Проект модернизации системы информационной безопасности ОГБУЗ «Усольская городская больница»

Введение 4 1 Анализ предпроектного состояния системы информационной безопасности больницы 5 1.1 Постановка задачи 5 1.2 Анализ информационной системы больницы 5 1.3 Анализ нормативно-правовых требований 10 1.4 Разработка частной модели угроз 13 1.5 Разработка модели нарушителя 22 1.6 Выводы 25 2 Разработка проекта модернизации системы информационной безопасности больницы 26 2.1 Постановка задачи 26 2.2 Разработка организационных мероприятий по обеспечению информационной безопасности больницы 26 2.3 Разработка проекта комплекса программно-аппаратных средств по защите информационной системы передачи данных больницы 27 2.4 Разработка проекта модернизации системы видеонаблюдения по обеспечению информационной безопасности больницы 39 2.5 Выводы 40 3 Внедрение проекта модернизации системы информационной безопасности больницы 42 3.1 Постановка задачи 42 3.2 Внедрение организационных мер защиты системы информационной безопасности 42 3.3 Внедрение комплекса программно-аппаратных мер защиты системы информационной безопасности 44 3.4 Внедрение проекта модернизации системы видеонаблюдения 54 3.5 Выводы 55 4 Безопасность жизнедеятельности 66 4.1 Меры безопасности при проведении основных технологических операций 66 4.2 Организация рабочего места инженера по информационной безопасности 68 4.3 Профилактика пожара 74 Заключение 76 Список литературы 77 Приложение А. Организационные меры 81 Приложение Б. Локальная сеть после модернизации 88 Приложение В. Система видеонаблюдения после модернизации 89 Приложение Г. Схема расположения серверной (2 этаж) 90 Приложение Д. Выявленные актуальные угрозы 91

1 Сайт Усольской городской больница. - URL: http://usolie-gmb.ru/ (дата обращения: 18.10.2019). 2 Искусство управления информационными рисками. – URL: http://анализ-риска.рф/ (дата обращения: 18.10.2019). 3 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) "О персональных данных". – URL: http://www.consultant.ru/cons/cgi/online.cgi?base=LAW&n=61801&req=doc#07721045344565292 (дата обращения: 22.10.2019). 4 Постановление Правительства РФ от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". – URL: http://www.consultant.ru/document/cons_doc_LAW_137356/ (дата обращения: 22.10.2019). 5 Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017)"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". – URL: - http://www.consultant.ru/document/cons_doc_LAW_146520/ (дата обращения: 22.10.2019). 6 Указ Президента РФ от 16 августа 2004 г. N 1085 "Вопросы Феде-ральной службы по техническому и экспортному контролю". – URL: http://base.garant.ru/12136635/#friends (дата обращения: 22.10.2019). 7 Типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена. – URL: https://fstec.ru/component/attachments/download/289 (дата обращения: 22.10.2019). 8 «Методика определения актуальных угроз безопасности персональ-ных данных при обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 14.02.2008. – URL: https://fstec.ru/normativnye-i-metodicheskie-dokumenty-tzi/114-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-i-metodicheskie-dokumenty/spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god (дата обращения: 26.10.2019). 9 Анализ рисков в управлении информационной безопасностью. – URL: http://www.iso27000.ru/ (дата обращения: 26.10.2019). 10 ГОСТ Р ИСО/МЭК ТО 13335-3-2007. – URL: http://www.opengost.ru/iso/13_gosty_iso/13110_gost_iso/4958-gost-r-iso_mek-to-13335-3-2007-it.-metody-i-sredstva-obespecheniya-bezopasnosti.-chast-3.-metody-menedzhmenta-bezopasnosti-informacionnyh-tehnologiy.html (дата обращения: 30.10.2019). 11 Функции сервера 1С. – URL: http://howknow1c.ru/nastroika-1c/1s-server.html (дата обращения: 30.10.2019). 12 1С: Медицина. – URL: https://solutions.1c.ru/catalog/clinic/features (дата обращения: 30.10.2019). 13 ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности. Основные термины и определения. – URL: http://www.opengost.ru/iso/35_gosty_iso/35020_gost_iso/11522-gost-r- 53114-2008-zaschita-informacii.-obespechenie-informacionnoy-bezopasnosti.- osnovnye-terminy-i-opredeleniya.html (дата обращения: 30.10.2019). 14 Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р50922-2006). – URL: http://docs.cntd.ru/document/gost-r-50922-2006 (дата обращения 30.10.2019). 15 Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК17799-2005). – URL: http://docs.cntd.ru/document/gost-r-iso-mek-17799-2005 (дата обращения 30.10.2019). 16 Национальный стандарт РФ "Методы и средства обеспечения без-опасности. Часть Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 -2006). – URL: http://docs.cntd.ru/document/1200048398 (дата обращения 30.10.2019). 17 Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р50.1.053-2005). – URL: http://docs.cntd.ru/document/1200039555 (дата обращения 30.10.2019). 18 Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. М.:2001. – 352 с. 19 Безопасность: теория, парадигма, концепция, культура. Словарь- справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. - М.: ПЕР СЭ-Пресс,2005. – 192 с. 20 Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004. – 992 с. 21 Ильюшенко В.Н. Информационная безопасность общества. Учебное пособие. - Томск,1998. 22 Кулаков В.Г. Региональная система информационной безопасности: угрозы, управление, обеспечение. - Автореф. дисс. … д-ра техн. наук. – URL: https://rusneb.ru/catalog/000199_000009_002974214/viewer/ (дата обращения 30.10.2019). 23 Приказ Министерства здравоохранения РФ от 17 июня 2013 г. № 379 “Об утверждении перечня документов Министерства здравоохранения Российской Федерации, создание, хранение и использование которых должно осуществляться в форме электронных документов при организации внутренней деятельности”. – URL: https://www.garant.ru/products/ipo/prime/doc/70312998/ (дата обращения: 21.11.2019). 24 Банк данных угроз ФСТЭК. – URL: https://bdu.fstec.ru/threat (дата обращения: 21.11.2019). 25 ГОСТ 12.1.031-81 ССБТ. Лазеры. Методы дозиметрического контроля лазерного излучения. - URL: http://docs.cntd.ru/document/1200005465 (дата обращения: 21.11.2019). 26 ГОСТ Р 50723-94. Лазерная безопасность. Общие требования безопасности при разработке и эксплуатации лазерных изделий. – URL: http://docs.cntd.ru/document/gost-r-50723-94 (дата обращения: 21.11.2019). 27 СанПиН 2.2.4.548-96. Гигиенические требования к микроклимату производственных помещений. - URL: http://docs.cntd.ru/document/901704046 (дата обращения: 21.11.2019). 28 СанПиН 2.2.4/2.1.8.562-96. Санитарные нормы. Шум на рабочих местах, в помещениях жилых, общественных зданий и на территории жилой за-стройки. – URL: http://base.garant.ru/4174553/ (дата обращения: 21.11.2019). 29 СанПиН 2.2.4/2.1.8.566-96. Производственная вибрация, вибрация в помещениях жилых и общественных зданий. Санитарные нормы. – URL: http://docs.cntd.ru/document/901703281 (дата обращения: 21.11.2019). 30 ГОСТ 12.1.004—91 ССБТ. Пожарная безопасность. Общие требования безопасности. – URL: http://docs.cntd.ru/document/gost-12-1-004-91-ssbt (дата обращения: 21.11.2019).

1 Анализ предпроектного состояния системы информационной безопасности больницы 1.1 Постановка задачи В главе необходимо выполнить анализ деятельности больницы, описать и проанализировать систему информационной безопасности, оценить выявленные угрозы, разработать модели нарушителя и угроз. На основе проведенного анализа необходимо определить наиболее ценные активы, угрозы и наиболее вероятные риски. Кроме того, нужно провести анализ существующей локальной сети и ее системы информационной безопасности, выявить проблемы, а также определить необходимые шаги по модернизации защищенной локальной сети для обеспечения необходимого уровня информационной безопасности. 1.2 Анализ информационной системы больницы Объектом моей выпускной работы является ОГБУЗ «Усольская городская больница»[1], осуществляющей виды деятельности медицинского характера и оказание медицинской помощи. Больница оказывает, в установленном действующим законодательством порядке, следующие виды медицинской помощи: ? первичная медико-санитарная помощь, в том числе специализированная в амбулаторных условиях; ? специализированная медицинская помощь в дневном стационаре и круглосуточном стационаре. Без информационной трансформации повысить эффективность оказания медицинских услуг невозможно. Как и любая отрасль, здравоохранение имеет свои особенности. В сфере информационного обеспечения эти особенности проявляются в следующем: 1. Наличие четких требований к информационной безопасности баз дан-ных. Это обусловлено тем, что обрабатываемые данные принадлежат к первому классу информационных систем. Сведения о состоянии здоровья – одна из самых личных категорий информации. В этот класс входят данные, разглашение которых может привести к чувствительным негативным результатам для лица и безопасность которых не была обеспечена должным образом [2]. 2. Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым располагают указанные учреждения, несовременное и разнородное. 3. Необходимость обеспечения доступа к системам информации. Это позволит проконтролировать эксплуатацию систем диагностики, клинического оснащения, закупку и расход медикаментов, соблюдение протоколов лечения. Обеспечение безопасности медицинских сведений регламентировано зако-нодательно на федеральном уровне. Больница обрабатывается информация категории «персональные данные» «бухгалтерские данные», «врачебная тайна» и «налоговый документооборот». Усольская городская больница располагается в здании высотой в 4 этажа. В проанализированной локальной сети больницы насчитывается около 40 компьютеров, с процессами IntelInsideCoreI3 2000 GHz. Объем оперативной памяти от 256 Мб до 512 Мб. На всех автоматизированных рабочих местах установлены жесткие диски объемом от 80 Гб до 160 Гб. Объем оперативной памяти составляет 8 Гб. Установлено 4 жестких диска объемом 500 Гб с использование Raid-массива. Специально выделенного помещения для серверной не предусмотрено. В дальнейшем будет предусмотрено организация серверной на средних этажах. На сервере установлены программные пакеты для работы с базами данных сервера: FileServer и ClientServer. На автоматизированных рабочих местах и в кабинетах специалистов установлены операционные системы Windows XP. На сервере установлен Win-dowsServer 2003. Вся локальная сеть больницы соединена кабелем витой пары категории 5е, стандарта 100Base-TX протяженностью приблизительно 3700 м. Встроенные в материнскую плату сетевые модули фирмы Realtek поддерживают стандарты Ethernet и FastEthernet. Все компьютеры локальной сети больницы объединены 4 маршрутизаторами. (Таблица 1.1) Информационная система больницы представляет собой взаимосвязанную совокупность средств, методов и персонала, используемых для хранения, обработки, и выдачи информации в интересах достижения поставленной цели [2]. Практически во всех отделениях городской больницы имеются рабочие места, оснащенные компьютером. Кроме того, в больнице имеются многофункциональные устройства. Также имеются 3 сервера: сервер МИС, сервер БД и прокси сервер. На компьютеры установлены следующие необходимые для работы про-граммные средства (таблица 1.2). Все коммутаторы на этих этажах подключены к центральному маршрутизатору, находящемуся на втором этаже, откуда и будет осуществляться выход в сеть Ethernet. Таким образом, в больнице будет использоваться локальная сеть типа «иерархическая звезда». Структура локальной сети до модернизации изображена на рисунке 1.1. Структура локальной схемы на 4 этаже идентична, структуре сети 1 и 3 этажей. Программное обеспечение больницы включает совокупность программ для реализации целей и задач информационной системы безопасности, связанных с основной деятельностью больницы, а также нормального функционирования комплекса технических средств. К тому же используются программы как Rar, WinZip, WinRar. Всеми работниками используется текстовый редактор Microsoft Word. В процессе работы, сотрудники сталкиваются с необходимостью детального анализа и мониторинга всевозможных данных. Поэтому применение находит табличный процессор Microsoft Excel, который позволяет реализовать наиболее «популярные» методы обработки результатов данных. Также в больнице имеются программные продукты 1С: «Медицина» и «Бухгалтерия», которые являются типовым решением для автоматизации процесса медицинского, бухгалтерского и налогового учета, включая подготовку обязательной (регламентированной) отчетности. В больнице используется система видеонаблюдения. Проанализируем су-ществующую систему видеонаблюдения больницы. Схема расположения видеокамер на первом этаже представлена на рисунке 1.2. На схеме изображено типовое расположение камер на всех четырех этажах. Стоит отметить, что система видеонаблюдения включает камеры в коридорах, у входов и по периметру территории больницы, но не предполагает видеонаблюдения в кабинетах. 1.3 Анализ нормативно-правовых требований Ввиду обработки в больнице персональных данных пациентов необходим учет требований действующего законодательства в этой области. В первую очередь это федеральный закон № 152 «О персональных данных». Больницы в силу законодательства являются операторами персональных данных своих пациентов. Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации. Персональные данные представляют собой любую информацию, относя-щуюся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Больница, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными. Данные обязанности регулируются следующими нормативными актами: – Конституция РФ; – КоАП РФ, УК РФ, ГПК РФ; – Закон № 152-ФЗ «О персональных данных»; – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; – Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ); – другие положения и нормативно-правовые акты. Согласно Постановления Правительства РФ № 1119 от 1.11.2012 г. В на-шем случае определены угрозы 3-го типа актуальные для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. В нашем случае определен 3-й уровень защищенности персональных дан-ных. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе установлено два следующих условия: а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных; б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтро-лируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз; д) должно быть назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. [4] Следующим этапом идет Приказ ФСТЭК России от 18.02.2013 N 21"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". В нашем случае состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят: ? идентификация и аутентификация субъектов доступа и объектов до-ступа; ? управление доступом субъектов доступа к объектам доступа; ? регистрация событий безопасности; ? антивирусная защита; ? контроль (анализ) защищенности персональных данных; ? защита среды виртуализации; ? защита технических средств; ? защита информационной системы, ее средств, систем связи и передачи данных. В информационных системах 3 уровня защищенности персональных дан-ных применяются средства защиты информации не ниже 6 класса, а также сред-ства вычислительной техники не ниже 5 класса. При использовании в информационных системах средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности). 1.4 Разработка частной модели угроз На основании типовой модели угроз безопасности персональных данных [7] и банка данных угроз ФСТЭК [24] по методике определения актуальных угроз [8] разработаем частную модель угроз. Результаты приведены в приложении Д. Модель угроз для ИСПДн разрабатывается в соответствии со следующими нормативными и методологическими документами: Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.); Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.). 1.5 Разработка модели нарушителя Модель нарушителя разрабатывается на основании [8]. Для информационной системы, принадлежащей больнице, актуальными являются как внешние, так и внутренние нарушители. К числу потенциальных нарушителей относятся следующие лица: - внешние нарушители; - легальные пользователи локальной сети больницы, не имеющие доступа к персональным данным; - сотрудники, производящие обслуживание помещений, охрана, работники инженерно-технических служб и т.д. (при нахождении вне границ контролируемой зоны). Наиболее информированными об информационной системе, обеспеченными средствами и каналами проведения атак являются внутренние нарушители. Актуальные угрозы изображены в таблице 1.4. 1.6 Выводы При проведении анализа системы информационной безопасности больницы были выявлены проблемные вопросы, такие как, устаревшее программное обеспечение и оборудование, у которого истек срок действия сертификат ФСТЭК России. Кроме того, проведен анализ существующей локальной сети и ее системы информационной безопасности.