Отнесение угрозы к числу актуальной производится по правилам, приведенным в таблице 1.5.4

Таблица 1.5.4 - Правила отнесения угроз к числу актуальных

Возможность реализации угрозы (Y)	Показатель опасности угрозы
Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

Таким образом, были определены вероятности реализации угроз (Y2), коэффициенты реализуемости угроз (Y), возможности реализации угроз, оценены опасности угроз и определены актуальные угрозы в ИС «Медицинско-информационная система». Все итоги вычислений, проведённых при оценке актуальности угроз, приведены в Приложении 1.

Анализ существующих комплекс организационно-технических мероприятий и средств защиты ПДн в информационной подсистеме «Кадры»

Чтобы выявить проблемы и недостатки защиты информации ОГУ, рассмотрим СЗИ установленные в отделе кадров.

Таблица 1.6 - СЗИ установленные в отделе кадров

Наименования	Меры и средства	Недостатки
Организационные меры	1) инструкции по защите ИР при автоматизированной обработке данных в ОГУ 2)Приказ о введении в действие согласия на обработку ПД 3)Приказ о правах доступа к подсистемам	1) недостатков нет 2) для внешних посетителей предусмотрена форма согласия на обработку ПД. При этом ПД хранятся на компьютерах, либо могут передаваться по незащищенному каналу 3)недостатков нет
Физическая защита	СКУД, охранная система, дверные замки, датчик движения, камера, сейфы	Недостатков нет
Защита от стихийных бедствиях	Система пожарной сигнализации	Недостатков нет
Антивирусная защита	Kaspersky Endpoint security	Нет центра ПО Kaspersky security center, предназначенный для централизованного управления антивирусными пакетами, ведения отчетности, механизмов оповещения
Программные средства защиты от НСД	Дискреционное управление доступом СУБД Oracle	Логин и пароль зашифрованы штрих-кодом на бумажном носителе(опасность потери, хищения)
Средства защиты межсетевого взаимодействия	1)Встроенное ПО маршрутизатора cisco 2)применение HTTPS- протокола с поддержкой шифрования	Недостатков нет
Программное обеспечение	Windows 8, средства windows office, КриптоПро CSP	Недостатков нет
Программы для расчетов	Средства 1С	Недостатков нет

Программно-аппаратное обеспечение - совокупность программ и данных, сохраняемых в ПЗУ и критически важных для функционирования ЭВМ данного типа.

В приложение В я проанализироваланализ существующие в ИС средства защиты ОГУ с требованиями приказа ФСТЭК №21.

Определение уровня исходной защищенности информационных систем «Кадры»»

Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИС (Y1).

Выводы и задачи

На основании исходной информации о ИСПДн и в соответствии с постановлением правительства от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», ИСПДн, могут быть отнесены к следующим классам информационных систем персональных данных(таблица 3)

Таблица 3. Классы ИСПДн

№ п/н	ИСПДн	Категория ПДн\Объем\(Хнпд)	Угрозы	Уровень
	ИСПДн «ИАС ОГУ»	Специальная категория\ более 100000\Клиенты	3 тип

С целью выполнения требований нормативно-правовых актов Российской Федерации и методических документов ФСТЭК и ФСБ России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения, а так же при обработке без использования средств автоматизации необходимо выполнить следующие задачи:

- Актуализировать положение о порядке обработки и обеспечении безопасности персональных данных в соответствии с изменениями в Федеральном законе № 152-ФЗ «О персональных данных» в последней редакции и его подзаконных актах;

- Разработать порядок реагирования на инциденты информационной безопасности;

- Разработать положение о порядке хранения и уничтожения носителей ПДн;

- Разработать правила (инструкции) по контролю соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией к ним;

- Актуализировать инструкцию по антивирусной защите;

- Провести повторную классификацию ИСПДн. При классификации учитывать, что все ИСПДн – многопользовательские (даже если предусмотрен один пользователь, на время его отсутствия должен быть назначен заместитель);

- Определить правила учета средств защиты, предусматривающие ведение журнала учета средств защиты информации, эксплуатационной и технической документации к ним;

- Во всех отделах Учреждения расположить мониторы таким образом, чтобы избежать возможности визуального съема информации с них из мест установки оконных конструкций и входных групп. Наиболее оптимальным способом размещения считается установка поверхности монитора перпендикулярно входным группам и оконным конструкциям.

- Обеспечить защищенность каналов связи, выходящих за пределы контролируемой зоны, путем применения криптографических средств и/или использованию оптических линий связи, находящихся в собственности Учреждении;

- Исключить хранение резервных копий на одном носителе с резервируемыми данными.

- Резервные копии данных ИСПДн хранить на отдельных хранилищах данных, обеспеченных отказоустойчивой конфигурацией дисковых массивов.

- Резервные копии создавать и восстанавливать при помощи сертифицированного ФСТЭК специального программного обеспечения.

- Разработать требования по обеспечению безопасности обработки ПДн для каждой ИСПДн;

- Разработать техническое задание и технический проект на создание СЗПДн;

- Разработать и утвердить описание системы защиты персональных данных;

- В главном корпусе создать кластер из VipNet-координаторов, для обеспечения отказоустойчивости, т.к. данный узел служит точкой отказа работы удаленных пользователей при работе через терминальные клиенты VipNet;

- Утвердить и периодически актуализировать процедуру восстановления конфигурации коммутационного оборудования после сбоев;

- Внести изменения в коммутации активного сетевого оборудования:

- объединить в stack два коммутатора Cisco 3750;

- объединить в stack четыре коммутатора Cisco 2960G.

- Изменить текущую архитектуру терминального доступа пользователей детской поликлиники, исключая передачу трафика (незашифрованного по ГОСТ 28147-89) между криптографическим шлюзом главного корпуса и терминальным сервером детской поликлиники;

- Выделить отдельный сервер, который будет выполнять функции сервера управления подсистемами информационной безопасности:

- управления системой антивирусной защиты;

- управления системой резервного копирования;

- управления системой обнаружения вторжений;

- управления системой защиты от несанкционированного доступа;

- управление сканер сети.

- Приобрести и установить сертифицированные ФСТЭК средства защиты информации с последующим утверждением актов установки и настройки. При установке СЗИ необходимо учитывать требования к аппаратному (наличие разъемов для плат аппаратной поддержки) и программному (операционные системы) обеспечению ПЭВМ для установки и эксплуатации СЗИ;

- На все рабочие станции ИСПДн приобрести сертифицированное ФСТЭК антивирусное ПО;

- Обеспечить защиту периметра сетей ИСПДн программными и/или программно-аппаратными средствами межсетевого экранирования и системами обнаружения/предотвращения вторжений;

- По завершению внедрения СЗИ провести оценку готовности установленных СЗИ к использованию и возможности их эксплуатации. Оценку провести с привлечением организации-лицензиата ФСТЭК России;

- После построения системы защиты персональных данных в Учреждении провести аттестационные испытания ИСПДн на соответствие требованиям безопасности информации руководящих документов ФСТЭК России. Аттестационные испытания проводятся организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. В этом случае ответственность за принятые меры защиты информации (объем, качество, достаточность принятых мер) и за их соответствие требованиям существующего законодательства возлагается на организацию-лицензиата.

⇐ Предыдущая 1 2 345 6 Следующая ⇒