Обеспечение безопасности автоматизированных рабочих мест в клинике «Здоровье»

1.

ФЕДЕРАЛЬНОЕ АГЕНТСТВО МОРСКОГО И РЕЧНОГО ТРАНСПОРТАФедеральное
государственное бюджетное образовательное учреждение высшего
образования
Государственный университет морского и речного флота имени адмирала С.О. «
»Макарова
Институт водного транспорта
Кафедра комплексного обеспечения информационной безопасности
Выпускная квалификационная работаОбеспечение
безопасности автоматизированных рабочих
мест в клинике «Здоровье»10.05.03 «Информационная
»безопасность автоматизированных систем
Санкт-Петербург 2025
:Научный руководитель
.доцент каф.коиб. Коротков В.В
Работу выполнила: студентка группы
ИБ-51
.Смольникова Д.С

2.

Цель и задачи
:Цель
Совершенствование системы
информационной безопасности в
»клинике «Здоровье
:Задачи
Изучить теоретические основы
;информационной безопасности
;Провести анализ объекта защиты
Разработать предложения по
обеспечению безопасности АРМ на
;объекте
Оценить стоимость предложенных
.мер

3.

Актуальность
Рост
зависимости от
цифровых
систем
Увеличение числа
угроз
информационной
безопасности
Нарушение
конфиденциальн
ости и утечка
данных

4.

Классификация видов
информации
Информаци
я бывает
Подлежащая
предоставлению или
распространению в
соответствии с
федеральными
законами
Предоставляемой по
соглашению лиц,
участвующих в
соответствующих
отношениях
Ограниченного
доступа
Конфиденциальная
информация
Ноу-Хау
Служебная
тайна
Персональн
ые данные
Коммерческая
тайна
Свободно
распространяемо
й
Государствен
ная тайна
Секретно
Совершенн
о секретно
Профессиональ
ная тайна
Тайна
следствия
Особой
важности

5.

Нормативно-правовая база
Федеральные законы
Федеральный
закон от 27.07.2006
№ 149-ФЗ «Об
информации,
информационных
технологиях и о
защите
»информации
Федеральный
закон от 27.07.2006
№ 152-ФЗ «О
персональных
»данных
Федеральный
закон от 29.07.2004
№ 98-ФЗ «О
коммерческой
.»тайне
Указы президента
Постановления
правительства
Приказы ФСТЭК и
ФСБ
Указ Президента РФ
от 06.03.1997 № 188
«Об утверждении
перечня сведений
конфиденциальног
»о характера
Указ Президента РФ
от 22.05.2015 № 260
«О некоторых
вопросах
информационной
безопасности
Российской
»Федерации
Указ Президента РФ
от 05.12.2016 № 646
«Об утверждении
Доктрины
информационной
безопасности
Российской
»Федерации
Постановление
Правительства РФ
от 01.11.2012 №
1119 «Об
утверждении
требований к
защите
персональных
данных при их
обработке в
информационных
системах
персональных
;»данных
Постановление
Правительства РФ
от 26.06.1995 № 608
«О сертификации
средств защиты
»информации
Приказ ФСТЭК РФ
от 18.02.2013 № 21
«Об утверждении
состава и
содержания
организационных и
технических мер по
обеспечению
безопасности
персональных
данных при их
обработке в
информационных
системах
персональных
;»данных
Приказ ФСБ РФ и
ФСТЭК РФ от
31.08.2010 №
416/489 «Об
утверждении
Требований о
защите
информации,
содержащейся в
информационных
системах общего

6.

Общая информация об
объекте
»Расположение клиники «Здоровье
План помещений клиники

7.

Анализ объекта
№
Наименование
Количеств
Лицензия на
о
ПО
АРМ
1
ОС: Microsoft
16
Есть
Windows 10
2
1С: Бухгалтерия
3
Есть
3
1С:Зарплата и
2
Есть
4
Есть
управление
персоналом
4
1С:Документооборо
т
Техническая оснащенность помещений клиники
5
Google Chrome
16
Есть
6
Libre Office
16
Есть
7
ЛидерТаск
3
Есть
8
Программное
Microsoft Windowsобеспечение
16
Defender
Сервер
Есть

8.

Анализ объекта
Схема потенциальных путей нарушителя

9.

Анализ объекта
Врачебная
тайна
ПДн клиентов
и работников
Коммерческая
тайна
Служебная
тайна
Кабинеты врачей специалистов
Кабинеты глав.врача и зам.директора по медицинской части
Регистратура
Регистратура
Кабинеты врачей специалистов
Отдел кадров
Бухгалтерия
Кабинеты ген.директора, зам.директора по медицинской части и зам.директора по
административно-хозяйственной части
Бухгалтерия
Кабинет ген.директора
Кабинет зам.директора по медицинской части
Кабинет зам.директора по административно-хозяйственной части
Отдел охраны
Кабинет директора по административно-хозяйственной части
Отдел сетевого администрирования и отдел ИБ
Кабинет генерального директора
Кабинет заместителя директора по медицинской части

10.

Анализ объекта
Помещения, в которых обрабатывается
информация, содержащая врачебную тайну
Помещения, в которых обрабатывается
.информация, содержащая ПДн

11.

Анализ объекта
Помещения, в которых обрабатывается информация,
.содержащая коммерческую тайну
Помещения, в которых обрабатывается информация,
.содержащая служебную тайну

12.

Выводы по результатам анализа
Потенциальные пути
нарушителя
Категории
защищаемой
информации
Структура помещений
Программноаппаратное
обеспечение
Организационная
структура
потенциальных путей в северной части здания клиники через 9
оконные конструкции
Главный вход путем преодоления физических преград
Врачебная тайна
Коммерческая тайна
ПДн клиентов и работников
Служебная тайна
Кабинеты врачей, а также административные кабинеты клиники
нуждаются в установке дополнительных средств физической
защиты, таких как элементы СКУД а также системы
.видеонаблюдения
Отсутствие программных СЗИ(межсетевого экрана, СЗИ от НСД, DLPсистем)
Необходима замена АРМ на АРМ в защищенном исполнении
Отсутствие нормативно-правовых актов и документов,
необходимых для обеспечения информационной безопасности

13.

Предложенные меры для
достижения цели работы
Программные
средства
защиты
информации
Технические
средства
защиты
информации
Физические
средства
защиты
информации
Организационн
ые методы
защиты
информации
Приобретение
и установка
СЗИ
Замена АРМ
Приобретение
и установка
системы
видеонаблюде
ния
Разработка и
утверждение
организационн
о
распорядитель
ной
документации
на объекте
Приобретение
и установка
СЗИ от НСД
Внедрение
элементов
СКУД

14.

Программные средства
защиты

15.

Программные средства
защиты
Результаты обнаружения
атак
Результаты
обнаружения и
защиты от угроз

16.

Программные средства
защиты

17.

Критерий
Сертификация ФСТЭК
Соответствие
Dallas Lock 8.0-К
Secret Net Studio
5 класс СВТ от НСД, 4 уровень 4 класс СВТ от НСД, 4 уровень
НДВ, МЭ, СОВ, СКН
НДВ, МЭ, СОВ, СКН
ПАК «Соболь»
3 класс СВТ от НСД, 2 уровень НДВ
ИСПДн 1 уровня, ГИС 1
ИСПДн 1 уровня, ГИС 1 класса, ИСПДн 1 уровня, ограниченно для №17,
класса, приказы №17, №21,
приказы №17, №21, №239
№21
№239
Интеграция с KES
Подтверждена (АРМ, сервер) Подтверждена (АРМ, сервер)
Функциональность
-Дискреционное
разграничение- СКН (теневое
-Дискреционное и мандатное
копирование)разграничение- СКН, МЭ, СОВ- Доверенная загрузка- Аппаратная
Двухфакторная
Интеграция с AD- Защита
аутентификация- Контроль целостностиаутентификация- Элементы
сервера- Шифрование
Ограниченное разграничение
DLP, SIEM- Песочница- Защита
(опционально)
сервера- Контроль
целостности
Поддержка ОС
Windows XP–11, Server 2003–
2022, Linux, виртуализация
Windows 7–11, Server 2008–
2022, Linux, виртуализация
Управление
Единый центр управления (на
Централизованная консоль,
сервере), удаленная
требует AD
установка
Ограниченная
Windows, Linux (ограниченно), слабая
виртуализация
Ограниченное, через Secret Net
Инфраструктура
Не требует серверной
ОС/СУБД
Стоимость
~7500 ₽/АРМ, ~10–15 тыс.
₽/сервер, скидки для 17
устройств
~10–15 тыс. ₽/АРМ, ~20–30 тыс.
~10–15 тыс. ₽/устройство (включая платы)
₽/сервер
Простота внедрения
Высокая: минимальная
инфраструктура
Средняя: сложная серверная
настройка
Требует Windows Server + AD
Требует аппаратных плат
Низкая: установка плат

18.

Технические средства защиты
АРМ-Интернет.
Защищённый
персональный компьютер

19.

Физические средства
защиты информации
1. Внедрение системы видеонаблюдения
2. Внедрение врезного электромеханического
замка с контактным устройством, считывателя
бесконтактного для карт формата EMM/HID и
бесконтактных карт доступа EMM
3. Установка турникета-трипода
4. Установка металлических оконных решеток
Схема интегрирования средств физической
защиты информации

20.

Перечень предлагаемых средств физической защиты
Комплект контроля доступа
в помещения PERCo
Турникет-трипод
UltraScan T600
Решетка оконная R-002
Комплект системы
видеонаблюдения AHD Ps-Link
KIT-A504HD

21.

Организационно-правовые меры защиты
Модель угроз безопасности информации .1
;)перечень актуальных угроз для АРМ и описание возможных сценариев их реализации (
Положение об обработке и защите персональных данных .2
;)описание процессов обработки ПДн, целей, правовых оснований и мер защиты на АРМ (
Технический паспорт автоматизированного рабочего места .3
;)сведения о составе АРМ: аппаратное и программное обеспечение, средства защиты, класс защищенности (
Приказ о назначении ответственных лиц .4
;)указание сотрудников, отвечающих за эксплуатацию АРМ, обеспечение безопасности и контроль соблюдения требований (
Журнал учета событий информационной безопасности (шаблон для регистрации изменений доступа, .5
;инцидентов и действий пользователей на АРМ)
Перечень средств защиты информации .6
;)список используемых СЗИ с указанием их сертификации ФСТЭК, ФСБ (
Соглашение об ответственности сотрудников (документ, подтверждающий ознакомление персонала с правилами .7
;работы и ответственностью за нарушения)
Эксплуатационная документация на средства защиты (руководства по установке, настройке и использованию .8
.СЗИ, применяемых на АРМ)

22.

Примерная стоимость денежных затрат
для достижения поставленной цели
работы

23.

Выводы
Изучены теоретические основы
;информационной безопасности
;Проведен анализ объекта защиты
Разработаны предложения по
обеспечению безопасности АРМ в
;»клинике «Здоровье
Оценена стоимость предложенных
.мер
Цель совершенствование
системы информационной
безопасности в клинике
!«Здоровье». - достигнута
Спасибо за внимание!