Разработка проекта защищенного программно-аппратного комплекса электронный регистратуры

Автор работы: Пользователь скрыл имя, 09 Июля 2012 в 23:24, курсовая работа

Описание работы

Объектом исследования является поликлиника ЦГБ №1 г. Королёва и в частности её электронная регистратура.
Предметом исследования является система защиты информации при реализации электронной регистратуры.
Для реализации данного проекта необходимо решить следующие задачи:
провести анализ функционирования поликлиники Центральной городской больнице №1 г. Королёва, её информационной системы и существующего программно-аппаратного комплекса;
оценить защиту персональных данных и другой конфиденциальной информации в медицинском учреждении (в соответствии с утвержденным перечнем) на основе действующих правовых актов Российской Федерации и национальных стандартов;

Скачать архив (3.94 Мб) Сколько стоит заказать работу?

Файлы: 1 файл

Диплом.docx

— 4.40 Мб (Скачать файл)

В поликлиники должна быть реализована политика безопасности исходя из соображений обеспечения соответствия ИСПДн классу защищенности «К1», произведена перепроверка архитектуры и топологии ЛВС, внесены необходимые изменения. В разделе описаны применяемые для обеспечения функционирования ПАК электронной регистратуры методы и средства, описан алгоритм работы криптографического средства «Крипто Диск».

2.3 Выбор средств, для усовершенствованного защищённого программно-аппаратного комплекса электронной регистратуры

В данном разделе приведем перечень применяемых средств защиты для реализации защищенного программно-аппаратного комплекса электронной регистратуры, необходимых для выполнения требований к классу защищенности ИСПДн «К1», а также продуктов, применяемых для обеспечения дополнительной безопасности информационных систем поликлиники в соответствии с выбранной стратегией защищенности.

В таблице 7 приведены непосредственные требования, предъявляемые к ИСПДн, выбранные средства, удовлетворяющие данным требованиям, определена их непосредственная стоимость для организации и дана некоторая экспертная оценка степени вероятности закрытия уязвимости.

Таблица 7

Выбор целесообразных типовых средств и систем для защищенного программно-аппаратного комплекса.

Защищенный ПАК электронной регистратуры	Объект защиты	Выбранное решение		Стоимость решения, полная, тыс.руб.		Степень вероятности обеспечения защиты (экспертная оценка)
1	2	3		4		5
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:	-	-		-		-
в систему	АРМ сотрудников регистратуры	Идентификация и авторизация встроенными средствами Windows (средствами NTLM), электронные замки «Соболь»		11,3		0,95
1.2. Межсетевое экранирование, при наличии подключения к сетям общего пользования	ЛВС регистратуры	Windows Defender – для локальных машин + политика IP на домене		-		-

Продолжение табл. 7
1	2	3		4		5
обеспечивать принятое решение по фильтрации для каждого сетевого пакета	ЛВС регистратуры	MS ISA 2006, CISCO PIX 515E – серверная часть, Windows Defender (Брандмауэр Windows) + политика IP на домене – клиентская часть		107,1		0,9
идентификацию и аутентификацию администратора при его локальных запросах на доступ						0,8
идентификация и аутентификация по идентификатору (коду) и паролю условно-постоянного действия						0,8
регистрация входа (выхода) администратора в систему (из системы) либо загрузки и инициализации системы и ее программного останова						0,9
Продолжение табл. 7
1	2	3		4		5
контроль целостности программной и информационной части	ЛВС регистратуры	MS ISA 2006, CISCO PIX 515E – серверная часть, Windows Defender (Брандмауэр Windows) + политика IP на домене – клиентская часть				0,8
фильтрация пакетов служебных потоков, служащих для диагностики и управления работой сетевых устройств						0,8
фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов						0,8
фильтрация с учетом любых значимых полей сетевых пакетов, восстановление после сбоев и отказов оборудования						0,9
регламентное тестирование реализации прав фильтрации, процесса идентификации, аутентификации и регистрации действий администратора						0,9
Продолжение табл. 7
1	2	3		4		5
восстановление после сбоев и отказов	ЛВС регистратуры	MS ISA 2006, CISCO PIX 515E – серверная часть, Windows Defender (Брандмауэр Windows) + политика IP на домене – клиентская часть				0,9
сигнализация попыток нарушения правил фильтрации						0,5
регистрация и учет запрашиваемых сервисов прикладного уровня, программируемую реакцию на события						0,9
идентификация и аутентификация администратора при его запросах на доступ по идентификатору (коду) и паролю временного действия						0,9
блокирование доступа не идентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась методами, устойчивыми к пассивному и активному перехвату						0,9
Продолжение табл. 7
1	2	3		4		5
контроль целостности программной и информационной части по контрольным суммам, как в процессе загрузки, так и динамически, оперативное восстановление свойств экранирования	ЛВС регистратуры	MS ISA 2006, CISCO PIX 515E – серверная часть, Windows Defender (Брандмауэр Windows) + политика IP на домене – клиентская часть				0,7
обеспечение возможности сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети						0,9
возможность трансляции сетевых адресов						0,9
1.4. Идентификация и аутентификация субъектов доступа при входе в средство защиты от программно математических воздействий (ПМВ) и перед выполнением ими любых операций по управлению функциями средствами защиты от ПМВ по паролю	ЛВС регистратуры	NOD 32 Business Edition		88400		0,9
Продолжение табл. 7
1	2	3		4		5
1.5. Управление функциями средства защиты от ПМВ субъектом выполняются только после успешной аутентификации	ЛВС регистратуры	Успешная аутентификация через поставщика LSA доменного контроллера Windows Server				0,9
1.6. Блокировка доступа к средствам защиты от ПМВ при выполнении устанавливаемого числа неудачных попыток ввода пароля	ЛВС регистратуры	Устанавливается средствами политики безопасности домена (политика паролей, количество неудачных входов в систему и время блокировки)		-		0,9
1.7. Идентификация файлов, каталогов, программных модулей, внешних устройств, используемых средств защиты от ПМВ	ЛВС регистратуры	Идентифицируется средствами мониторинга Windows Server 2003 непосредственно на доменном контроллере, либо с помощью остаток MMC		-		0,9
2.1. Рег-ия и учет:
Продолжение табл. 7
1	2	3		4		5
входа (выхода) субъектов доступа в (из) систему (узел сети)	ЛВС регистратуры, ЛВС	Устанавливается путем применения политики аудита к серверам и рабочим станциям в составе домена в ОС Windows XP 2003 server		-		0,8
2.2. Учет носителей информации	ЛВС регистратуры	Устанавливается политикой безопасности организации запрет съемных носителей средствами BIOS, копирование информации на съемные носители осуществляются через администратора безопасности, заносится запись в журнал		-		0,8
2.3. Регистрация входа/выхода субъектов доступа в средство защиты ПМВ,	ЛВС регистратуры	Встроенные средства в NOD 32 Business Edition		-		0,8
Продолжение табл. 7
1	2	3		4		5
2.4. Регистрация событий проверки и обнаружения ПМВ	ЛВС регистратуры, ЛВС	Встроенные средства в NOD32 Business Edition		-		0,9
2.5. Регистрация событий по внедрению в средство защиты от ПМВ пакетов обновлений	ЛВС регистратуры, ЛВС	Встроенные средства в NOD32 Business Edition		-		0,9
2.6. Регистрация событий запуска/завершения работы модулей средства защиты от ПМВ	ЛВС регистратуры, ЛВС	Встроенные средства в NOD32 Business Edition		-		0,95
2.7. Регистрация событий управления субъектом доступа функциями средства защиты от ПМВ	ЛВС регистратуры	Встроенные средства аудита в NOD32 Business Edition		-		0,9
2.8. Регистрация событий попыток доступа программных средств к модулям средства защиты от ПМВ или специальным ловушкам.	ЛВС регистратуры	Встроенные средства аудита в NOD32 Business Edition		-		0,9
2.9. Регистрация событий отката для средства защиты от ПМВ	ЛВС регистратуры	Вст. средства в NOD32 Business Edition через Remote Administration Console		-		0,8
Продолжение табл. 7
1	2	3		4		5
2.10. Защита данных регистрации от уничтожения или модификации	ЛВС регистратуры, ЛВС	Настройка правил NOD32 Business Edition на работу в качестве ревизора для файлов системного журнала Windows Server 2003 и Windows XP		-		0,8
2.11. Сохранение данных регистрации в случае сокращения отведенных под них ресурсов	ЛВС регистратуры	Политика резервного копирования с помощью Acronis True Image ECHO 9 server		34,1		0,9
2.12. Возможность просмотра и анализа регистрации и фильтрации по заданному набору параметров	ЛВС регистратуры	Возможно стандартными средствами просмотра журнала безопасности Windows		-		1
2.13. Непрерывный мониторинг событий, которые могут являться причиной реализации ПМВ (создание, редактирование, запись, компиляция объектов, которые могут содержать ВП)	ЛВС регистратуры	Возможно сканером реального времени (ядром) антивирусной системы (ПМВ) NOD32 Business Edition		-		0,9
Продолжение табл. 7
1	2	3		4		5
2.14. Автоматический анализ данных регистрации по шаблону типовых проявлений ПМВ с автоматическим их блокированием и уведомлением администратора безопасности	ЛВС регистратуры	Возможно средствами удаленного администрирования и стандартными средствами NOD32 Business Edition		-		0,9
2.15. Должно проводиться несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации	ЛВС регистратуры	Возможно путем дублирования подсистем протоколирования (бумажного, электронного) с использованием встроенных средств в ОС		-		0,8
3.1. Физическая охрана средств вычислительной техники и носителей информации	ЛВС регистратуры, ЛВС, Здание и территория	Установка комплексной системы наблюдения, контроля и управления физическим доступом	394,4		0,99
3.2. Периодическое тестирование СЗИ НСД	ЛВС регистратуры	Аудит, проводимый сторонними фирмами, а также внутренний аудит	50		0,9
Продолжение табл.7
1	2	3	4		5
3.3. Наличие средств восстановления СЗИ НСД	ЛВС регистратуры	Средства, закупленные для резервирования и восстановления: Acronis True Image Echo	-		0,9
3.4. Использование сертифицированных средств защиты	ЛВС регистратуры	Требования РД ФСТЭК, СТР-К: проведение сертификации и аттестации узлов с соответствии с ФЗ-152	-		0,9
3.5. Обеспечение целостности программных ср0едств защиты в составе СЗПДн, а также неизменность программной среды	ЛВС регистратуры	Электронные замки «Соболь»	-		0,95
3.6. Проверка целостности модулей средств защиты от ПМВ	ЛВС регистратуры	Электронные замки «Соболь», внутренние средства проверки системы ESET NOD32 Business Edition	-			0,99
Продолжение табл. 7
1	2	3	4			5
3.7. Возможность восстановления средств защиты от ПМВ, предусматривающая ведение двух копий программного средства защиты, его периодическое обновление и контроль работоспособности	ЛВС регистратуры	Возможно путем дублирования серверов и сервисом удаленной установки клиентских модулей системы ESET NOD32 Business Edition	-			0,9
3.8. Проверка целостности пакетов обновлений средств защиты от ПМВ с использованием контрольных сумм	ЛВС регистратуры	Возможно путем назначения проверки контрольных сумм системе ESET NOD32 или ЭЗ «Соболь»	-			0,9
4.1. Автоматическая проверка на наличие ВП или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВП, по их типовым шаблонам и с помощью эвристического анализа	ЛВС регистратуры	Возможно встроенными в ядро механизмами антивирусной системы NOD32 Business Edition	-			0,9
Продолжение табл.7
1	2	3	4			5
4.2. Автоматического блокирование обнаруженных ВП путем их удаления из программных модулей или уничтожения	ЛВС регистратуры	Возможно встроенными средствами антивирусной системы NOD32, требуется дополнительная настройка клиентских модулей администратором безопасности.	-			0,9
4.3. Регулярная (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия ВП	ЛВС регистратуры	Возможно встроенными средствами антивирусной системы, производится автоматически вместе с загрузкой АРМ / сервера	-			0,8
4.4. Автоматическая проверка ИСПДн на предмет наличия ВП при выявлении факта ПМВ	ЛВС регистратуры	Возможно после соответствующей настройки системы NOD32	-			0,8
Продолжение табл. 7
1	2	3	4			5
4.5. Механизм отката для устанавливаемого числа операций удаления ВП из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВП	ЛВС регистратуры	Возможно встроенными в антивирусную систему средствами, а, в случае их невозможности запуска, средствами восстановления системы Windows	-			0,9
Итого:	290900 тыс. руб.

Дополнительно к таблице со средствами, требуемыми для установки РД ФСТЭК РФ, имеется необходимость внедрения других средств, приведенных в таблице ниже:

Далее в таблице 8 приведены дополнительные средства защиты.

Таблица 8

Дополнительные средства защиты

Имя применяемого (внедряемого) средства	Влияние на подсистемы обеспечения безопасности	Обоснование необходимости его закупки и внедрения	стоимость закупки (руб.)
1	2	3	4
АПКШ «Континент»	Передача информации по каналу связи, выходящим за пределы КЗ	Шифрование межсетевого трафика	102 000
Продолжение табл. 8
1	2	3	4
МКС «Крипто диск»	Подсистема программно-аппаратного комплекса	Защита персональных данных, сохраняемых на рабочих станциях, путем создания защищенного хранилища	-
Управляемые коммутаторы 3COM 3cu48	Подсистема передачи данных внутри организации	Контроль доступа к ЛВС: привязка компьютеров по сетевым розеткам с помощью MAC-адреса, контроль трафика	62 500
Лицензионное программное обеспечение ОС Windows 7 и Windows Server 2008	Информационная система	Соответствие требованиям ФЗ-152 и лицензионным соглашениям (правам на использование ПО)	592 000
Итого:	765500 тыс. руб.

В таблице 9 представлено стоимостное проведение работ по монтажу и настройке оборудования

Таблица 9

Оценка стоимости работ по монтажу и настройке защищенного программно-аппаратного комплекса электронной регистратуры

Перечень работ	Стоимость (тыс.руб.)
Установка и настройка ПО	35
Монтаж оборудования	25
Настройка оборудования	15
Обучение персонала	45
Итого:	120 000 тыс. руб.

Итого по все средствам: 1 млн. 300 000 тыс. руб.

В данном разделе приведен подбор требуемых средств, для обеспечения соответствия стратегии безопасности, принятой в медицинском учреждении. Приведен стоимостный расчет, обоснована необходимость внедрения каждого конкретного средства в соответствии с требованиями ФСТЭК России, применительно к закону «О персональных данных» №152-ФЗ. Суммарные затраты на закупку технических средств составят 1,167,400 руб. После закупки и внедрения средств защиты информации, защищенный программно-аппаратный комплекс будет соответствовать классу защищенности «К1».

Выводы по 2-й главе

В первом параграфе второй главы данной работы, составлен перечень задач, которые должен решать защищенный программно-аппаратный комплекс электронной регистратуры, и обеспечивать функционирование ИСПДн на уровне класса защищенности «K1». Были определены необходимые требования к системе, обоснована необходимость разработки данного программно-аппаратного комплекса.
В данном параграфе приведен подбор требуемых средств, для обеспечения соответствия стратегии безопасности, принятой в медицинском учреждении. Обоснована необходимость внедрения каждого конкретного средства в соответствии с требованиями ФСТЭК России, применительно к закону «О персональных данных» №152-ФЗ.
Приведен стоимостный расчет выбранных средств. Суммарные затраты на закупку технических средств составят 1,180,000 руб. После закупки и внедрения средств защиты информации, защищенный программно-аппаратный комплекс будет соответствовать классу защищенности «К1».
Во второй главе данного проекта рассмотрен вопрос разработки защищенного программно-аппаратного комплекса электронной регистратуры. Данный защищенный программно-аппаратный комплекс разработан с учетом требований мировых стандартов в области обеспечения информационной безопасности, требований руководящих документов ФСТЭК России и СТР-К. Разработанная подсистема соответствует стратегии безопасности выбранной руководством медицинского учреждения.

ГЛАВА 3. Комплексная оценка эффективности разработанного защищенного программно-аппаратного комплекса электронной регистратуры

Функциональная оценка эффективности проекта

В данном разделе приведем обоснование эффективности разработанного защищенного программно-аппаратного комплекса электронной регистратуры на основе общеизвестных и стандартизованных методик. Для того, что бы произвести оценку по качественным и количественным показателем, воспользуемся оценкой эффективности Домарева. [3]

100 Определение информационных и технических ресурсов, подлежащих защите;
200 Выявление полного множества потенциально возможных угроз и каналов утечки информации;
300 Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
400 Определение требований к системе защиты;
500 Осуществление выбора средств защиты информации и их характеристик;
600 Внедрение и организация использования выбранных мер, способов и средств защиты;
700 Осуществление контроля целостности и управление системой защиты.

В таблице 10 приведем сравнительную таблицу угроз и способов защиты, исходя из анализа поликлиники на качественном и количественном уровне.

Таблица 10

Оценка защищенности процессов и программ электронной регистратуры

№ этапа	Перечень показателей	№ элемента матрицы	Профиль безопасности требуемый	Профиль безопасности достигнутый	Сравнение профилей	Степень выполнения групп требований	Объем выполненных работ	Количество выолненных требований
	m	№	Qтр	Qд	Sпр	Qгруп	Q	S
1	1	121	0,86	1	1	0,95	0,88	0,68
	2	122	0,86	1	1
	3	123	0,86	1	1
	4	124	0,86	0,8	1
2	5	221	0,86	1	1	0,70
	6	222	0,86	0,8	0
	7	223	0,86	0,8	0
	8	224	0,86	0,7	0
3	9	321	0,86	1	1	0,80
	10	322	0,86	0,9	1
	11	323	0,86	0,7	0
	12	324	0,86	0,6	0
4	13	421	0,86	1	1	0,98
	14	422	0,86	1	1
	15	423	0,86	0,9	1
	16	424	0,86	0,8	0
5	17	521	0,86	1	1	0,95
	18	522	0,86	1	1
	19	523	0,86	0,9	1
	20	524	0,86	0,9	1
6	21	621	0,86	1	1	0,90
	22	622	0,86	1	1
	23	623	0,86	0,9	1
	24	624	0,86	0,9	1
7	25	721	0,86	1	1	0,80
	26	722	0,86	0,8	0
	27	723	0,86	0,6	0
	28	724	0,86	0,6	0

Графики оценки профилей безопасности направления «процессы»

Рис. 20 Анализ профилей защиты процессов

Рис. 21 Оценка этапов процессов

В результате анализа, выполненного в ходе работы, построим обобщенную таблицу показателей уровня защищенности ИС поликлиники.

Таблица обобщенных показателей приведена в таблице 11.

Таблица 11

Обобщенная таблица показателей уровня защищенности ИС поликлиники

Показатели	Направления защиты					Qсзи
	1	2	3	4	5
	Коэффициенты важности по направлениям
	0,2	0,2	0,2	0,2	0,2
Количественный	0,68	0,68	0,68	0,61	0,75	0,67
Качественный	0,88	0,88	0,88	0,86	0,89	0,88

Из данной таблицы можно сделать вывод, что по всем направлениям система защиты информации удовлетворяет принятой в организации стратегии защиты.

Комплексный и количественный показатель защищенности находится на уровне выше требуемого стратегией значения 0,86.

Из анализа, проведенного в данном разделе, можно сделать вывод о положительной эффективности данной работы, с изменениями в 0,06 относительно старого значения. Показатель 0,88 характеризует наступательную стратегию с небольшим уклоном в упреждающую. Оценка эффективности на качественном уровне также показывает теоретическую обоснованность проведения описанных в работе мероприятий и направления закрытия уязвимостей в ИС поликлиники.

3.2 Экономическая оценка эффективности проекта

Кроме технического анализа эффективности проекта, приведем экономическую целесообразность внедрения защищенного программно-аппаратного комплекса электронной регистратуры в поликлиники путем расчета ожидаемых потерь и частоты возникновения информационных угроз.

Информация о работе Разработка проекта защищенного программно-аппратного комплекса электронный регистратуры