Файл: Высшая школа электроники и компьютерных наук Кафедра Защита информации.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 168
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
ТЕХНИЧЕСКИЙ ПАСПОРТ
на объект информатизации
ИСПДн «ПАЦИЕНТЫ»
Государственное бюджетное учреждение здравоохранения «Челябинский областной клинический противотуберкулезный диспансер»
СОСТАВИЛ
________________ В.А.Башканова
«____» ____________ 2018 г.
2018 г.
УТВЕРЖДАЮ
Главврач ГБУЗ «ЧОКПТД»
____________________
«____» _____________ 2016 г.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
61
Продолжение приложения А
1 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированное рабочее место (АРМ) - персональный компьютер и подключенные к нему периферийные устройства- принтер, многофункциональные устройства, сканеры и.
Информационная система персональных данных (ИСПДН) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 Ф3 РФ от
27.07.2006г. N 152-Ф3 персональных данных).
Контролируемая зона (К3)- это пространство (территория, здание, часть здания) в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств
(ФСТЭК. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) Москва 2001)
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации (ФСТЭК «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-K)
Москва 2001).
Средство защиты информации (СЗИ) -техническое, программное средство, вещество. и (или) материал, предназначенные или используемые для защиты информации.
2 ОБЩИЕ СВЕДЕНИЯ ОБ ОБЪЕКТЕ
2.1 Наименование объекта: ИСПДН «ПАЦИЕНТЫ» Государственное бюджетное учреждение здравоохранения.
2.2 Расположение объекта: Челябинская обл., г. Челябинск, ул. Труда, д. 167,
2 этаж, кабинет № 10.
2.3 Классификация объекта: класс защищенности АС – 3А, «Акт классификации…» Уч. № 000 от 01.11.2016 г.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
62
Продолжение приложения А
3 СОСТАВ ОБОРУДОВАНИЯ ОБЪЕКТА
3.1 Состав основных технических средств и систем (ОТСС) объекта информатизации отражен в таблице 2.1.
Таблица 2.1 – Перечень ОТСС, входящих в состав ОИ ИСПДН
«ПАЦИЕНТЫ»
Наименование
устройства
Фирма
производитель,
модель
Заводской /
инвентаризационный
номер
Расположение
Системный блок
InWin
161124533300152
Рисунок 2.1
Монитор
LG L5642S-
BF
907NFDR45Fl709
Рисунок 2.1
Клавиатура
Genius K644
ZM7902171374
Рисунок 2.1
Мышь
A4-Tech OP-
621F
0521
Рисунок 2.1
Принтер
HP
LaserJet
1018
CK7733147XGF6
Рисунок 2.1 3.2 Состав вспомогательных технических средств и систем (ВТСС) объекта, установленных в помещении объекта информатизации отражен в таблице 2.2.
Таблица 2.2 – Перечень ВТСС ОИ ИСПДН «ПАЦИЕНТЫ»
Наименование
устройства
Фирма
производитель,
модель
Заводской /
инвентаризационный
номер
Расположение
Системный блок
DELL MDiC
619G109000187
Рисунок 2.2
Монитор
Samsung
SyncMaster 720
NA
GS17HDF455D45F
Рисунок 2.2
Клавиатура
Oklick 320M
39223021244
Рисунок 2.2
Мышь
Genius GM-
0003A
X62405206687
Рисунок 2.2
МФУ
Canon
MF3110
VZN81841
Рисунок 2.2
Системный блок
InWin
16221034300108
Рисунок 2.2
Монитор
LG
BEJE2241SX
Рисунок 2.2
Клавиатура
Logitech-k200
SY1464K
Рисунок 2.2
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
63
Продолжение приложения А
Продолжение таблицы 2.2 1
2 3
4
Мышь
Logitech
B110
LZ137HR21NP
Рисунок 2.2
Телефонный аппарат
LG GS0472H
Рисунок 2.2
Телефонный аппарат
LG GS0472H
Рисунок 2.2
Датчик пожарной сигнализации б/н
Рисунок 2.2
Датчик пожарной сигнализации б/н
Рисунок 2.2
Коммутатор
D-link DES-
1005D
B12D449021069
Рисунок 2.2 3.3 Схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны.
Структура, топология и размещение ОТСС и ВТСС объекта относительно границ контролируемой зоны объекта приведены на рисунках 2.1 – 2.3.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
64
П
родолжение приложения А
Рисунок 2.1 – Размещение ОТСС ИСПДН «ПАЦИЕНТЫ»
*Примечание: Обозначения 1-7 приведены в Таблице 2.1 основной части технического паспорта.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
65
П
родолжение приложения А
Рисунок 2.2 – Размещение ВТСС ИСПДН «ПАЦИЕНТЫ»
*Примечание: Обозначения 1-16 приведены в Таблице 2.2 основной части технического паспорта.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
66
Продолжение приложения А
Рисунок 2.3 – Размещение ОТСС относительно границ контролируемой зоны
Границей контролируемой зоной являются ограждающие конструкции корпуса
Государственного бюджетного учреждения здравоохранения
«Челябинский областной клинический противотуберкулезный диспансер»
Челябинская обл., г. Челябинск, ул. Труда, д. 167 согласно приказу «Об определении границ контролируемой зоны объекта информатизации ИСПДН
«ПАЦИЕНТЫ» № 77 от 11.02.2016 г.
Кабинет располагается на втором этаже. Окно выходит на ул. Труда, завешано жалюзи. Минимальное расстояние от ОТСС до КЗ составляет 2 метра.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
67
Продолжение приложения А
3.4 Размещение ВТСС, линий приведено на рисунке 2.4.
Рисунок 2.4 – Размещение ВТСС, расположение линий
*Примечание: Обозначения 11-16 приведены в Таблице 2.2 основной части технического паспорта
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
68
Продолжение приложения А
3.5 Размещение системы электропитания, заземления и инженерных коммуникаций приведено на рисунке 2.5.
Рисунок 2.5 – Размещение системы электропитания, заземления и инженерных коммуникаций
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
69
Продолжение приложения А
Наименование линии
Выходит за пределы КЗ (выходит/не
выходит)
Линия электропитания не выходит
Линия заземления не выходит
Линия охранной сигнализации не выходит
Линия пожарной сигнализации не выходит
Линия телефонной связи выходит
Линия ЛВС выходит
Линия отопления выходит
Линия вентиляции не выходит
3.6 Перечень программных средств, установленных на объекте информатизации ИСПДН «ПАЦИЕНТЫ» приведен в Таблице 2.4.
Таблица 2.4 – Перечень ПО установленного на ОИ ИСПДН «ПАЦИЕНТЫ»
Наименование ПО
Версия
Microsoft Windows 7 Professional SP1 6.1.7601.17514 7-zip
9.20.00.0
DallasLock 8.0-K
8.0.347.4
«Dr.Web Enterprise Security Suite»
10.0.1.0
VipNet4 4.0.1
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
70
Продолжение приложения А
4 СВЕДЕНИЯ ОБ АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИ НА
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ
ПО
БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
4.1 Протоколы испытаний и даты их регистрации
4.2 Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
Заключение по результатам аттестационных испытаний объекта информатизации №
Аттестат соответствия №
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
71
Продолжение приложения А
5 УЧЕТ ПРОВЕДЕНИЯ РЕГЛАМЕНТНЫХ ПРОВЕРОК
Таблица 4.1 – Учет проведения регламентных проверок
Наименование
организации,
проводившей
проверку
Дата
проведения
проверки
Номер
протокола
Примечание
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
72
Продолжение приложения А
6 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
Таблица 5.1 – Лист регистрации изменения состава и размещения
ОТСС, ВТСС и средств защиты объекта информатизации
Дата
внесения
изменений
Наименование
документа,
фиксирующего
изменения
Номера
замененных
(исправленных)
листов формуляра
Подпись
лица,
внесшего
изменения
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
73
ПРИЛОЖЕНИЕ Б
«УТВЕРЖДАЮ»
Главврач ГБУЗ «ЧОКПТД»
М.В.Лейхляйдер
«___» ____________2018 г.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на модификацию системы защиты персональных
данных пациентов учреждения здравоохранения
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
74
Продолжение приложения Б
1. ОБЩИЕ СВЕДЕНИЯ
1.1. Полное наименование системы и ее условное обозначение
Полное наименование системы: Система защиты системы обработки персональных данных учреждения здравоохранения.
1.2. Наименование заказчика и исполнителя
Предприятие разработчик системы: ООО «Организация», в лице главного специалиста по защите информации.
Предприятие заказчик системы: ООО «Организация», в лице генерального директора.
1.3. Перечень документов, на основании которых создается система:
-Федеральный закон от 27 июля 2007 года N 152-ФЗ «О персональных данных»
-Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
-трудовой кодекс РФ от 30.12.2001 N 197-ФЗ;
1.4. Порядок оформления и предъявления заказчику результатов работ по модернизации системы (ее частей), по изготовлению и наладке отдельных средств (технических, программных, информационных) и программно- технических (программно-методических) комплексов системы
Результаты работы оформляются и предъявляются заказчику по мере исполнения в виде минимальных независимых частей проекта и/или предварительных проектов. Окончательный вариант проекта предоставляется на рассмотрение заказчику после начальника технического отдела учреждения здравоохранения.
2. НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ СИСТЕМЫ
2.1. Назначение создания системы
В связи с постоянным ростом информационных потоков, соответственно растет и количество возможных угроз информационной безопасности. Для эффективного противодействия этим угрозам необходима система защиты персональных данных.
2.2. Цели создания системы
Основной целью проведения работ является приведение всех этапов работы с информации в системе обработки персональных данных в учреждении здравоохранения в соответствие требованиям перечисленных в данном
Техническом задании.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
75
Продолжение приложения Б
3. ХАРАКТЕРИСТИКА ОБЪЕКТОВ ЗАЩИТЫ
3.1. Краткие сведения об объектах защиты
Объектом защиты является автоматизированная система обработки персональных данных, представляющая из себя автоматизированное рабочее место, носителей информации ограниченного доступа, помещение, в котором расположена автоматизированная система:
1. Автоматизированные рабочие места:
-АРМ ИСПДн «ПАЦИЕНТЫ».
2. Помещения для хранения и работы с важной защищаемой информацией:
-кабинет технической поддержки.
3. Линии и средства связи, системы обеспечения функционирования СВТ и деятельности организации:
-линии проводной городской телефонной связи;
-cистема электропитания;
-линии охранной и пожарной сигнализации;
-линии локальной компьютерной сети.
4. Средства ввода-вывода и отображения информации:
-монитор начальника технического отдела;
-принтер HP LaserJet 1018;
-оперативная память ПК, входящего в АРМ.
5. Система бесперебойного питания АРМ:
-источник бесперебойного питания АРМ начальника технического отдела.
6. Носители информации:
-бумажные носители информации;
-персонал.
7. Персонал:
-главврач;
-начальник технического отдела;
-медицинский персонал.
3.2. Сведения об условиях эксплуатации объекта защиты и характеристиках окружающей информационной среды
3.2.1. Объекты защиты подвержены воздействию следующих угроз:
3.2.1.1. АРМ:
-уничтожение информации в случае повреждения носителей информаци;
-несанкционированный доступ к информации в системе, хранящейся на АРМ.
3.2.2. Присутствуют следующие уязвимости:
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
76
Продолжение приложения Б
3.2.2.1. АРМ:
-отсутствие инструкции по эксплуатации СЗИ;
-отсутствие описания технического процесса обработки информации ограниченного доступа;
-отсутствие аппаратного модуля доверенной загрузки;
-неактуальность актов категорирования и классификации объекта информатизации.
4. СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО МОДЕРНИЗАЦИИ СИСТЕМЫ
Работы должны проводиться в соответствии с положениями, перечисленными в данном Техническом задании.
Работы должны проводиться в два этапа: Приведение в соответствие с нормативно-правовыми актами порядка обработки персональных данных, проверка технических средств обработки информации.
4.1. Приведение в соответствие с нормативно-правовыми актами порядка обработки персональных данных
Список необходимых к проведению работ относительно автоматизированной системы обработки персональных данных:
-разработка нормативно-правовой документации: Акта обследования АС, акта классификации АС, описания технологического процесса обработки информации, инструкции по эксплуатации СЗИ, технического паспорта;
-изучение существующих организационных мер обеспечения безопасности информации ограниченного доступа;
-разработка актуализированной модели угроз;
-разработка перечня требований по защите информации ограниченного доступа;
-выявление имеющихся средств технической защиты информации и мер, которые применяются для обеспечения безопасности персональных данных;
-анализ соответствия применяющихся мер и средств технической защиты предъявляемым требованиям нормативно-правовой базы Российской Федерации в области защиты персональных данных.
4.2. Проверка технических средств обработки информации
Список необходимых к проведению работ относительно автоматизированной системы обработки персональных данных:
-определение условий расположения технических средств обработки информации ограниченного доступа относительно границ контролируемой зоны;
-определение линий и коммуникаций, расположенных в месте размещения технических средств обработки информации ограниченного доступа;
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
77
Продолжение приложения Б
-покупка необходимых программных и технических средств, для обеспечения повышения защищенности автоматизированной системы;
-обновление программных продуктов информационной системы до актуального состояния;
4.3. Порядок проведения работ:
4.3.1. Для выполнения работ Исполнитель привлекает специалистов
Заказчика имеющих необходимую компетенцию.
4.3.2. Специалисты Заказчика временно переходят под руководство
Исполнителя.
4.3.3. В ходе проведения работ Исполнитель собирает исходные данные путем:
-опроса персонала Заказчика, в том числе руководителей и сотрудников структурных подразделений;
-обследования АРМ и места его расположения;
-анализа документов и записей результатов деятельности Заказчика в части обеспечения безопасности информационных систем персональных данных
(нормативных документов, проектной и эксплуатационной документации, актов, журналов и пр.).
5. ПОРЯДОК КОНТРОЛЯ И ПРИЕМКИ ГОТОВОЙ СИСТЕМЫ
5.1. Критериями для приемки работ является настоящее техническое задание и соответствующие частные Технические задания, разрабатываемые в процессе выполнения работ.
5.2. Приемка работ осуществляется единовременно.
5.3. Заказчик направляет замечания в письменном виде.
6. ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ ПРОЕКТА РАБОТ ПО
ПОДГОТОВКЕ ОБЪЕКТА ЗАЩИТЫ К ВВОДУ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕЙСТВИЕ
При подготовке к проведению Исполнителем работ со стороны Заказчика необходимо обеспечить следующее:
-назначить ответственное лицо от
Заказчика, наделенное соответствующими полномочиями, для обеспечения выполнения работ
Исполнителем;
-определить лицо для организации и проведения опроса;
-обеспечить промежутки времени доступности лиц, АРМ и выделенного помещения.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
78
Продолжение приложения Б
7. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ
7.1. При разработке системы Исполнителем должны быть подготовлены следующие документы:
-программа и методика испытаний объекта информатизации;
-акт обследования автоматизированной системы;
-акт классификации автоматизированной системы;
-описание технического процесса обработки информации ограниченного доступа;
-технический паспорт.
7.2. Отчетные документы предоставляются Заказчику в электронном виде в формате документов Microsoft Office и на бумажных носителях.
8. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ И ОГРАНИЧЕНИЯ
8.1. В случае поставки и внедрения технических средств защиты третьей стороной до начала работ по аттестации, Заказчик согласует с Исполнителем следующее:
-состав и спецификацию технических средств;
-состав сопроводительной документации к техническим средствам и сертификатов;
-схемы установки и подключения;
-настройки аппаратно-программных средств;
-рабочую документацию этапа внедрения.
8.2. Срок поставки и внедрения технических средств защиты не входит в расчет сроков этапов работ.
В случае задержки по срокам предоставления исходных данных при проведении работ, или неполного предоставления информации со стороны
Заказчика, по согласованию сторон возможен перенос сроков выполнения работ по договору в сторону увеличения.
на объект информатизации
ИСПДн «ПАЦИЕНТЫ»
Государственное бюджетное учреждение здравоохранения «Челябинский областной клинический противотуберкулезный диспансер»
СОСТАВИЛ
________________ В.А.Башканова
«____» ____________ 2018 г.
2018 г.
УТВЕРЖДАЮ
Главврач ГБУЗ «ЧОКПТД»
____________________
«____» _____________ 2016 г.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
61
Продолжение приложения А
1 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированное рабочее место (АРМ) - персональный компьютер и подключенные к нему периферийные устройства- принтер, многофункциональные устройства, сканеры и.
Информационная система персональных данных (ИСПДН) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 Ф3 РФ от
27.07.2006г. N 152-Ф3 персональных данных).
Контролируемая зона (К3)- это пространство (территория, здание, часть здания) в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств
(ФСТЭК. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) Москва 2001)
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации (ФСТЭК «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-K)
Москва 2001).
Средство защиты информации (СЗИ) -техническое, программное средство, вещество. и (или) материал, предназначенные или используемые для защиты информации.
2 ОБЩИЕ СВЕДЕНИЯ ОБ ОБЪЕКТЕ
2.1 Наименование объекта: ИСПДН «ПАЦИЕНТЫ» Государственное бюджетное учреждение здравоохранения.
2.2 Расположение объекта: Челябинская обл., г. Челябинск, ул. Труда, д. 167,
2 этаж, кабинет № 10.
2.3 Классификация объекта: класс защищенности АС – 3А, «Акт классификации…» Уч. № 000 от 01.11.2016 г.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
62
Продолжение приложения А
3 СОСТАВ ОБОРУДОВАНИЯ ОБЪЕКТА
3.1 Состав основных технических средств и систем (ОТСС) объекта информатизации отражен в таблице 2.1.
Таблица 2.1 – Перечень ОТСС, входящих в состав ОИ ИСПДН
«ПАЦИЕНТЫ»
Наименование
устройства
Фирма
производитель,
модель
Заводской /
инвентаризационный
номер
Расположение
Системный блок
InWin
161124533300152
Рисунок 2.1
Монитор
LG L5642S-
BF
907NFDR45Fl709
Рисунок 2.1
Клавиатура
Genius K644
ZM7902171374
Рисунок 2.1
Мышь
A4-Tech OP-
621F
0521
Рисунок 2.1
Принтер
HP
LaserJet
1018
CK7733147XGF6
Рисунок 2.1 3.2 Состав вспомогательных технических средств и систем (ВТСС) объекта, установленных в помещении объекта информатизации отражен в таблице 2.2.
Таблица 2.2 – Перечень ВТСС ОИ ИСПДН «ПАЦИЕНТЫ»
Наименование
устройства
Фирма
производитель,
модель
Заводской /
инвентаризационный
номер
Расположение
Системный блок
DELL MDiC
619G109000187
Рисунок 2.2
Монитор
Samsung
SyncMaster 720
NA
GS17HDF455D45F
Рисунок 2.2
Клавиатура
Oklick 320M
39223021244
Рисунок 2.2
Мышь
Genius GM-
0003A
X62405206687
Рисунок 2.2
МФУ
Canon
MF3110
VZN81841
Рисунок 2.2
Системный блок
InWin
16221034300108
Рисунок 2.2
Монитор
LG
BEJE2241SX
Рисунок 2.2
Клавиатура
Logitech-k200
SY1464K
Рисунок 2.2
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
63
Продолжение приложения А
Продолжение таблицы 2.2 1
2 3
4
Мышь
Logitech
B110
LZ137HR21NP
Рисунок 2.2
Телефонный аппарат
LG GS0472H
Рисунок 2.2
Телефонный аппарат
LG GS0472H
Рисунок 2.2
Датчик пожарной сигнализации б/н
Рисунок 2.2
Датчик пожарной сигнализации б/н
Рисунок 2.2
Коммутатор
D-link DES-
1005D
B12D449021069
Рисунок 2.2 3.3 Схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны.
Структура, топология и размещение ОТСС и ВТСС объекта относительно границ контролируемой зоны объекта приведены на рисунках 2.1 – 2.3.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
64
П
родолжение приложения А
Рисунок 2.1 – Размещение ОТСС ИСПДН «ПАЦИЕНТЫ»
*Примечание: Обозначения 1-7 приведены в Таблице 2.1 основной части технического паспорта.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
65
П
родолжение приложения А
Рисунок 2.2 – Размещение ВТСС ИСПДН «ПАЦИЕНТЫ»
*Примечание: Обозначения 1-16 приведены в Таблице 2.2 основной части технического паспорта.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
66
Продолжение приложения А
Рисунок 2.3 – Размещение ОТСС относительно границ контролируемой зоны
Границей контролируемой зоной являются ограждающие конструкции корпуса
Государственного бюджетного учреждения здравоохранения
«Челябинский областной клинический противотуберкулезный диспансер»
Челябинская обл., г. Челябинск, ул. Труда, д. 167 согласно приказу «Об определении границ контролируемой зоны объекта информатизации ИСПДН
«ПАЦИЕНТЫ» № 77 от 11.02.2016 г.
Кабинет располагается на втором этаже. Окно выходит на ул. Труда, завешано жалюзи. Минимальное расстояние от ОТСС до КЗ составляет 2 метра.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
67
Продолжение приложения А
3.4 Размещение ВТСС, линий приведено на рисунке 2.4.
Рисунок 2.4 – Размещение ВТСС, расположение линий
*Примечание: Обозначения 11-16 приведены в Таблице 2.2 основной части технического паспорта
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
68
Продолжение приложения А
3.5 Размещение системы электропитания, заземления и инженерных коммуникаций приведено на рисунке 2.5.
Рисунок 2.5 – Размещение системы электропитания, заземления и инженерных коммуникаций
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
69
Продолжение приложения А
Наименование линии
Выходит за пределы КЗ (выходит/не
выходит)
Линия электропитания не выходит
Линия заземления не выходит
Линия охранной сигнализации не выходит
Линия пожарной сигнализации не выходит
Линия телефонной связи выходит
Линия ЛВС выходит
Линия отопления выходит
Линия вентиляции не выходит
3.6 Перечень программных средств, установленных на объекте информатизации ИСПДН «ПАЦИЕНТЫ» приведен в Таблице 2.4.
Таблица 2.4 – Перечень ПО установленного на ОИ ИСПДН «ПАЦИЕНТЫ»
Наименование ПО
Версия
Microsoft Windows 7 Professional SP1 6.1.7601.17514 7-zip
9.20.00.0
DallasLock 8.0-K
8.0.347.4
«Dr.Web Enterprise Security Suite»
10.0.1.0
VipNet4 4.0.1
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
70
Продолжение приложения А
4 СВЕДЕНИЯ ОБ АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИ НА
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ
ПО
БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
4.1 Протоколы испытаний и даты их регистрации
4.2 Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
Заключение по результатам аттестационных испытаний объекта информатизации №
Аттестат соответствия №
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
71
Продолжение приложения А
5 УЧЕТ ПРОВЕДЕНИЯ РЕГЛАМЕНТНЫХ ПРОВЕРОК
Таблица 4.1 – Учет проведения регламентных проверок
Наименование
организации,
проводившей
проверку
Дата
проведения
проверки
Номер
протокола
Примечание
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
72
Продолжение приложения А
6 ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
Таблица 5.1 – Лист регистрации изменения состава и размещения
ОТСС, ВТСС и средств защиты объекта информатизации
Дата
внесения
изменений
Наименование
документа,
фиксирующего
изменения
Номера
замененных
(исправленных)
листов формуляра
Подпись
лица,
внесшего
изменения
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
73
ПРИЛОЖЕНИЕ Б
«УТВЕРЖДАЮ»
Главврач ГБУЗ «ЧОКПТД»
М.В.Лейхляйдер
«___» ____________2018 г.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на модификацию системы защиты персональных
данных пациентов учреждения здравоохранения
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
74
Продолжение приложения Б
1. ОБЩИЕ СВЕДЕНИЯ
1.1. Полное наименование системы и ее условное обозначение
Полное наименование системы: Система защиты системы обработки персональных данных учреждения здравоохранения.
1.2. Наименование заказчика и исполнителя
Предприятие разработчик системы: ООО «Организация», в лице главного специалиста по защите информации.
Предприятие заказчик системы: ООО «Организация», в лице генерального директора.
1.3. Перечень документов, на основании которых создается система:
-Федеральный закон от 27 июля 2007 года N 152-ФЗ «О персональных данных»
-Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
-трудовой кодекс РФ от 30.12.2001 N 197-ФЗ;
1.4. Порядок оформления и предъявления заказчику результатов работ по модернизации системы (ее частей), по изготовлению и наладке отдельных средств (технических, программных, информационных) и программно- технических (программно-методических) комплексов системы
Результаты работы оформляются и предъявляются заказчику по мере исполнения в виде минимальных независимых частей проекта и/или предварительных проектов. Окончательный вариант проекта предоставляется на рассмотрение заказчику после начальника технического отдела учреждения здравоохранения.
2. НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ СИСТЕМЫ
2.1. Назначение создания системы
В связи с постоянным ростом информационных потоков, соответственно растет и количество возможных угроз информационной безопасности. Для эффективного противодействия этим угрозам необходима система защиты персональных данных.
2.2. Цели создания системы
Основной целью проведения работ является приведение всех этапов работы с информации в системе обработки персональных данных в учреждении здравоохранения в соответствие требованиям перечисленных в данном
Техническом задании.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
75
Продолжение приложения Б
3. ХАРАКТЕРИСТИКА ОБЪЕКТОВ ЗАЩИТЫ
3.1. Краткие сведения об объектах защиты
Объектом защиты является автоматизированная система обработки персональных данных, представляющая из себя автоматизированное рабочее место, носителей информации ограниченного доступа, помещение, в котором расположена автоматизированная система:
1. Автоматизированные рабочие места:
-АРМ ИСПДн «ПАЦИЕНТЫ».
2. Помещения для хранения и работы с важной защищаемой информацией:
-кабинет технической поддержки.
3. Линии и средства связи, системы обеспечения функционирования СВТ и деятельности организации:
-линии проводной городской телефонной связи;
-cистема электропитания;
-линии охранной и пожарной сигнализации;
-линии локальной компьютерной сети.
4. Средства ввода-вывода и отображения информации:
-монитор начальника технического отдела;
-принтер HP LaserJet 1018;
-оперативная память ПК, входящего в АРМ.
5. Система бесперебойного питания АРМ:
-источник бесперебойного питания АРМ начальника технического отдела.
6. Носители информации:
-бумажные носители информации;
-персонал.
7. Персонал:
-главврач;
-начальник технического отдела;
-медицинский персонал.
3.2. Сведения об условиях эксплуатации объекта защиты и характеристиках окружающей информационной среды
3.2.1. Объекты защиты подвержены воздействию следующих угроз:
3.2.1.1. АРМ:
-уничтожение информации в случае повреждения носителей информаци;
-несанкционированный доступ к информации в системе, хранящейся на АРМ.
3.2.2. Присутствуют следующие уязвимости:
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
76
Продолжение приложения Б
3.2.2.1. АРМ:
-отсутствие инструкции по эксплуатации СЗИ;
-отсутствие описания технического процесса обработки информации ограниченного доступа;
-отсутствие аппаратного модуля доверенной загрузки;
-неактуальность актов категорирования и классификации объекта информатизации.
4. СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО МОДЕРНИЗАЦИИ СИСТЕМЫ
Работы должны проводиться в соответствии с положениями, перечисленными в данном Техническом задании.
Работы должны проводиться в два этапа: Приведение в соответствие с нормативно-правовыми актами порядка обработки персональных данных, проверка технических средств обработки информации.
4.1. Приведение в соответствие с нормативно-правовыми актами порядка обработки персональных данных
Список необходимых к проведению работ относительно автоматизированной системы обработки персональных данных:
-разработка нормативно-правовой документации: Акта обследования АС, акта классификации АС, описания технологического процесса обработки информации, инструкции по эксплуатации СЗИ, технического паспорта;
-изучение существующих организационных мер обеспечения безопасности информации ограниченного доступа;
-разработка актуализированной модели угроз;
-разработка перечня требований по защите информации ограниченного доступа;
-выявление имеющихся средств технической защиты информации и мер, которые применяются для обеспечения безопасности персональных данных;
-анализ соответствия применяющихся мер и средств технической защиты предъявляемым требованиям нормативно-правовой базы Российской Федерации в области защиты персональных данных.
4.2. Проверка технических средств обработки информации
Список необходимых к проведению работ относительно автоматизированной системы обработки персональных данных:
-определение условий расположения технических средств обработки информации ограниченного доступа относительно границ контролируемой зоны;
-определение линий и коммуникаций, расположенных в месте размещения технических средств обработки информации ограниченного доступа;
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
77
Продолжение приложения Б
-покупка необходимых программных и технических средств, для обеспечения повышения защищенности автоматизированной системы;
-обновление программных продуктов информационной системы до актуального состояния;
4.3. Порядок проведения работ:
4.3.1. Для выполнения работ Исполнитель привлекает специалистов
Заказчика имеющих необходимую компетенцию.
4.3.2. Специалисты Заказчика временно переходят под руководство
Исполнителя.
4.3.3. В ходе проведения работ Исполнитель собирает исходные данные путем:
-опроса персонала Заказчика, в том числе руководителей и сотрудников структурных подразделений;
-обследования АРМ и места его расположения;
-анализа документов и записей результатов деятельности Заказчика в части обеспечения безопасности информационных систем персональных данных
(нормативных документов, проектной и эксплуатационной документации, актов, журналов и пр.).
5. ПОРЯДОК КОНТРОЛЯ И ПРИЕМКИ ГОТОВОЙ СИСТЕМЫ
5.1. Критериями для приемки работ является настоящее техническое задание и соответствующие частные Технические задания, разрабатываемые в процессе выполнения работ.
5.2. Приемка работ осуществляется единовременно.
5.3. Заказчик направляет замечания в письменном виде.
6. ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ ПРОЕКТА РАБОТ ПО
ПОДГОТОВКЕ ОБЪЕКТА ЗАЩИТЫ К ВВОДУ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕЙСТВИЕ
При подготовке к проведению Исполнителем работ со стороны Заказчика необходимо обеспечить следующее:
-назначить ответственное лицо от
Заказчика, наделенное соответствующими полномочиями, для обеспечения выполнения работ
Исполнителем;
-определить лицо для организации и проведения опроса;
-обеспечить промежутки времени доступности лиц, АРМ и выделенного помещения.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
78
Продолжение приложения Б
7. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ
7.1. При разработке системы Исполнителем должны быть подготовлены следующие документы:
-программа и методика испытаний объекта информатизации;
-акт обследования автоматизированной системы;
-акт классификации автоматизированной системы;
-описание технического процесса обработки информации ограниченного доступа;
-технический паспорт.
7.2. Отчетные документы предоставляются Заказчику в электронном виде в формате документов Microsoft Office и на бумажных носителях.
8. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ И ОГРАНИЧЕНИЯ
8.1. В случае поставки и внедрения технических средств защиты третьей стороной до начала работ по аттестации, Заказчик согласует с Исполнителем следующее:
-состав и спецификацию технических средств;
-состав сопроводительной документации к техническим средствам и сертификатов;
-схемы установки и подключения;
-настройки аппаратно-программных средств;
-рабочую документацию этапа внедрения.
8.2. Срок поставки и внедрения технических средств защиты не входит в расчет сроков этапов работ.
В случае задержки по срокам предоставления исходных данных при проведении работ, или неполного предоставления информации со стороны
Заказчика, по согласованию сторон возможен перенос сроков выполнения работ по договору в сторону увеличения.