилучшего соотношения цена/функциональность из сравниваемых СЗИ от НСД в Таблице 9;
-установлено антивирусное ПО «Dr.Web Enterprise Security Suite», так как его соотношение цена/функциональность, гораздо лучше, чем у конкурирующего антивирусного ПО;
-для защиты от угроз преднамеренных действий внутренних нарушителей:
-обеспечено резервное копирование информации, обрабатываемой на АРМ;
-проведено централизированное обновление VipNet 3 на VipNet 4;
-установлено антивирусное ПО «Dr.Web Enterprise Security Suite».

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
49 3. РАЗРАБОТКА ПЕРЕЧНЯ МЕРОПРИЯТИЙ МОДЕРНИЗАЦИИ
СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ
3.1. Описание объекта
Учреждение здравоохранения оказывает услуги населению города (в последующем ПАЦИЕНТЫ) в области здравоохранения. При оказании услуг возникает необходимость заведения карты пациента с последующим занесением оного в базу данных. Из-за этого возникает необходимость защиты персональных данных пациентов. В Таблице 12 представлены потоки защищаемой информации.
Таблица 12 – Потоки защищаемой информации
Входящая информация
Исходящая информация
Информация о пациентах
База данных пациентов
3.2. Резюме перечня мероприятий
Разработка перечня мероприятий велась согласно утвержденному техническому заданию на модернизацию системы защиты персональных данных учреждения здравоохранении (Приложение Б).
Модернизация системы защиты должно осуществляться с помощью организационных, инженерно-технических и программно-аппаратных мер. На каждый конкретный этап работ должны быть назначены ответственные лица с помощью матрицы ответственности.
Результатом работ должна стать система защиты персональных данных учреждения здравоохранения, соответствующая нормативно-правовым актам в области защиты персональных данных.
3.3. Цели и задачи перечня мероприятий
Целями создания системы защиты персональных данных учреждения здравоохранения являются:
-предотвращение угроз, связанных с НСД;
-предотвращение угроз преднамеренных действий внутренних нарушителей;
-осуществление защиты персональных данных в соответствии с нормативно-правовыми актами.