Файл: Высшая школа электроники и компьютерных наук Кафедра Защита информации.pdf

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
50 3.4. Объекты поставки перечня мероприятий
3.4.1. Организационно-распорядительная документация
Организационно-распорядительная документация в учреждении здравоохранения:
-инструкция по антивирусной защите (Приложение Г);
-перечень персональных данных, подлежащих защите в автоматизированной системе обработки персональных данных (Приложение В);
-технический паспорт на автоматизированную систему обработки персональных данных (Приложение А);
-техническое задание на создание системы защиты персональных данных
(Приложение Б);
-модель деятельности (Приложение Ж);
-инструкции администратору;
-инструкция по парольной защите;
-инструкция по резервированию;
-журнал учета лиц;
-журнал учета машинных носителей.
3.4.2. Программно-аппаратные и инженерно-технические меры
В рамках реализации перечня мероприятий по созданию системы защиты персональных данных должны быть закуплены и установлены следующие программно-аппаратные средства:
-СЗИ от НСД «Dallas Lock 8.0-K»;
-антивирусное ПО «Dr.Web Enterprise Security Suite»;
-централизованное обновление «Secret Net 3» до «Secret Net 4».
3.4.3. Обучение персонала
В рамках реализации перечня мероприятий по модернизации системы защиты персональных данных должно быть проведено обучение сотрудников порядку работы с персональными данными, обучение основам работы с СЗИ от
НСД и инструктаж по антивирусной защите.
3.5. Риски перечня мероприятий
Вероятность реализации угрозы через данную уязвимость в течение года:
P(V), (%).
Критичность реализации угрозы через уязвимость: ER, (%).
Уровень угрозы Th (%), рассчитывается по Формуле (1):
????ℎ =
???????? ∙????(????)
10000
(1)

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
51
Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза CTh (%), рассчитывается по Формуле (2):
????????ℎ = 1 − ∏
(1 − ????ℎ)
????
????=1
(2)
Таблица 13 – Риски перечня мероприятий по модернизации системы защиты
Риски / пути их реализации
Критичность
ER
Вероятность
P(V)
Th
CTh
1 2
3 4
5 1. Риски изменений в стране, обществе
1.1. Ухудшение политических и экономических характеристик и факторов
0,0323
– реформы в экономике и политике
15 5
0,0075
– изменение законодательства
25 10 0,025 1.2. Изменение характеристик общества
0,1162
– здравоохранение и медицина
25 5
0,0125
– возникновение негативного отношения сотрудников
70 15 0,105 1.3. Влияние форс-мажорных обстоятельств
0,0025
– стихийные бедствия и природные катаклизмы
5 5
0,0025 2. Риски окружения перечня мероприятий в составе организации
2.1. Изменение или недостаток бюджета перечня мероприятий
0,8328
– задержки финансирования
80 15 0,12
– отсутствие денежного резерва для реагирования на события рисков (в т.ч. для ликвидации отставания от графика)
90 90 0,81 2.2. Недостаточная организованность работ
0,0733

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
52
Продолжение таблицы 13 1
2 3
4 5
– срыв графиков работ, невыполнение сроков
15 20 0,03
– нехватка рабочей силы
20 5
0,01
– недооценка стоимости работ и использование финансов для других целей
35 10 0,035 2.3. Риски персонала
0,035
– влияние личностных факторов
(неумеренные амбиции участников проекта, переоценка собственных возможностей, преувеличение роли технологической стороны в ущерб менеджменту)
20 5
0,01
– риск недоступности персонала, которому сложно подобрать замену
(болезнь, увольнение и другие непредвиденные обстоятельства)
25 10 0,025
Минимальную угрозу проекту составляют риски стихийных бедствий и природных катаклизмов, а максимальную – риски изменения или недостатка бюджета проекта. Максимальные риски принимаются, так как устранить их невозможно.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
53 3.6. Структура разбиения работ
Структура разбиения работ позволяет определить, какие работы необходимо выполнить для реализации перечня мероприятий, и установить единую структуру управления этими работами. Структура разбиения работ представлена на Рисунке 1.
ИСПДн 1.
Проектирование;
ИСПДн 1.1.
Определение ключевых показателей существующих бизнес- процессов с точки зрения ИБ;
ИСПДн 1.2.
Анализ проблем и слабых мест существующих бизнес процессов;
ИСПДн 1.3.
Разработка значений ключевых показателей новых бизнес- процессов;
ИСПДн 1.4.
Анализ и выбор наилучших способов и методов улучшения значений ключевых показателей бизнес-процессов;
ИСПДн 1.5.
Разработка и согласование структуры новых бизнес- процессов.
ИСПДн 2.
Совершенствование организационно-распорядительной документации;
ИСПДн 2.1.
Технический паспорт;
ИСПДн 2.2.
Инструкция по антивирусной защите;
ИСПДн 2.3.
Согласование и утверждение ОРД.
ИСПДн 3.
Подготовка реализации перечня мероприятий модификации системы защиты персональных данных;
ИСПДн 3.1.
Определение ответственных лиц и исполнителей;
ИСПДн 3.2.
Приобретение СЗИ от НСД;
ИСПДн 3.3.
Приобретение антивирусного ПО.
ИСПДн 4.
Внедрение;
ИСПДн 4.1.
Установка и настройка СЗИ от НСД;
ИСПДн 4.2.
Установка и настройка антивирусного ПО;
ИСПДн 4.3.
Обучение пользователей;
ИСПДн 4.4.
Контроль защищенности.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
54
Рисунок. 1– Структура разбиения работ.
3.7. Структурная схема организации
Структурная схема организации перечня модернизации модификации системы защиты персональных данных приведена на Рисунке 2.
Рисунок. 2 – Структурная схема организации.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
55 3.8. Матрица ответственности
Для наглядности обязанностей исполнителей составляется матрица ответственности (Рисунок 3). Работа исполнителей разделяется на следующие группы: управление (У), исполнение (И), контроль (К).
Таблица 14 – Матрица ответственности
Исполнитель/Работа
1 2
3 4
ИСПДн 1.
К/У
ИСПДн 1.1.
К
И
ИСПДн 1.2.
К
И/К
ИСПДн 1.3
К
И/К
ИСПДн 1.4.
К
И
ИСПДн 1.5.
К
И/К
ИСПДн 2.
К
У/И
ИСПДн 2.1.
К
У/И
ИСПДн 2.2.
К
У/И
ИСПДн 2.3.
К
У/И
ИСПДн 2.4.
К
У/И
ИСПДн 3.
К
ИСПДн 3.1.
К
ИСПДн 3.2.
К
ИСПДн 3.3.
К
ИСПДн 4.
К
ИСПДн 4.1.
К
И
ИСПДн 4.2.
К
И
ИСПДн 4.3.
К
И
ИСПДн 4.4.
К
И
3.9. Диаграмма Ганта
Диаграмма Ганта – инструмент для наглядной иллюстрации календарного плана разных этапов работ в проектном менеджменте. Диаграмма Ганта представлена в Приложении Д. На основании диаграммы Ганта проект займет 74 дня.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
56 3.10. Расчет бюджета перечня мероприятий и его эффективности
Для устранения уязвимостей, выявленных в ходе предпроектного обследования, необходимо модернизирование системы защиты обработки персональных данных в учреждении здравоохранения. Был проведен расчет затрат на реализацию предложенных мер защиты. Стоимость оборудования и программного обеспечения приведена в Таблице 15. Стоимость реализации перечня мероприятий приведена в Таблице 16. Чистая приведенная стоимость перечня мероприятий представлена в Таблице 17.
Таблица 15 – Стоимость оборудования и программного обеспечения
Наименование
Количество
Цена за шт.
(руб.)
Сумма
(руб.)
СЗИ от НСД «Dallas Lock 8.0-K»
1 7 500 7 500
Dr.Web Enterprise Security Suite
1 6 400 6 400
Итог
13 900
Таблица 16 – Стоимость реализации перечня мероприятий
Наименование
Стоимость
(руб.)
Анализ существующей СЗИ
22 000
Разработка организационно-распорядительной документации
15 000
Установка и настройка СЗИ от НСД «Dallas Lock 8.0-K»
11 000
Установка и настройка антивирусного ПО «Dr.Web
Enterprise Security Suite»
4 200
Итог
52 200
Затраты на реализацию перечня мероприятий совершенствования СЗИ в учреждении здравоохранения составили 66100 рублей.
3.11. Выводы по третьей главе
В результате выполненных работ по реализации перечня мероприятий по модернизации системы защиты персональных данных учреждения здравоохранения было сделано:
-подготовлен комплект организационно-распорядительной документации;
-закуплены и установлены программно-аппаратные средства защиты информации;
-проведено обучение сотрудников порядку работы с персональными данными, обучение основам работы с СЗИ от НСД и инструктаж по антивирусной защите;

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
57
-были рассчитаны риски проекта и определены их максимальные и минимальные значения;
-было проведено разбиение работ и на его основе составлена матрица ответственности;
-была построена диаграмма Ганта и сетевой график;
-был проведен расчет бюджета проекта и его эффективности.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
58
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1.
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (выписка): утверждена заместителем директора ФСТЭК России 15.02.2008 //
КонсультантПлюс. Технология 3000: Интернет-версия [Электронный ресурс] /
ЗАО «КонсультантПлюс». – Электрон. дан. и прогр. – М., 2016.
2.
ГОСТ
34.602-1989.
Техническое задание на создание автоматизированной системы. – М.: Изд-во стандартов, 1990. – 12 с.
3.
ГОСТ Р 12.1.019-2009. Система стандартов безопасности труда.
Электробезопасность. Общие требования и номенклатура видов защиты. – М.:
Изд-во стандартов, 2010. – 32 с.
4.
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. – Введ. 2008–02–01. – М.: Госстандарт России, 2001. – 12 с.
5.
ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. – М.: Изд-во стандартов, 2009. – 40 с.
6.
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»: утверждена заместителем директора ФСТЭК России
14.02.2008
//
КонсультантПлюс. Технология 3000: Интернет-версия
[Электронный ресурс] / ЗАО «КонсультантПлюс». – Электрон. дан. и прогр. –
М., 2016.
7.
Постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»: постановление правительства Российской Федерации от
01.11.2012 № 1119 // КонсультантПлюс. Технология 3000: Интернет-версия
[Электронный ресурс] / ЗАО «КонсультантПлюс». – Электрон. дан. и прогр. –
М., 2016.
8.
Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации»: утвержден решением председателя Государственной технической комиссии при
Президенте Российской Федерации от 30.03.1992 // КонсультантПлюс.
Технология
3000:
Интернет-версия
[Электронный ресурс]
/
ЗАО
«КонсультантПлюс». – Электрон. дан. и прогр. – М., 2016.
9.
СанПин 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислителным машинам и огранизации работы. – М.: Изд-во стандартов, 2003. – 36 с.
10.
СанПин 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы. – М.: Изд-во стандартов, 1996. – 11 с.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
59 11.
СанПин 2.2.4.3359-16. Санитарно-эпидемологические требования к физическим факторам на рабочих местах. – М.: Изд-во стандартов, 2016. – 72 с.
12.
«Стратегия национальной безопасности Российской Федерации до
2020 года»: утверждена Указом Президента Российской Федерации от 12.05.2009
№ 537: // КонсультантПлюс. Технология 3000: Версия Проф [Электронный ресурс] / ЗАО «КонсультантПлюс». – Электрон. дан. и прогр. – М., 2016.
13.
«Стратегия развития информационного общества»: утверждена
Указом Президента от 07.02.2008 № Пр-212: // КонсультантПлюс. Технология
3000: Версия Проф [Электронный ресурс] / ЗАО «КонсультантПлюс». –
Электрон. дан. и прогр. – М., 2016.
14.
Федеральный закон «Об информации, информационных технологиях и защите информации»: федеральный закон Российской Федерации от
27.07.2006 № 149-ФЗ: // КонсультантПлюс. Технология 3000: Интернет-версия
[Электронный ресурс] / ЗАО «КонсультантПлюс». – Электрон. дан. и прогр. –
М., 2016.
15.
Федеральный закон «О персональных данных»: федеральный закон
Российской Федерации от 27.07.2006 № 152-ФЗ // КонсультантПлюс. Технология
3000: Интернет-версия [Электронный ресурс] / ЗАО «КонсультантПлюс». –
Электрон. дан. и прогр. – М., 2016.
16.
ФГОС ВПО по направлению подготовки 090900 «Информационная безопасность». – Министерства образования и науки Российской Федерации,
2009. – 21с.
17.
Федеральный закон «Об основах охраны здоровья граждан в
Российской Федерации» от 21.11.2011 года № 323-ФЗ // КонсультантПлюс.
Технология
3000:
Интернет-версия
[Электронный ресурс]
/
ЗАО
«КонсультантПлюс». – Электрон. дан. и прогр. – М., 2016.
18.
Федеральный закон «О персональных данных» 27 июля 2006 года № 152-ФЗ // КонсультантПлюс. Технология 3000: Интернет-версия [Электронный ресурс] / ЗАО «КонсультантПлюс». – Электрон. дан. и прогр. – М., 2016.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
60
ПРИЛОЖЕНИЕ А