Разработка проекта защищенного программно-аппратного комплекса электронный регистратуры

Поликлиника Центральной Городской Больницы №1 г. Королёва, будучи организацией среднего масштаба и с учетом изложенного выше материала целесообразной стратегией по ИБ следует рассматривать наступательную стратегию защиты информации. Данная стратегия позволит обеспечить необходимый уровень защищенности информационных ресурсов.

Теперь рассмотрим работу существующей электронной регистратуры в поликлиники.

Электронная регистратура, представляет локальное выполнение задач по формированию, заполнению, ведению историй болезни и  иных документов на отдельных АРМ  пользователей регистратуры. В ходе работы формируется не электронная  история болезни, а лишь конкретные направления на лечении, результаты анализов, справки. Истории болезни, по-прежнему находиться в бумажном виде, к которым в свою очередь  и прикрепляются направления  на лечение, результаты анализов, записи о посещении врачей.

 

Поликлиника Центральной Городской Больницы №1 г. Королёва – организация среднего объема, занимающаяся оказанием медицинских услуг на платной и бесплатной основе. Исходя из организационной структуры, можно выделить объекты, подлежащие защите – регистратура, в которой осуществляется работа с персональными данными.

Для медицинского учреждения данного типа наиболее целесообразна наступательная стратегия защиты, которая представляет собой защиту от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностям защиты. В результате использования данной стратегии эффективность защиты информации и информационных ресурсов составит ≥ 0,86 с учетом метода половинного деления шкалы:

 

 

 

 

 

 

 

Опираясь на анализ функционирования поликлиники и в частности  регистратуры, руководство поликлиники ЦГБ №1 г. Королёва выбрало наступательную стратегию защиты.

Исходя из проведенного, анализа материально-технической части и текущей организации работ с историями болезни следует вывод, что материально-техническая часть позволяет создать полноценную локальную вычислительную сеть в поликлиники Центральной городской больнице №1 г. Королёва с минимальными финансовыми затратами.

1.2 Анализ имеющейся СЗИ в поликлиники

Дадим определения  ключевым параметрам СЗИ поликлиники  ЦГБ №1, приведем ключевые характеристики.

Контролируемая зона –  периметр больницы, ограниченный забором.

Примерный перечень сведений и объектов информатизации, информация в которых подлежит защите. Вначале, выделим объекты информатизации:

• рабочие станции, содержащие файловые хранилища конфиденциальной информации, либо другой информации, подлежащей защите в соответствии с политикой безопасности организации, либо по законодательству РФ;
• рабочие станции, не подключенные к ЛВС, но также обрабатывающие конфиденциальную информацию.

Примерный перечень сведений, подлежащих защите:

• сведения, попадающие под действие перечня сведений конфиденциального характера, утвержденного Указом президента РФ от 6 марта 1997г №1 88, персональные данные (152-ФЗ);
• сведения конфиденциального характера, составляющие персональные данные о больных, сотрудниках и других лицах, тем или иным образом зарегистрированных в ЦГБ №1 (персональные данные);
• сведения о проектной деятельности, носящие конфиденциальный характер (научно-исследовательские работы, результаты исследования и анализов, разглашение которых может повлечь коммерческий или иной вред медицинскому учреждению);
• Другие сведения, разглашение которых может нанести прямой или косвенный вред деятельности организации, либо повлечь за собой прямые либо косвенные финансовые и другие виды потерь, понесенные организацией.

В соответствии с руководящими документами ФСТЭК России, ФЗ №149-ФЗ, 152-ФЗ, к поликлинике Центральной Городской больнице №1 г. Королёв «ЦГБ №1» должны быть применены требования к защищенности информационной системы обработки персональных данных (ИСПДн), соответствующие классу защищенности «K1», исходя из следующих критериев:

• количество пациентов более 1000 человек;
• обрабатываются следующие виды тайн:

• коммерческая тайна;
• информация «для служебного пользования»;
• персональные данные;

• другие критерии РД ФСТЭК России.

 

Проведем анализ имеющейся  СЗИ в поликлинике Центральной  городской больнице №1 г. Королёва применительно  к подсистемам защиты информации: физической защиты, организационной  защиты, программно-аппаратной защиты.

Подсистема физической защиты включает в себя:

1. Система турникетов отсутствует.
2. Система видеонаблюдения отсутствует.
3. Система пожаротушения присутствует.
4. В помещениях особой важности (регистратура, бухгалтерия, кабинет зав. отделением)  установлены железные двери.
5. На первом этаже по всему периметру установлены решетки на окнах.

Подсистема организационной  защиты:

1. Все ключи от помещений выдаются под роспись.
2. Все помещения особой важности опечатываются, ключи храниться в тубах.
3. Все помещения особой важности опечатываются, ключи храниться в тубах.
4. Требуемые хранения документы содержаться в специальном архиве.
5. Контроль  за соблюдением требований и действующего законодательства РФ по защите информации осуществляет заведующий поликлиникой ЦГБ №1 г. Королёва.

Подсистема программно-аппаратной защиты:

1. Идентификация сотрудников поликлиники на рабочем месте (ввод 8-ми значного пароля на доступ в операционную систему);
2. Антивирусная защита (Касперский v. 6.0);
3. Разграничение прав доступа;

Рассмотрим структурно-функциональную схему, существующего ПАК защиты  электронной регистратуры, представленную на рисунке 9.

Рис. 9 Структурно-функциональная схема, существующего ПАК защиты электронной регистратуры

Далее рассмотрим недостатки существующего программно-аппаратного комплекса электронной регистратуры поликлиники ЦГБ №1 г. Королёва.

Из анализа можно выделить ряд недостатков имеющейся системы, устранением которых должно заниматься специализированное подразделение, либо сотрудник соответствующей квалификации:

• функции защиты информации возложены на плечи рядовых сотрудников, отделы, занимающиеся защитой информации, отсутствуют;
• не разграничены конфиденциальные и не конфиденциальные сведения. Сотрудник (отдел) самостоятельно принимает решение, кому предоставить доступ к документам;
• нет отдельного хранилища конфиденциальной документации;
• нет достаточного контроля действий пользователей на рабочих станциях, каждый пользователь наделен на своей рабочей станции правами администратора и имеет возможность самостоятельно устанавливать стороннее программное обеспечение;
• отсутствует система фильтрации локального трафика на основе контент-анализа. Любой пользователь может передать любую информацию по локальной сети;
• не определена политика сложности паролей; пароль на вход в компьютер ограничен только длиной в 8 символов, но никак не зависит от сложности.
• существует угроза просмотра содержимого компьютеров с неустановленным административным паролем.

Разработка защищенного программно-аппаратного комплекса электронной регистратуры позволит исключить большинство потенциальных угроз утечки информации, исходя как из штатных, так и нештатных режимов функционирования. 

Для обеспечения надежного уровня защиты информации в поликлинике ЦГБ №1 г. Королёва должна быть создана целостная система организационно-технологических мероприятий и применен комплекс специальных средств и методов по ЗИ – осуществляется комплексная система защиты информации.

В поликлинике Центральной городской больнице №1 г. Королёва существуют отдельные средства защиты информации, обеспечивающие закрытие уязвимостей на отдельных информационных объектах. Существующая система организации работ по защите информации нуждается в полном перестроении и приведении в соответствие со стандартами, СТР-К и руководящими документами ФСТЭК РФ.  Проведенный анализ показал в полной мере имеющиеся информационные потоки конфиденциальной информации, проведено категорирование информационных потоков, выделены объекты защиты.

 

1.3 Оценка эффективности существующего программно-аппаратного комплекса электронной регистратуры

Для оценки эффективности, существующего программно-аппартаного комплекса электронной регистратуры, воспользуемся моделью оценки эффективности Домарева. [3] Которая экспертных путем покажет наиболее уязвимые места, тем самым определит область дальнейшего совершенствования системы.

Проведем оценку эффективности с использованием модели Домарева, указывающая текущее состояние программно-аппаратного комплекса электронной регистратуры поликлиники ЦГБ №1 г. Королёва. Приведем расчет обобщенных показателей эффективности в соответствии со стратегией защищенности информационной безопасности.

В таблице 4 приведена оценка защищенности процессов и программ электронной регистратуры поликлиники Центральной городской больницы

г. Королёва.

Таблица 4

Оценка защищенности процессов  и программ электронной регистратуры

№ этапа	Перечень показателей	№ элемента матрицы	Профиль безопасности требуемый	Профиль безопасности достигнутый	Сравнение профилей	Степень выполнения групп  требований	Объем выполненных работ	Количество выполненных  требований
	M	№	Qтр	Qд	Sпр	Qгруп	Q	S
1	2	3	4	5	6	7	8	9
1	1	111	0,86	0,7	0	0,75	0,75	0,45
	2	112	0,86	0,7	0
	3	113	0,86	0,7	0
	4	114	0,86	0,8
2	5	211	0,86	0,7	1	0,75
	6	212	0,86	0,8	0
	7	213	0,86	0,8	0
	8	214	0,86	0,8	0
3	9	311	0,86	0,7	1	0,75
	10	312	0,86	0,7	1
	11	313	0,86	0,7	0
	12	314	0,86	0,7	0
4	13	411	0,86	0,7	0	0,80
	14	412	0,86	0,7	0
	15	413	0,86	0,7	0
	16	414	0,86	0,7	0
5	17	511	0,86	0,7	1	0.80
	18	512	0,86	0,7	1
	19	513	0,86	0,7	1
	20	514	0,86	0,7	1
6	21	611	0,86	0,7	1	0,75
	22	612	0,86	0,6	1
	23	613	0,86	0,9	1
	24	614	0,86	0,9	1
7	25	711	0,86	0,5	0	0,75
	26	712	0,86	0,8	0
	27	713	0,86	0,6	0
	28	714	0,86	0,6	0

 

Цветом выделены итоговые результаты неудовлетворяющие требованиям, предъявленным выбранной руководством поликлиники стратегии защиты информации.

В таблице 5 приведем итоговый уровень показателей защищенности.

Таблица 5

Обобщенная таблица показателей  уровня защищенности ИС поликлиники

Показатели	Направления защиты					Qсзи
	1	2	3	4	5
	Коэффициенты важности по направлениям
	0,2	0,2	0,2	0,2	0,2
Количественный	0,75	0,45	0,68	0,61	0,75	0,67
Качественный	0,88	0,75	0,88	0,86	0,89	0,88

 

По результатам представленной в таблице 5 уровень защищенности процессов и программ ИС поликлиники находится ниже требуемого и не соответствует политике защиты информации выбранной руководством.

Следовательно, требуется  провести комплекс работ по обеспечению  и соответствию существующей системы защиты информации принятой стратегии по безопасности. Данным выводом обосновывается актуальность данной работы.

 

 

 

 

 

 

 

Выводы по 1-й  главе

 

1. Поликлиника ЦГБ №1 г. Королёва – медицинское учреждение малого масштаба, оказывающая медицинские услуги, на коммерческой и бюджетной основе. Исходя из организационной структуры, можно выделить объекты, подлежащие защите – АРМ сотрудников регистратуры подключенных к локальной вычислительной сети, на которых осуществляется работа с  персональными данными категории 1, класса защищенности «К1».

Исходя из анализа медицинского учреждения, Руководство ЦГБ №1 г. Королёва выбрало наступательную стратегию защиты.

Существующая организация  работы регистратуры не соответствует  современным методикам работы с  историями болезни и не удовлетворяет  требованиям, выдвигаемым ФЗ 152 “О персональных данных”. Помимо этого отсутствие электронной регистратуры в полном понимании этого термина влечет за собой ряд других негативных факторов, таких как: