Разработка проекта защищенного программно-аппратного комплекса электронный регистратуры

Организационно-технические  меры защиты от НСД:

• должен быть реализован следующий комплекс организационно-технических мер защиты от НСД:
• администратор должен периодически (не реже 1 раза в год) менять пароль на вход в BIOS;
• в случае обнаружения "посторонних" (не зарегистрированных) программ или нарушения целостности программного обеспечения работа на АРМ должна быть прекращена;
• пользователь должен запускать только те приложения, которые разрешены администратором;
• средствами BIOS для пользователя должен быть установлен пароль входа в систему длиной не менее 6 символов.

 

Выводы по 3-й главе

1. Из анализа, проведенного в данном параграфе, можно сделать вывод о положительной эффективности данной работы, с изменениями в 0,06 относительно старого значения. Показатель 0,88 характеризует наступательную стратегию с небольшим уклоном в упреждающую. Оценка эффективности на качественном уровне также показывает теоретическую обоснованность проведения описанных в работе мероприятий и направления закрытия уязвимостей в ИС поликлиники.
2. Исходя из приведенного в данном параграфе расчета экономической эффективности, отметим положительную эффективность проекта. Единовременная экономия в случае реализации всех угроз с учетом их вероятности превысит затраты на разработку, закупку и внедрение системы защиты информации более, чем в три раза. Этим доказывается необходимость внедрения приведенных в работе мер в организации для повышения эффективности защиты информации.
3. В данном параграфе разработана частная политика безопасности для конкретного медицинского учреждения с учетом всех необходимых требований по защите ПДн.
4. Глава 3 настоящей работы посвящена оценке эффективности разработанного защищенного программно-аппаратного комплекса электронной регистратуры. Эффективность защищенного ПАК доказана проведенной оценкой эффективности. Моделирование по методу Домарева доказало соответствие данной подсистемы с наступательной стратегии информационной безопасности, принятой в поликлиники ЦГБ № 1.

 

Заключение

В данном дипломном проекте в качестве объекта защиты информации была рассмотрена электронная регистратура поликлиники Центральной городской больницы №1 г. Королёва.

Был осуществлен анализ функционирования медицинского учреждения, выявлена принятая руководством стратегия защиты. Проведена оценка эффективности существующего программно-аппаратного комплекса электронной регистратуры, по результатам которой было определено, что принятая руководством поликлиники стратегии верна и больше или равна 0,86.

Представлен перечень основных требований к системе защиты, проведен анализ возможных угроз в организации, в соответствии, с чем осуществлен выбор целесообразных средств, программно-аппаратной защиты информации.

Обоснована качественная, количественная, экономическая эффективность разработанного защищенного программно-аппаратного комплекса электронной регистратуры.

Цели и задачи поставленные в начале написания дипломного проекта достигнуты в полном объеме.

Таким образом, было доказано,  что данный, защищенный программно-аппаратный комплекс электронной регистратуры эффективен и оправдывает свое внедрение на примере типового медицинского учреждения.

 

Список литературы

 

1. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002.
2. Гришина Н.В.. Организация комплексной системы защиты информации, Москва, Гелиос АРВ, 2007.
3. Домарев В.В. "Безопасность информационных технологий. " - К.:ООО ТИД «Диасофт», 2004.
4. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003.
5. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001.
6. Лапонина О. Р., Межсетевое экранирование, Бином,  2007.
7. Лебедь С. В.,  Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002.
8. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. 2004.
9. Олифер В.Г., Олифер Н.А. ,Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд,  СПб, Питер-пресс, 2002.
10. Петраков А.В. Основы  практической защиты информации. 3-е изд. Учебное пособие - М: Радио и связь, 2001.
11. Руководящий документ Гостехкомиссии РФ «Критерии оценки безопасности информационных технологий» 2003.
12. Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» от 25 июля 1997.
13. Руководящий документ Гостехкомиссии РФ «Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам» 1998.
14. Руководящий документ Гостехкомиссии РФ  «Классификация автоматизированных систем и требования по защите информации» от 04.09.1999.
15. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008.
16. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» от 27 июля 2006.
17. Федерального закона “Об информации, информатизации и защите информации” 25января 1995.
18. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации (под редакцией Ковтанюка) К.: Издательство Юниор, 2003.
19. Ярочкин В.И.  Информационная безопасность. Учебное пособие,. — М.: Междунар. отношения, 2000.
20. Гаценко О.Ю. Защита информации. Основы организационного управления. – Спб.: Изд. дом «Сентябрь», 2001.– 228 с.

 

Краткий перечень сокращений

ЗИ – зашита информации;

ИБ – информационная безопасность;

ФЗ – федеральный закон;

ЦГБ – Центральная городская  больница;

ПАК – программно-аппаратный комплекс;

ИС – информационная система;

ПДн – персональные данные;

КИ – конфиденциальная информация;

ПМВ – программные математические воздействия;

ЛВС – локальная вычислительная сеть;

АРМ – автоматизированное рабочее место;

КИС – компьютерная информационная система;

ПАЗИ – программно-аппаратная защита информации;

ПО – программное обеспечение;

ПК – персональный компьютер;

ЖМД – жесткий магнитный  диск;

ОЗУ – оперативное запоминающее устройство;

ФП – функциональная подсистема.

 

Приложение A

Модель оценки эффективности Домарева

 

Основной задачей модели Домарева, является научное обеспечение процесса создания системы информационной безопасности за счет правильной оценки эффективности принимаемых решений и выбора рационального варианта, технической реализации системы защиты информации.

 Специфическими особенностями  решения задачи создания систем  защиты, являются:

• неполнота и неопределенность исходной информации о составе ИС и характерных угрозах;
• многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ;
• наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрения СЗИ;
• невозможность применения классических методов оптимизации.

Требования к модели:

 Такая модель должна  удовлетворять следующим требованиям:

 Использоваться в качестве:

• руководства по созданию СЗИ;
• методики формирования показателей и требований к СЗИ;
• инструмента (методика) оценки СЗИ ;

 Модели СЗИ для проведения исследований (матрица состояния)

 Обладает свойствами:

• универсальностью;
• комплексностью;
• простота использования;
• Наглядностью;

 

Описание подхода к  формированию модели ИБ.

Рассмотрим три "координаты измерений" - три группы составляющих модели СЗИ.

1. Основы.

2. Направления.

3. Этапы.

 

На рисунке 1 представлена схема трех групп составляющих модели СЗИ.

 

 

 

 

 

 

 

 

 

Рис. 1 Три "координаты измерений" - три группы составляющих модели СЗИ

 

Основами или составными частями практически любой сложной системы (в том числе и системы защиты информации) являются:

• законодательная, нормативно-правовая и научная база;
• структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
• организационно-технические и режимные меры и методы (политика информационной безопасности);
• программно-технические способы и средства.

 

На рисунке 2 представлена координата основ ЗИ.

 

 

 

 

 

 

 

 

 

 

 

 

Рис 2. Координата основ ЗИ.

Направления формируются исходя из конкретных особенностей ИС как объекта защиты. В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие направления:

• защита объектов информационных систем;
• защита процессов, процедур и программ обработки информации;
• защита каналов связи;
• подавление побочных электромагнитных излучений;
• управление системой защиты.

 

 

 

На рисунке 3 представлена Координата направлений.

 

Рис 3. Координата направлений

Проведенный анализ существующих методик (последовательностей) работ  по созданию СЗИ позволяет выделить следующие этапы:

• определение информационных и технических ресурсов, а также объектов ИС(!) подлежащих защите;
• выявление полного множество потенциально возможных угроз и каналов утечки информации;
• проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
• определение требований к системе защиты информации;
• осуществление выбора средств защиты информации и их характеристик;
• внедрение и организация использования выбранных мер, способов и средств защиты;
• осуществление контроля целостности и управление системой защиты.

 

На рисунке 4 представлены этапы создания системы защиты информации. 

 

 

 

 

 

 

 

 

 

 

 

Рис. 4. Этапы создания систем защиты информации.

Поскольку ЭТАПОВ семь, и  по каждому надо осветить 20 уже известных  вам вопросов то в общей сложности  для формирования представления  о конкретной системе защиты необходимо ответить на 140 простых вопросов. Совершенно очевидно, что по каждому вопросу (элементу) возникнет несколько десятков уточнений.

 В общем случае количество  элементов матрицы может быть  определено из соотношения

K = Oi*Hj*Mk, где

 К - количество элементов  матрицы;

Oi - количество составляющих  блока "ОСНОВЫ";

Hj - количество составляющих  блока "НАПРАВЛЕНИЯ";

Mk - количество составляющих  блока "ЭТАПЫ";

 

В нашем случае общее количество элементов "матрицы" равно 140

K=4*5*7=140.

 поскольку Oi=4, Hj=5, Mk=7

 

 

Представление элементов  матрицы.

 

Элементы матрицы имеют  соответствующую нумерацию. Следует  обратить внимание на обозначения каждого  из элементов матрицы, где:

 первое знакоместо (Х00) соответствует номерам составляющих  блока "этапы",

 второе знакоместо (0Х0) соответствует номерам составляющих  блока "направления",

 третье знакоместо (00Х)  соответствует номерам составляющих  блока "основы".

 

Матрица не существует сама по себе, а формируется исходя из описания конкретной ИС и конкретных задач по защите информации в этой системе. Данная схема представлена на рисунке 5.

 

 

Рис. 5 Формирование матрицы