Защита персональных данных в Бюджетном учреждении здравоохранения Удмуртской Республики «Камбарская районная больница Министерства здравоохранения Удмуртской Республики»

Актуальность работы связана с тем, что информационная безопасность является в данный момент одним из наиболее важных понятий во всей сфере информационных технологий. Цифровые данные легко могут попасть в руки злоумышленников в результате несанкционированного доступа, поэтому любые уязвимости и угрозы несанкционированного доступа к персональным данным должны учитываться и анализироваться, а по результатам анализа должны выполняться меры по предотвращению рисков раскрытия конфиденциальных сведений.

В данный момент информационная система любой компании, в том числе и рассматриваемого учреждения, представляет собой сложную совокупность различных элементов вычислительной среды компании.

Использование любых информационных средств или программных средств влечет за собой вероятность утраты важной информации в результате несанкционированного к ней доступа. Поэтому любая компания, применяющая средства информационных технологий, вынуждена одновременно заботиться об обеспечении защиты информации, так как утрата данных может повлечь за собой гибель компании в результате неправомерного использования такой информации.

При этом средства обеспечения защиты информации могут применяться на разных уровнях взаимодействия информационной системы, что позволяет обеспечить целостность защиты информации с разных сторон.

Темой выпускной квалификационной работы является защита персональных данных БУЗ УР «Камбарская РБ МЗ УР».

Целью проекта является повышение уровня защищенности персональных данных в БУЗ УР «Камбарская РБ МЗ УР».

В данной работе предполагается изучение того, как ведётся защита персональных данных в Камбарской районной больнице и выявление недостатков, которые существуют в системе защиты информации данной организации, определяющих потребность осуществления разработки данного проекта. Выбор защитных мер, позволяющая повысить безопасность персональных данных компании в результате доработки системы информационной безопасности. В данной работе мы рассмотрим сочетание организационных, а также технических мер обеспечения защиты персональных данных и защиты информации в медицинской организации организации.

Выпускная квалификационная работа содержит введение, три структурированных главы, заключение, список использованных источников.

Первая часть работы посвящена анализу текущей ситуации с обеспечение информационной безопасности в учреждении. Последовательно изучена структура управления компании, ее экономическое положение, структура информационной системы, в том числе программное и аппаратное обеспечение, изучены и идентифицированы основные информационные активы, защита которых и является сущностью работы учреждения в области защиты информации. Далее определены наиболее актуальные риски, угрозы идентифицированным ранее активам, подробно описаны используемые средства защиты, определена их недостаточность. Далее проведен анализ и выбор комплекса задач по обеспечению защиты информации, на основании чего выбраны организационные и инженерно-технические меры. Оценка рисков заключается в определении наиболее критичных активов в БУЗ УР «Камбарская РБ МЗ УР» с точки зрения рисков информационной безопасности по штрафным баллам. Исходные данные для оценки угроз получены от руководящего состава больницы и медицинских работников, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также от сотрудников отдела АСУ на которых возложены обязанности за реализацию защитных мер в организации. Оценивание рисков производится экспертным путем на основе анализа наиболее ценных активов в организации, возможности возникновения угроз и возможности использования уязвимостей злоумышленниками.

Вторая глава начинается с анализа текущего законодательства в области обеспечения защиты информации. Описаны основные организационные меры, структура используемого комплекса мер и способов защиты информации, рассмотрен контрольный пример применения предлагаемых мер, в том числе построены и описаны схемы программного и аппаратного обеспечения с учетом выбранного комплекса защиты информации.

Третья глава посвящена оценке экономической эффективности от внедрения выбранных защитных мер. При этом эффективность оценивается с точки зрения снижения рисков для реализации угроз для выбранных активов информационной безопасности. В качестве методики определения затрат используем зависимость ожидаемых потерь (рисков). Проведенный расчет показателей позволяет сделать вывод, что применяемые меры эффектно снижают уровень имеющихся угроз.

Введение... 8

1. Аналитическая часть... 12

1.1 Технико-экономическая характеристика предметной области и предприятия икомпании... 12

1.1.1 Общая характеристика предметной области... 12

1.1.2 Организационно-функциональная структура предприятия... 17

1.2 Анализ рисков информационной безопасности... 20

1.2.1 Идентификация и оценка информационных активов... 20

1.2.2 Оценка уязвимостей активов... 28

1.2.3 Оценка угроз активам... 35

1.2.4 Оценка существующих и планируемых средств защиты... 45

1.2.5 Оценка рисков... 55

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации в компании... 59

1.3.1 Выбор комплекса задач обеспечения информационной безопасности... 59

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации... 62

1.4 Выбор защитных мер... 65

1.4.1 Выбор организационных мер... 65

1.4.2 Выбор инженерно-технических мер... 71

2 Проектная часть... 78

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации компании... 78

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации компании... 78

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации компании... 81

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации компании...83

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации компании... 83

2.2.2 Разработка проекта внедрения системы выявления и предотвращения утечек информации... 95

2.2.3 Контрольный пример реализации проекта и его описание... 95

3 Обоснование экономической эффективности проекта... 101

3.1 Выбор и обоснование методики расчёта экономической эффективности... 101

3.2 Расчёт показателей экономической эффективности проекта... 105

Заключение... 111

Список использованной литературы ... 114

Приложение 1... 114

Приложение 2... 123

1. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
2. ГОСТ Р ИСО/МЭК 15408-1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
3. Руководство администратора Secret Net Studio 8.8. [Электронный ресурс] [URL https://www.securitycode.ru/products/secret-net-studio/?tab=support].
4. Андресс Джейсон. Защита данных. От авторизации до аудита. - СПб.: Питер, 2021. — 272 с.
5. Бегаев А.Н., Кашин С.В., Маркевич Н.А., Марченко А.А. Выявление уязвимостей и недекларированных возможностей в программном обеспечении. Учебно-методическое пособие. – СПб: Университет ИТМО, 2020. – 38 с.
6. Дорофеев А. В., Макаров А. С. Менеджмент информационной безопасности: основные концепии // Вопросы кибербезопасности. -2014. -№1(2). – с.67-73
7. Руководство администратора ПАК «Соболь 4». [Электронный ресурс] [URL https://www.securitycode.ru/products/pak_sobol/?tab=support].
8. Вострецова Е.В. Основы информационной безопасности. Учебное пособие. — Екатеринбург: Уральский федеральный университет им. Первого президента России Б.Н. Ельцина (УрФУ), 2019. — 204 с. — ISBN 978-5-7996-2677-8
9. Гатчин Ю.А., Сухостат В.В., Куракин А.С., Донецкая Ю.В. Теория информационной безопасности и методология защиты информации. 2-е изд., испр. и доп. – СПб: Университет ИТМО, 2018. – 100 с.
10. Еременко В.Т., Аверченков В.И., Орешина М.Н., Рытов М.Ю., Лобода О.А., Аудит информационной безопасности органов исполнительной власти, учебное пособие для высшего образования, - Орел: ФГБОУ ВО «Орловский государственный университет имени И.С. Тургенева», 2016. – 93 с.
11. Домарев В.В., Безопасность информационных технологий. Системный подход / В.В. Домарев – Киев: ООО «Тид», 2004. – 914 с.
12. Ясенев В.Н., Дорожкин А.В., Сочков А.Л., Ясенев О.В., Информационная безопасность, учебное пособие, - Нижний Новгород: Нижегородский госуниверситет им. Н.И. Лобачевского, 2017. – 198 с.
13. Федеральный закон РФ от от 27.07.2006 г. № 152-ФЗ Об персональных данных.
14. Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
15. Двухфакторная аутентификация: что это и зачем оно нужно? [Электронный ресурс] [https://www.kaspersky.ru/blog/what_is_two_factor_authenticatio/4272/]
16. Как при помощи токена сделать Windows домен безопаснее? [Электронный ресурс] [https://habrahabr.ru/company/aktiv-company/blog/327232/]
17. Доктрина информационной безопасности Российской Федерации.
18. Сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства MS Windows Secret Net. [Электронный ресурс] [URL https://www.securitycode.ru/products/secret-net-studio/].
19. Сертифицированный аппаратно-программный модуль доверенной загрузки (ПАК «Соболь 4»), [Электронный ресурс] [https://www.securitycode.ru/products/pak_sobol/]
20. Электронные USB-ключи и смарт-карты Рутокен [Электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-lite/]
21. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст) (Докипедия: Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст))
22. «Информационная безопасность для здравоохранения» [Электронный ресурс] [https://www.comnews.ru/content/219325/2022-03-21/2022-w12/informacionnaya-bezopasnost-dlya-zdravookhraneniya]