Разработка методологии программно-аппаратной защиты информации в медицинском учреждении (на примере "ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска")

СОДЕЖАНИЕ

СОДЕЖАНИЕ 2

ВВЕДЕНИЕ 4

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 8

ТКУИ – технический канал утечки информации; 9

1. Анализ сферы защиты информации в медицинских учреждениях 10

1.1 Роль и значение безопасности информации в контексте медицинских данных 10

1.2 Анализ угроз и рисков в обработке медицинской информации 19

1.3 Законодательные и нормативные аспекты обеспечения безопасности персональных данных в медицине 31

1.4 Выводы по главе 40

2. Анализ угроз и методов защиты в информационной сфере медицинских учреждений на примере "ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска 41

2.1 Характеристика ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска, анализ угроз и уязвимостей медицинского учреждения 41

2.2. Обоснование необходимости программно-аппаратной защиты информации в ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска 57

2.3 Анализ методов и средств защиты ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска 76

2.4 Выводы по главе 87

Список использованных источников 91

Приложение А Частная модель УБПДн 94

ВВЕДЕНИЕ 3

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 7

1. Анализ сферы защиты информации в медицинских учреждениях 9

1.1 Роль и значение безопасности информации в контексте медицинских данных 9

1.2 Анализ угроз и рисков в обработке медицинской информации 18

1.3 Законодательные и нормативные аспекты обеспечения безопасности персональных данных в медицине 30

1.4 Выводы по главе 39

2. Анализ угроз и методов защиты в информационной сфере медицинских учреждений на примере "ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска 40

2.1 Характеристика ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска, анализ угроз и уязвимостей медицинского учреждения 40

2.2. Обоснование необходимости программно-аппаратной защиты информации в ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска 55

2.3 Анализ методов и средств защиты ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска 75

2.4 Выводы по главе 86

Список использованных источников 89

Приложение А Частная модель УБПДн 92

ВВЕДЕНИЕ

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Необходимость принятия мер по защите персональных данных вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и обработки данных о людях.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Сегодня вряд ли можно представить деятельность организации без обработки информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации.

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области ПДн основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

Использование информационных технологий в организациях является неотъемлемым условием для реализации качественных услуг клиентам. Любая информация в организациях подлежит защите и нераспространению. Информационные системы обеспечивают жизнеспособность организаций любого масштаба. Это обусловлено в первую очередь большой производительностью и доступным функционалом современных информационных систем, и низкой ценой, что является огромным плюсом в связи с ограниченным бюджетом организаций.

Разработка эффективной политики информационной безопасности обеспечивает безопасность баз данных клиентов, предоставляет возможность составления прогнозов эффективности, выявление ошибок сотрудников, решения задач управления и планирования деятельности.

В связи с непростой экономической ситуацией в стране, невзирая на экономические санкции, реализуется процесс импортозамещения - повсеместно проходит оцифровывание бизнес-процессов с использованием отечественных и бюджетных разработок. Все чаще требуются квалифицированные специалисты в области создания, внедрения и организации защиты информации в информационных системах учреждений.

В сегодняшнем мире невозможно представить организацию работы организации, человека без внедрения автоматизированных процессов и систем. К тому же каждый разработчик стремится сделать свою систему более удобной и простой в использовании, поскольку конкуренция на данном рынке считается довольно высокой. Область информационных технологий с каждым годом развивается все быстрее и быстрее.

Особенное место в списке автоматизированных систем (АС) занимают системы, обрабатывающие конфиденциальную информацию. Для корректного и качественного обеспечения безопасности требуется детальный анализ работы автоматизированных систем, который в себя включает разбор всех процессов, возможных угроз, уязвимостей при НСД.

В настоящее время в сфере кибербезопасности существует растущая необходимость улучшить защиту от кибератак. Доказательством этой потребности служат данные, проанализированные компанией Positive Technologies, одной из ведущих компаний в области информационной безопасности. В ходе исследования, были изучены отчеты Positive Technologies, в которых было отражено количество атак и их цели. Основными данными, интересующими потенциальных злоумышленников, являются сведения о том, на какие объекты направлены атаки. Анализ данных подтвердил, что с увеличением количества атак растет необходимость в совершенствовании системы защиты.

Анализ данных, собранных и проанализированных компанией Positive Technologies, позволяет сделать вывод о несостоятельности современных систем защиты перед растущими угрозами в сфере кибербезопасности. Число кибератак продолжает увеличиваться, указывая на необходимость принятия мер для усовершенствования систем защиты. Таким образом, данная работа об актуальных угрозах несанкционированного доступа и комплексном обеспечении информационной безопасности имеет большое значение и актуальность. Уязвимости и атаки становятся все более распространенными, и требуется принятие мер для эффективного противодействия этим угрозам.

Объектом исследования в рамках выполнения выпускной квалификационной работы выступает типичное предприятие.

Предмет исследования - организация политики информационной безопасности для защиты от несанкционированного доступа к ресурсам корпоративной сети рассматриваемого организации.

Цель работы: разработка методологии программно-аппаратной защиты информации в медицинском учреждении (на примере "ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска").

Задачи исследования:

• Проанализировать угрозы безопасности персональных данных и изучить уязвимости и недостатки существующих средств защиты.

• Оценить важность угроз и уязвимостей для выбора средств защиты.

• Провести оценку эффективности существующих средств защиты и изучить методы тестирования и оценки их эффективности.

• Разработать методику программно-аппаратной защиты информации в медицинском учреждении (на примере "ФГБУЗ Сибирский окружной медицинский центр г. Новосибирска").

• Оценить эффективность разработанной методики.

В процессе написания проекта применялись способы научного исследования: изучение нормативно-правовой базы, научной литературы, посвященные теме исследования, а также аналитический и сравнительный способы.

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

База данных (БД) - именованная совокупность данных, отражающая состояние объектов и их отношений в рассматриваемой предметной области. Под предметной областью понимается некоторая область человеческой деятельности или область реального мира, на основе которой создается БД и её структура.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152).

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Угрозы безопасности персональных данных (УБПДн) – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

АРМ – автоматизированное рабочее место;

АС – автоматизированные системы;

АСО – активное сетевое оборудование;

БД – база данных;

ВТСС – вспомогательные технические средства и системы;

ДМЗ – демилитаризированная зона;

ИБ – информационная безопасность;

ИНН – индивидуальный налоговый номер;

ИС – информационная система;

ИСПДн – информационная система персональных данных;

ИТ – информационные технологии;

ЛВС – локально-вычислительная сеть;

МЭ – межсетевой экран;

НСД – несанкционированный доступ;

ОЗУ – оперативное запоминающее устройство;

ОС – операционная система;

ПДн – персональные данные;

ПКИИР – подсистема контроля использования информационных ресурсов;

ПСКАС – подсистема сбора, корреляции и анализа событий;

ПЭВМ – персональная электронно вычислительная машина;

ПЭМИН – побочные электромагнитные излучения и наводки;

ПЭМИН – побочные электромагнитные излучения и наводки;

СЗИ – система защиты информации;

СЗПДн – система защиты персональных данных;

СКЗИ – средства криптографической защиты информации.

СУБД – система управления базами данных;

СУИБ – система управления информационной безопасности;

ТКУИ – технический канал утечки информации;

УБПДн – угроза безопасности персональных данных;