Файл: Высшая школа электроники и компьютерных наук Кафедра Защита информации.pdf

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
79
ПРИЛОЖЕНИЕ В

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, подлежащих защите в системе обработки персональных данных
ИСПДн «Пациенты»
№
Тип персональных данных, подлежащих защите
1.
Фамилия, Имя, Отчество
2.
Паспортные данные
3.
Дата рождения
4.
Адреса проживания и прописки
5.
Сведения о трудоустройстве
6.
Сведения о родственниках
7.
Образовательное заведение
8.
Индивидуальный номер полиса обязательного медицинского страхования
Главврач ГБУЗ «ЧОКПТД»
М.В.Лейхляйдер
УТВЕРЖДАЮ
Главврач ГБУЗ «ЧОКПТД»
________________М.В.Лейхляйдер
«____»________________ 2018 г.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
80
ПРИЛОЖЕНИЕ Г
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ
в системе обработки персональных данных
ИСПДн «ПАЦИЕНТЫ»
2018 г.
УТВЕРЖДАЮ
Главврач ГБУЗ «ЧОКПТД»
_______________ М.В.Лейхляйдер
«____» ____________ 2018 г.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
81
Продолжение приложения Г
УСЛОВНЫЕ СОКРАЩЕНИЯ:
АВЗ – антивирусная защита;
ИСПДн – информационная система персональных данных;
ПДн – персональные данные.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
82
Продолжение приложения Г
1
ОБЩИЕ ТРЕБОВАНИЯ
1.1.
Настоящая инструкция определяет требования к организации защиты автоматизированной системы обработки персональных данных ИСПДн
«Пациенты» учреждения здравоохранения (далее ИСПДн) от разрушающего воздействия компьютерных вирусов и иного вредоносного программного обеспечения и устанавливает ответственность руководителя и сотрудников, эксплуатирующих и сопровождающих ИСПДн, за их выполнение.
1.2.
К использованию в ИСПДН допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков
(поставщиков) указанных средств.
1.3.
Установка и настройка средств антивирусного контроля на рабочих станциях ИСПДн осуществляется администратором или специально назначенным лицом в соответствии с руководствами по применению конкретных антивирусных средств.
1.4.
Данные требования не распространяются на рабочие станции с установленными операционными системами, для которых отсутствуют какие- либо средства антивирусного контроля.
2 ПРИМЕНЕНИЕ СРЕДСТВ АНТИВИРУСНОГО КОНТРОЛЯ
2.1.
Любой программный модуль перед запуском должен проходить автоматический антивирусный контроль. Для этого необходимо осуществлять проверку либо при загрузке компьютера всех дисков и файлов рабочих станций, либо непосредственно перед запуском конкретного программного модуля.
2.2.
Обязательному антивирусному контролю подлежит любая информация
(текстовые файлы любых форматов, файлы данных, исполняемые файлы), информация на съемных носителях (магнитных дисках, оптических и т.п.).
Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема на выделенном автономном компьютере.
Возможно применение другого способа антивирусного контроля входящей информации, обеспечивающего аналогичный уровень эффективности контроля.
Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
2.3.
Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), администратором защиты ИСПДн должна быть выполнена антивирусная проверка на защищаемых серверах и рабочих станциях.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
83
Продолжение приложения Г
2.4.
При возникновении подозрения на наличие компьютерного вируса
(нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник подразделения самостоятельно или вместе с администратором защиты ИСПДн должен провести внеочередной антивирусный контроль своей рабочей станции.
В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователи ИСПДн обязаны:
-приостановить работу в ИСПДн;
-немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения и администратора защиты ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе;
-совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;
-провести лечение или уничтожение зараженных файлов.
3 ОТВЕТСТВЕННОСТЬ
3.1.
Ответственность за учреждение здравоохранения и проведение антивирусного контроля в соответствии с требованиями настоящей Инструкции возлагается на администратора соответствующей информационной системы персональных данных.
3.2.
Периодический контроль состояния антивирусной защиты в ИСПДн, а также соблюдения установленного порядка антивирусного контроля и выполнением требований настоящей
Инструкции осуществляется администратором за обеспечение безопасности персональных данных.
Главврач ГБУЗ «ЧОКПТД»
М.В.Лейхляйдер

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
84
Продолжение приложения Г
С инструкцией ознакомлены:
№
ФИО
Подпись
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
85
ПРИЛОЖЕНИЕ Д
Для построения диаграммы Ганта определим перечень поставленных задач и их сроки (с учетом выходных дней).
Таблица 1 – Перечень работ и сроков
Название работы
Длительность
Начало
Окончание
1. Проектирование
13 17.01.2018 30.01.2018 1.1.
Определение ключевых показателей бизнес-процессов с точки зрения ИБ
2 17.01.2018 19.01.2018 1.2.
Анализ проблем и слабых мест существующих бизнес- процессов
3 19.01.2018 22.01.2018 1.3.
Разработка значений ключевых показателей новых бизнес- процессов
3 22.01.2018 25.01.2018 1.4.
Анализ и выбор наилучших способов и методов улучшения значений ключевых показателей бизнес- процессов
3 25.01.2018 28.01.2018 1.5.
Разработка и согласование структуры новых бизнес-процессов
2 28.01.2018 30.01.2018 2. Совершенствование организационно- распорядительной документации
10 30.01.2018 09.02.2018 2.1.
Технический паспорт
3 30.01.2018 02.02.2018 2.2.
Инструкция по антивирусной защите
3 02.02.2018 05.02.2018 2.3.
Согласование и утверждение ОРД
4 05.02.2018 09.02.2018 3. Подготовка реализации проекта создания системы защиты персональных данных
30 09.02.2018 11.03.2018

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
86
Продолжение приложения Д
Продолжение таблицы 1 1
2 3
4 3.1.
Определение ответственных лиц и исполнителей проекта
3 09.02.2018 12.02.2018 3.2.
Приобретение
СЗИ от НСД
7 12.02.2018 19.02.2018 3.3.
Приобретение антивирусного ПО
10 19.02.2018 01.03.2018 4. Внедрение
21 01.03.2018 22.03.2018 4.1.
Установка и настройка СЗИ от НСД
4 22.03.2018 26.03.2018 4.2.
Установка и настройка ПАК доверенной загрузки
4 26.03.2018 30.03.2018 4.3.
Установка и настройка антивирусного
ПО
3 30.03.2018 3.04.2018 4.4.
Контроль защищенности
3 03.04.2018 06.04.2018 4.5.
Обучение пользователей
7 06.04.2018 13.04.2018
На основе этих данных мы можем построить диаграмму Ганта, представленную на Рисунке 1.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
87
Продолжение приложения Д
Рисунок 1 – Диаграмма Ганта

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
88
ПРИЛОЖЕНИЕ Е
Акт
Определения уровня защищенности в учреждении здравоохранения
Комиссия, сформированная Организацией в составе:
Председатель комиссии:
_____________________________________________.
Члены комиссии:
___________________________________________________;
____________________________________________________.
Комиссия провела классификацию информационной системы обработки персональных данных пациентов в учреждении здравоохранения.
Комиссия установила:
1. ИСПДн «ПАЦИЕНТЫ» расположена по адресу: г. Челябинск ул.Труда
167 2. Типы обрабатываемых данных в информационной системе:
- специальные (состояние здоровья);
- биометрические (пол, рост, вес).
3. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в
Приложение к Приказу № 2 от 12 февраля 2014 г.
Утверждаю
Главврач
Утверждаю
Нотариус Сосновского муниципального района
_________________
________________
В.А.
Серая
«_____»
_______________
2014 г.
«_____» _________________
2014 г.

ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
89 информационной системе) – более чем 100000 субъектов персональных данных.
4. ИС представляет собой комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа
(локальная информационная система).
5. ИС не имеет подключение к сетям связи общего пользования и сетям международного информационного обмена.
6. Режим обработки персональных данных - многопользовательский.
7. Режим разграничения прав доступа пользователей ИС – система с разграничением прав доступа пользователей к ИСПДн.
8. Актуальными угрозами безопасности персональных данных являются угрозы 3-го типа - для информационной системы актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
9. Степень ущерба для свойств информации определена экспертным путем:
– конфиденциальность – низкая степень ущерба;
– целостность – низкая степень ущерба;
– доступность – низкая степень ущерба.
10. Уровень значимости информации:
– низкий уровень значимости (УЗ 3), т.к. степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) низкая для всех свойств безопасности информации.
11. Масштаб информационной системы:
– региональный.
Вывод:
Государственной информационной системе
«ЕГИСМ» устанавливается 2-йуровень защищенности персональных данных и устанавливается класс защищенности – К2.
Председатель комиссии:
_______________________
Члены комиссии:
_______________________
_______________________