Разработка проекта защищенного программно-аппратного комплекса электронный регистратуры

Автор работы: Пользователь скрыл имя, 09 Июля 2012 в 23:24, курсовая работа

Описание работы

Объектом исследования является поликлиника ЦГБ №1 г. Королёва и в частности её электронная регистратура.
Предметом исследования является система защиты информации при реализации электронной регистратуры.
Для реализации данного проекта необходимо решить следующие задачи:
провести анализ функционирования поликлиники Центральной городской больнице №1 г. Королёва, её информационной системы и существующего программно-аппаратного комплекса;
оценить защиту персональных данных и другой конфиденциальной информации в медицинском учреждении (в соответствии с утвержденным перечнем) на основе действующих правовых актов Российской Федерации и национальных стандартов;

Скачать архив (3.94 Мб) Сколько стоит заказать работу?
Файлы: 1 файл

Диплом.docx

— 4.40 Мб (Скачать файл)
      • низкая скорость обработки данных;
      • невозможность использования систем типа электронная очередь;
      • большое количество человеческих ошибок связанных с заполнением ведением историй болезни.

Исходя из проведенного анализа материально-технической части, и текущей организации работ с историями болезни следует вывод, что материально-техническая часть позволяет создать полноценную локальную вычислительную сеть в поликлиники Центральной городской больнице №1 г. Королёва с минимальными финансовыми затратами.

 

 

  1. В поликлинике Центральной городской больнице №1 г. Королёва существуют отдельные средства защиты информации, обеспечивающие закрытие уязвимостей на отдельных информационных объектах. Существующая система организации работ по защите информации нуждается в полном перестроении и приведении в соответствие со стандартами, СТР-К и руководящими документами ФСТЭК РФ.  Проведенный анализ показал в полной мере имеющиеся информационные потоки конфиденциальной информации, проведено категорирование информационных потоков.

 

  1. В третьем параграфе была произведена оценка эффективности с использованием модели Домарева, которая показала, что уровень защищенности процессов и программ электронной регистратуры не удовлетворяет требованиям выбранной руководством поликлиники стратегии защиты информации.

 

  1. Текущее состояние ЗИ в поликлинике ЦГБ №1 г. Королёва не отвечает принятой стратегии. Требуются кардинальные меры для устранения имеющихся недостатков, а именно:
    • пересмотрение существующей концепции и политики безопасности и корректировка их в соответствии с выбранной стратегией;
    • разграничение прав доступа пользователей в системе;
    • принятие мер физической защиты;
    • приведение в порядок организационно-распорядительной документации по ЗИ в ЦГБ № 1.
    • приведение общего состояния защищенности ИС поликлиники ЦГБ №1 г. Королёва в соответствие с классом защищенности «K1».

ГЛАВА 2. Разработка усовершенствованного защищенного  программно-аппаратного комплекса  электронной регистратуры поликлиники

 

2.1 Теоретическое  обоснование направлений развития  защищенного программно-аппаратного  комплекса электронной регистратуры

 

В соответствии с проведенным  анализом в Главе 1 были выявлены существенные недостатки СЗИ от НСД и защиты ПДн, которые ставят под угрозу безопасность медицинского учреждения в целом. Требуемый класс защищенности, принятый в организации, не выполняется с учетом выявленных проблем стандартами существующего программно-аппаратного комплекса защиты электронной регистратуры.

 

Выделим ключевые этапы разработки:

  1. Разработка концепции ЗИ, в которой будут отражены ключевые моменты информационной безопасности организации, задачи, тенденции к усовершенствованию и другие базовые понятия защиты поликлиники ЦГБ №1 (стратегическое планирование).
  2. Разработка политики информационной безопасности (ПБ), включающей в себя основные требования к обеспечению безопасности КИ и ПДн, назначение прав пользователей по должностям, определение допусков лиц к конфиденциальной информации, определение парольной политики, политики антивирусной защиты и др. (тактическое планирование).
  3. Разработка частных ПБ и технических регламентов (ТР), содержащих правила работы с конфиденциальной информацией, алгоритмы действий при работе с КИ, а также в случаях наступления чрезвычайных ситуаций; должностных инструкций специалистов по безопасности. (оперативное планирование).
  4. Непосредственное проектирование защищаемого ПАК электронной регистратуры в поликлинике ЦГБ №1, разработка необходимых функциональных комплексов, проведение комплекса пуско-наладочных работ и ввод системы в эксплуатацию.
  5. Контроль эффективности и менеджмент качества проведенных работ по защите информации, проведение классификации созданной ИСПДн,  проведение сертификации и аттестации.

 

Стоит отметить, что все  проводимые работы необходимо проводить  в рамках международных стандартов и выполнять в соответствии с  нормативно-правовой базой по обеспечению  ЗИ.

Примерный перечень документов, регламентирующих работы по ЗИ, приведен ниже:

  1. Федеральный закон "Об Информации, информационных технологиях и о защите информации)" от 27.07.2006 г. № 149-ФЗ
  2. Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006
  3. Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997 г. № 188
  4. Федеральный закон "О персональных данных " от 27.07.2006 г. № 152-ФЗ
  5. ГОСТ Р 51053-97 Замки сейфовые. Требования и методы испытаний на устойчивость к криминальному открыванию и взлому.
  6. ГОСТ Р 50862-2005 Сейфы, сейфовые комнаты и хранилища. Требования и методы испытаний на устойчивость к взлому и огнестойкость
  7. ГОСТ 26342-84 Средства охранной, пожарной и охранно-пожарной сигнализации. Типы, основные параметры и размеры.
  8. ГОСТ Р 51275-99 Объект информатизации, факторы воздействующие на информацию.
  9. ГОСТ Р 52447-2005 Техника защиты информации.
  10. ГОСТ Р 52448-2005 Обеспечение безопасности сетей электросвязи.
  11. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.)
  12. Руководящий документ. Средства вычислительной техники Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.)

Внутренние документы организации, требующие разработки:

    • приказ о принятии стратегии информационной безопасности в поликлинике Центральной городской больнице №1 г. Королёв  «ЦГБ №1»;
    • концепция безопасности поликлинике Центральной городской больнице №1 г. Королёв «ЦГБ №1»;
    • политика безопасности поликлинике Центральной городской больнице №1 г. Королёв «ЦГБ №1»;
    • план работ по защите информации в поликлинике Центральной городской больнице №1 г. Королёв «ЦГБ №1» на год;
    • положение о службе защиты информации;
    • должностная инструкция специалиста по ЗИ;
    • должностная инструкция начальника службы по ЗИ.

 

Защищенный программно-аппаратный  комплекс электронной регистратуры направлен на реализацию следующих задач:

  • реализация сетевой топологии с выделением в отдельный сектор сети регистратуры ИСПДн;
    • реализация контрольно-допускной системы на АРМ и в ЛВС выделенных секторов сети;
    • защита хранимых на серверах и рабочих станциях файлов или хранилищ данных с содержащимися в ней сведениями конфиденциального характера путем шифрования встроенными средствами, либо сертифицированными ФСТЭК РФ сторонними средствами криптографической защиты;
    •   межсетевое экранирование;
    •   организация квотирования, шейпинга и контент-фильтрации   Интернет трафика организации;
    • определение доменных политик безопасности, применимых к секторам сети, включающих в себя, главным образом, аудит доступа к объектам и политику паролей;
    • определение единой антивирусной политики, установка и настройка централизованного сервера антивирусного контроля, обновления и защиты, регистрация клиентов на АРМ;
    • определение политик резервного копирования, установка и настройка программного обеспечения, обеспечение безопасности архивов резервных копий конфигурации, данных, ОС серверов и рабочих станций.

 

В соответствии с РД ФСТЭК  России, защищенный программно-аппаратный комплекс электронной регистратуры должен обеспечивать защищенность информационной системы обработки персональных данных класса «К1» Категории №1. Для данного класса защищенности, в ИСПДн должны быть реализованы следующие механизмы защиты:

  1. Подсистема управления доступом:
    1. Идентификация, проверка подлинности и контроль доступа субъектов:
      • в системе;
    1. Межсетевое экранирование, при наличии подключения к сетям   общего пользования: 
      • принятие решение по фильтрации для каждого сетевого   пакета;
      • идентификацию и аутентификацию администратора при его локальных запросах на доступ;
      • идентификацию и аутентификацию по идентификатору (коду) и паролю условно-постоянного действия;
      • регистрация входа (выхода) администратора в систему (из системы) либо загрузки и инициализации системы и ее программной остановки;
      • контроль целостности программной и информационной части;
      • фильтрация пакетов служебных потоков, служащих для диагностики и управления работой сетевых устройств;
      • фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
      • фильтрация с учетом любых значимых полей сетевых пакетов, восстановление после сбоев и отказов оборудования;
      • регламентное тестирование реализации прав фильтрации, процесса идентификации, аутентификации и регистрации действий администратора;
      • контроль целостности программной и информационной части;
      • восстановление после сбоев и отказов;
      • сигнализация попыток нарушения правил фильтрации;
      • регистрация и учет запрашиваемых сервисов прикладного уровня;
      • идентификация и аутентификация администратора при его запросах на доступ по идентификатору (коду) и паролю временного действия;
      • блокирование доступа не идентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась методами, устойчивыми к пассивному и активному перехвату информации;
      • контроль целостности программной и информационной части по контрольным суммам, как в процессе загрузки, так и динамически, оперативное восстановление свойств экранирования;
      • обеспечение возможности сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;
      • возможность трансляции сетевых адресов;
    1. Идентификация и аутентификация субъектов доступа при входе в средство защиты от программно математических воздействий (ПМВ) и перед выполнением ими любых операций по управлению функциями средствами защиты от ПМВ по паролю.
    1. Управления функциями средства защиты от ПВМ субъектом выполниться только после успешной аутентификации.
    2. Блокировка доступа к средствам защиты от ПМВ при выполнении устанавливаемого числа неудачных попыток ввода пароля.
    3. Идентификация фалов, каталогов, программных модулей, внешних устройств, используемых средств защиты от ПМВ.

2.  Подсистема регистрации и учета:

          2.1   Регистрация и учет:

      • входа (выхода) субъектов доступа в (из) систему (узел сети);
    1. Учет носителей информации.
    1. Регистрация входа/выхода субъектов доступа в средство защиты     ПМВ, регистрация загрузки и инициализации этого средства и ее программной остановки.
    2. Регистрация событий проверки и обнаружения ПМВ.
    3. Регистрация событий по внедрению в средство защиты от ПМВ пакетов обновлений.
    4.   Регистрация событий (запуска/завершения) работы модулей средства защиты от ПМВ.
    5.   Регистрация событий управления субъектом доступа функциями средства защиты от ПМВ.
    6.   Регистрация событий попыток доступа программных средств к модулям средства защиты от ПМВ или специальным ловушкам.
    7.   Регистрация событий отката для средства защиты от ПМВ.
    8. Защита данных регистрации от уничтожения или модификации.
    9. Сохранение данных регистрации в случае сокращения отведенных под них ресурсов.
    10. Возможность просмотра и анализа регистрации и фильтрации по заданному набору параметров.
    11. Непрерывный мониторинг событий, которые могут являться причиной реализации ПМВ (создание, редактирование, запись, компиляция объектов, которые могут содержать ВП).
    12. Автоматический анализ данных регистрации по шаблону типовых проявлений ПМВ с автоматическим их блокированием и уведомлением администратора безопасности.
    13. Должно проводиться несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации.
  1.   Подсистема обеспечения целостности:
    1. Должно проводиться несколько видов учета (дублирующих) с  регистрацией выдачи (приема) носителей информации.
    2. Периодическое тестирование СЗИ НСД.
    3. Наличие средств восстановления СЗИ НСД.
    4. Использование сертифицированных средств защиты.

Информация о работе Разработка проекта защищенного программно-аппратного комплекса электронный регистратуры