ID: 43642

Название работы: Разработка и внедрение комплексной системы защиты информации в медицинское учреждение

Категория: Дипломная

Предметная область: Информатика, кибернетика и программирование

Описание: Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

Язык: Русский

Дата добавления: 2014-11-13

Размер файла: 891 KB

Работу скачали: 133 чел.

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

Разработка и внедрение комплексной системы защиты информации в медицинское учреждение

Введение

Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.

Основание для разработки

Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.

Назначение разработки

Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.

Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.

Требования к КСЗИ

В требования входит:

простота защиты;
приемлемость защиты для пользователей;
подконтрольность системы защиты;
постоянный контроль за наиболее важной информацией;
минимизация привилегий по доступу к информации;
независимость системы управления для пользователей;
устойчивость защиты во времени и при неблагоприятных обстоятельствах;
минимизация общих механизмов защиты.
Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности мед. учреждения.
Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.

Стадии и этапы разработки

Первая стадия доработка и создание нормативно-правовых документов. Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Во вторую стадию входит организационная защита. Организационная защита – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

В третью стадию входит подбор инженерно-технических решений. Инженерно-техническая защита – использование различных технических средств для обеспечения защиты конфиденциальной информации.

РЕФЕРАТ

Дипломная работа содержит пояснительную записку на 162 листах, 33 Рисунка, 19 таблиц, 00 источников и графическую часть из 6 чертежей.

Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.

Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.

В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации и внедрения комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность внедрения данной системы.

СОДЕРЖАНИЕ

Разработка и внедрение комплексной системы защиты информации в медицинское учреждение

ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

АС - автоматизированная система.

ЛПУ – лечебное профилактическое учреждение.

БД - база данных.

МСЭ - межсетевой экран.

ОС - операционная система.

ПО - программное обеспечение.

СБ - система безопасности.

СОА - система обнаружения атак.

ПС - пожарная сигнализация

ППКОП - прибор приёмно-контрольного охрано-пожарного пункта

ОПС - охрано-пожарная сигнализация

ОТС - охрано-тревожная сигнализация

ИСБ - интегрированная система безопасности

ЛВС - локально вычислительная сеть

СИРД - средства изготовления и размножения документов

ОТСС - основные технические средства и системы

ВТСС - вспомогательные технические средства и системы

ТСОИ - технические средства обработки информации

ФСТЭК - федеральная служба по техническому и экспортному контролю

РД - руководящий документ

СлЗИ - служба защиты информации

ПЭВМ - персональная электронная вычислительная машина

ЛПУ - Лечебно-Профилактическое Учреждение

ЗАО - закрытое акционерное общество

ЭВМ - электронная вычислительная машина

КПП - контрольно-пропускной пункт

ЧОП -частное охранное предприятие

АРМ - автоматизированное рабочее место

СНиП - строительные нормы и правила

КЗ - контролируемая зона

КСЗИ - комплексная система защиты информации

СОТ - система охранного телевидения

ТК - телевизионная камера

СВМ - специальные видеомагнитофоны

АСПИ - автоматизированная система передачи извещений

РСПИ -радиосистемы передачи извещений

ППК - приёмно-контрольный прибор

ТС -тревожная сигнализация

ПУО -пульт центральной охраны

СПИ -система передачи извещений

СОУЭ -система оповещения и управления эвакуацией

УК -уголовный кодекс

ФЗ -федеральный закон

ВВЕДЕНИЕ

Отправной точкой при разработке комплексной системы защиты информации медицинского учреждения, является ясное понимание роли и места системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.

В медицинском учреждении используются большой объем информации.
Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законом №152.

Безопасность медицинского учреждения представляет собой своеобразную многоуровневую систему барьеров, включающих в себя такие меры, как установка различных типов сигнализации, организация наблюдения и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться «тонких» мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы.

Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, неумение, безответственность сотрудников мед. учреждении. Можно утверждать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем ниже рилпу ошибок в безопасности информации.

С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.

Комплексная система защиты информации строиться на таких составляющих как организационная, правовая, инженерно-техническая защита.

Система так-же должна сохранять целостность данных даже при форс мажорных обстоятельствах, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе нарушающие работу системы.

Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.

1 Анализ проблемы и методов ее решения

1.1. Общие сведения о защищаемом объекте

Полное официальное наименование учреждения - БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ ОМСКОЙ ОБЛАСТИ "ГОРОДСКАЯ БОЛЬНИЦА № 6". Сокращенное наименование БУЗОО МУЗ ГБ№6.

Зарегистрировано 28 июня 1976 года в Администрации г. Омска.

МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.

Осуществляется следующие виды врачебных услуг:

акушерское дело, акушерство и гинекология (за искл. использования вспомогательных репродуктивных технологий), вакцинация (проведение профилактических прививок), гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология (за искл. кохлеарной имплантации), офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.

1.2 Описание защищаемого объекта информатизации

В качестве изучаемого объекта была взята МУЗ ГБ№6. Тип деятельности: осуществление специализированной медицинской помощи по: контролю качества медицинской помощи; стоматологии; терапевтической; ортопедической; хирургической; ортодонтии; экспертизе временной нетрудоспособности, а так же плановые осмотры для предприятий на прилегающей территории.

Специфика организации работы.

Режим работы объекта. Рабочее время: 8:00 – 18:00. Без перерыва на обед. Рабочие дни: понедельник – пятница. Выходные: суббота, воскресенье. Работа по праздникам, возможны сокращенные рабочие дни.

Режим доступа на организацию – свободный, в рабочие дни. Имеется КПП для машин, охранные пункты для пешеходов – отсутствуют. Доступ к оборудованию имеет только специализированный персонал, за каждым закреплено свое рабочее место.

Состав сотрудников и посетителей.

Количество сотрудников – 72 человека. Штат: 30 врачей, 5 операторы ПК, 3 бухгалтерия, 5 экономисты, 30 санитары, 2 охранника, 2 плотника.

Количество посетителей – до 1000 человек в день, стихийно.

Объект зашиты БУЗОО МУЗ ГБ№6 относится к классу 1.

По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.

В учреждении имеется сервер который выполняет функцию файлового сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.

Площадь здания 1500 м2. Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.

Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.

Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.

Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.

В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.

Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.

В коридоре и кабинетах на высоте 2,2м. – 2,4м. смонтированы кабель каналы, с кабелем UTP-8.

В отделах присутствуют: ПЭВМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.

Телефонных аппаратов 18 штук. Тип розеток евророзетка. Тип проводки двухпроводная.

Система электропитания : сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.

Планы этажа показан в приложении Б.

1.4 Объекты и предметы защиты в медицинском учреждении

Основными объектами защиты в медицинском учреждении являются:

персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).

объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с пациентами;

Медицинская тайна (сведения о пациентах, состоянии их здоровья, результатах исследований);

Персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).

документированная информация, регламентирующая статус учреждения, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)

материальные носители охраняемой законом информации (личные дела работников, личные дела пациентов, электронные базы данных работников и пациентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

средства защиты информации (Интернет-шлюз, , система сигнализации и др.)

технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших пациентов)

Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;

- Личные дела работников в бумажном и электронном виде;

- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, в бумажном и электронном виде.

Документы, которые имеют конфиденциальный характер и требующие зашиты:

Выписки рецептов

Документы о направлении на исследования

Результаты анализов

Документы об уплате стоимости услуг

Медицинские карточки пациентов

Внутренние приказы и распоряжения

Материалы кадрового делопроизводства

Персональные данные сотрудников

Должностные инструкции по отдельным подразделениям

Программный код, разработанный в компании

Проектные данные (схемы, чертежи, расчеты, планы работ)

Схемы информационных потоков и коммуникаций

Архитектура информационной системы

Активационные коды на лицензионное ПО

Приказ о категорировании и классификации объектов вычислительной техники

Приказ о вводе в эксплуатацию ПЭВМ

Приказ о введении режима коммерческой тайны на предприятии

Положение об отделе администрирования и технического сопровождения информационных систем

Положение о группе инженерно-технической защиты информации

Положение об охранно-пропускном режиме предприятия

Положение о структуре службы безопасности

Положение об отделе защиты информации

Положение о компьютерной сети поликлиники

Положение о системном администрировании компьютерной сети поликлиники

Должностные инструкции сотрудников предприятия

Трудовые договоры сотрудников, работающих с конфиденциальной информацией

Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ

Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации

Бюджет поликлиники

Договоры предоставления услуг

Договоры, заключенные с поставщиками оборудования

Договоры, заключенные с пациентами

В списке помещений, подлежащих оснащению системой противодействия экономическому шпионажу следует отнести:

Кабинет главного врача;

Лаборатория;

Бухгалтерия;

Серверная;

1.5 Угрозы защищаемой информации

Схема 1 - Угрозы защищаемой информации в медицинском учреждении

Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:

Утрата сведений, составляющих медицинскую тайну, коммерческую тайну лечебного учреждения и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезполиклиники функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.

1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

К источникам дестабилизирующего воздействия на информацию относятся:

люди;
технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;
природные явления.

Схема 2 - Источники дестабилизирующего воздействия на защищаемую информацию

Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди. К ним относятся:

сотрудники данного медицинского учреждения ;
лица, не работающие в ЛПУ, но имеющие доступ к защищаемой информации в силу служебного положения (из контролирующих органов государственной и муниципальной власти и др.);
сотрудники посторонних фирм оказывающих услуги;
лиц, для которых защищаемая информация представляет ценность, хакеры.

Эти категории людей подразделяются на две группы:

имеющие доступ к носителям данной защищаемой информации, техническим средствам ее отображения, хранения, обработки, воспроизведения, передачи и системам обеспечения их функционирования и
не имеющие такового.

Самым многообразным этот источник является потому, что ему, по сравнению с другими источниками, присуще значительно большее количество видов и способов дестабилизирующего воздействия на информацию [2].

Самым опасным этот источник является потому, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников – к отдельным формам).

Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям.

Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:

1.Непосредственное воздействие на носители защищаемой информации.

2.Несанкционированное распространение конфиденциальной информации.

3.Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.

4.Нарушение режима работы перечисленных средств и технологии обработки информации.

5.Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

Способами непосредственного воздействия на носители защищаемой информации могут быть:

физическое разрушение носителя (поломка, разрыв и др.);

создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т.д.);

удаление информации с носителей (замазывание, стирание, обесцвечивание и др.);

создание искусственных магнитных полей для размагничивания носителей;

внесение фальсифицированной информации в носители;

непреднамеренное оставление их в неохраняемой зоне, чаще всего в общественном транспорте, магазине, на рынке, что приводит к потере носителей.

Несанкционированное распространение конфиденциальной информации может осуществляться путем:

словесной передачи (сообщения) информации;

передачи копий (снимков) носителей информации;

показа носителей информации;

ввода информации в вычислительные сети;

опубликования информации в открытой печати;

использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;

потеря носителей информации.

К способам вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования, приводящим к уничтожению, искажению и блокированию, можно отнести:

неправильный монтаж средств;

поломку (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей;

создание аварийных ситуаций для технических средств (поджог, искусственное затопление, взрыв и др.);

отключение средств от сетей питания;

вывод из строя или нарушение режима работы систем обеспечения функционирования средств;

вмонтирование в электросну вычислительную машину (ЭВМ) разрушающих радио- и программных закладок;

нарушение правил эксплуатации систем.

Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:

повреждение отдельных элементов средств;

нарушение правил эксплуатации средств;

внесение изменений в порядок обработки информации;

- заражение программ обработки информации вредоносными программами;

выдача неправильных программных команд;

превышение расчетного числа запросов;

создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;

- передача ложных сигналов – подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;

нарушение (изменение) режима работы систем обеспечения функционирования средств.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.

К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, наводнение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, уничтожению, искажению, блокированию и хищению.

Способами воздействия со стороны и стихийных бедствий и атмосферных явлений могут быть:

- разрушение (поломка);

- затопление;

- сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств;

- нарушение режима работы средств и систем, а также технологии обработки информации [2].

1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении

К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:

стремление получить материальную выгоду (подзаработать);
стремление нанести вред (отомстить) руководству или коллеге по работе;
стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;
стремление продвинуться по службе;
стремление обезопасить себя, родных и близких от угроз, шантажа, насилия;
физическое воздействие (побои, пытки) со стороны злоумышленника;
стремление показать свою значимость.

Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:

неквалифицированное выполнение операций;

халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;

небрежность, неосторожность, неаккуратность;

- физическое недомогание (болезни, переутомление, стресс, апатия).

Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:

- недостаток или плохое качество средств;

низкое качество режима функционирования средств;
перезагруженность средств;
низкое качество технологии выполнения работ.

В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.

1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении

К числу наиболее вероятных каналов утечки информации можно отнести:

совместную с другими фирмами деятельность, участие в переговорах;
фиктивные запросы;
посещения ЛПУ;
общения представителей учреждения о характеристиках предоставляемых услуг;
консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;
совещания, конференции и т.п.;
разговоры в нерабочих помещениях;
обиженных сотрудников фирм;
технические каналы;
материальные потоки (транспортировка спецпочты).

При поликлиники защиты информации в медицинском учреждении необходимо учитывать следующие возможные методы и способы сбора информации:

опрос сотрудников изучаемой учреждения при личной встрече;
навязывание дискуссий по интересующим проблемам;
ведение частной переписки со специалистами.

Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран нарушители могут прибегнуть в том числе и к противоправным действиям, шпионажу.

Наиболее вероятно использование следующих способов добывания информации:

визуальное наблюдение;
подслушивание;
техническое наблюдение;
прямой опрос, выведывание;
ознакомление с материалами, документами, изделиями и т.д.;
сбор открытых документов и других источников информации;
хищение документов и других источников информации;
изучение множества источников информации, содержащих по частям необходимые сведения.

Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы

Таблица 1 - Классификация возможных каналов утечки информации

Каналы утечки информации с объекта защиты
1	Оптический канал	Окно помещения
2	Радиоэлектронный канал	ПЭВМ
				СИРД
				Телефон
				ВТСС
				ОТСС
				Система ОПС
				Система энергоснабжения и розетки
		3	Акустический канал	Теплопровод подземный
				Водопровод подземный
				Стены помещения
				Система центрального отопления
				Вентиляция
		4	Материально-вещественный канал	Документы на бумажных носителях
				Персонал предприятия
				Твердотельные накопители

Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации в БУЗОО МУЗГБ №6.

1.9. Вероятная модель злоумышленника

Медицинское учреждение работает с пациентами которые предоставляют всю необходимую информацию, в результате обладая этой информацией ЛПУ обязано не допустить попадания её к третьим лицам. Утечка информации из нашего учреждения может нанести серьезный урон не только самой себе, но прежде всего пациентам.

Потенциальными злоумышленниками могут быть, недобросовестные пациенты, и сотрудники фирмы, а так же сторонние лица заинтересованные в получении конфиденциальной информации.

Если угроза исходит от лиц, не являющиеся сотрудниками медицинского учреждения, то возможность проникновения в выделенное помещение в нерабочее время исключается, во-первых, выделенное помещение оборудовано сигнализацией, а так же заперто на хорошую железную дверь, ключ к которой находится под пристальным наблюдением охраны. Дверь постоянно запирается, если выделенное помещение пустует.

Для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему поликлиники изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, возможен так же случай запугивания сотрудников.

Для исключения возможности несанкционированного доступа к данным сотрудниками поликлиники в выделенное помещение допускается только системный администратор. Так же могут допускаться лица, обслуживающие оборудование от других организаций, но только в присутствии администратора.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники учреждения, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

1.10 Фактическая защищенность медицинского учреждения

В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:

Организационные мероприятия:

Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.
Во все помещения здания имеет доступ лишь персонал поликлиники и пациенты.
Посетители, ожидающие приема, находятся в коридоре.
Вход людей в здание осуществляется через главный вход. Охрана на входе отсутствует, никаких СКУД не установлено.
Вход людей в помещение БУЗОО МУЗГБ №6 осуществляется через двустворчатую пластиковую дверь.
Вся конфеденциальная информация пересылается посредством электронной почты, доступ к которой имеется у большого количества сотрудников.

Правовые мероприятия:

Инструкции сотрудников , ответственных за защиту информации
Утверждены должностные обязанности руководителей, специалистов и служащих предприятия

Инженерно-технические меры:

Во всех помещениях поликлиники установлены извещатели пожарной сигнализации
Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией

Программно-аппаратные меры:

1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение – MS Office 2003, антивирусное программное обеспечение – Dr. Web 6.0.

2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.

3. Пакет Microsoft Office; Интернет-шлюз UserGate.

4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.

5. Установлен сервер на основе OS Server 2003.

5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.

Инженерно-техническая укрепленность объекта защиты

В соответствии с руководящий документ (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.

В защищаемом помещении конфиденциальная информация обрабатывается на ПЭВМ, а также хранится в сейфе на материальном носителе (бумаге). Отсюда следует, что помещение должно иметь 2 категорию защищенности:

вторая категория – помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.

К таким помещениям на объекте защиты относится, отдел юридический, кабинет главного врача, лаборатория, кабинет старшей медсестры.

В соответствии с требованиями РД 78.36.003-2002 объект защиты соответствует классу Б II. Согласно этому строительные конструкции объекта должны соответствовать первому классу защищенности, то есть кирпичные перегородки должны быть толщиной 138 мм по строительным нормам и правилам (СНиП) III-17-78, а железобетонные конструкции толщиной 160 мм по ГОСТ 9561-91. Как уже указывалось выше, толщина кирпичной кладки внутри объекта защиты составляет 1 кирпич, что равно 250мм, а железобетонные блоки имеют ширину 200 мм. То есть строительные конструкции удовлетворяют первому классу защищенности.

Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.

Оконные конструкции так же удовлетворяют требованиям класса Б II.

Основная проблема предприятия:

1.11 Прошлые случаи кражи в СК

Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.

1. 12. Недостатки в защите медицинского учреждения

Внешние недостатки:

недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

Внутренние недостатки:

недостаточное внимание к обеспечению защиты информации со стороны руководства (нет отдельной службы защиты информации);
довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников учреждения (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
полное отсутствие разграничения доступа
Сервер, на котором хранится база даных имеет прямой доступ в интернет.
недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в мед. учреждении (в данный момент в штате нет ни одного специалиста по защите информации).
Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ)
Генераторы электромагнитного шума в помещении не установлены и не могут использоваться.
Окна организации выходят во двор.
Отсутствует защита телефонных, а так же UTP-8 линий.
Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.
На предприятии существуют устаревшие методы и принципы организации работы с документами.

Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.

Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.

1.13 Финансовые возможности медицинского учреждения

В связи с выходом законов и стремительном развитии нормативно правовых актов в сфере защиты информации, муниципальные учреждения финансируются, для создания КСЗИ с соблюдением всех норм и правил, установленных на территории РФ. Для улучшения этой КСЗИ, финансирование будет идти из своего бюджета, по этому:

простота защиты;
приемлемость защиты для пользователей;
подконтрольность системы защиты;
постоянный контроль за наиболее важной информацией;
минимизация привилегий по доступу к информации;
независимость системы управления для пользователей;
устойчивость защиты во времени и при неблагоприятных обстоятельствах;
минимизация общих механизмов защиты.

1.14 Этапы построения КСЗИ для мед. учреждения

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

обеспечить обращение сведений, содержащих различные виды тайн, в заданной сфере;
предотвратить кражу и утечку, а так же любую порчу конфиденциальной информации;
документировать процесс защиты тайны, чтобы в случае попыток незаконного завладения любой нежелательной информацией для учреждения можно было защитить свои права юридически и наказать нарушителя.

Планируемые мероприятия должны:

способствовать достижению определенных задач, соответствовать общему замыслу;
являться оптимальными.
Не должны:
противоречить законам, требованиям руководителя организации;
дублировать другие действия.

Правовая защита – специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.

Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.

Кроме того, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.

Организационная защита – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.

Организационную защиту обеспечивает:

Организация режима охраны, работы с кадрами, документами;
Использование технических средств безопасности;
Использование информационно-аналитической работы по выявлению угроз.

Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации.

Инженерно-техническая защита – использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:

Физические – устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);
Аппаратные – устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа
Программные средства.

1.15 Требования руководящих документов к системе безопасности объекта

1.15.1 Требования руководящих документов к системам видеонаблюдения

Одним из основных руководящих документов включающих требования к системам видеонаблюдения является РД 78.36.003-2002. Этот документ включает требования изданных ранее изданных руководящих документов. Рассмотрим основные его положения, касающиеся систем видеонаблюдения.

Согласно РД 78.36.003-2002 системы охранного телевидения (СОТ) должны обеспечивать передачу визуальной информации о состоянии охраняемых зон, помещений, периметра и территории объекта в помещение охраны. Применение охранного телевидения позволяет в случае получения извещения о тревоге определить характер нарушения, место нарушения, направление движения нарушителя и определить оптимальные меры противодействия. Кроме того, система охранного телевидения позволяет проводить наблюдение охраняемых зон объекта.

В состав СОТ, согласно ГОСТ Р 51558-2000 входят:

Обязательные устройства для всех СОТ:

телевизионная камера (ТК);
видеомонитор;
источник электропитания, в том числе резервный;
линии связи.

Дополнительные устройства для конкретных СОТ:

устройство управления и коммутации видеосигналов;
обнаружитель движения;
видеонакопитель.

На объекте ТК следует оборудовать:

периметр территории;
КПП;
главный и служебные входы;
помещения, коридоры, по которым производится перемещение денежных средств и материальных ценностей;
помещения, в которых непосредственно сосредоточены материальные ценности, за исключением хранилищ ценностей;
другие помещения по усмотрению руководства (собственника) объекта или по рекомендации сотрудника подразделения вневедомственной охраны.

Р 78 36.008-99 определяет общие требования с системам видеонаблюдения:

1. Условия эксплуатации:

в закрытых отапливаемых помещениях;
в закрытых неотапливаемых помещениях;
на улице под навесом;
на открытом воздухе;
в особых условиях (повышенная влажность, запыленность, вибрация).

2. Безопасность:

пожарная безопасность;
электробезопасность;
заземление;
отсутствие вредного влияния на здоровье пользователей и лиц, находящихся на объекте.

3. Надежность:

средняя наработка на отказ;
среднее время восстановления работоспособности;
средний срок службы;
гарантия исполнителя.

4. Продолжительность работы:

непрерывная круглосуточная работа;
работа в дневное время;
работа в ночное время;
периодическое включение.

5. Электропитание:

номинальные значения и допустимые отклонения напряжения и частоты в сети переменного тока;
категория энергоснабжения объекта или его отдельных зон;
способы резервирования питания;
переход на резервное питание и обратно - автоматический/ручной;
продолжительность работы от источника резервного питания в дежурном и тревожном режимах;
сетевые фильтры.

6. Техническое обслуживание и ремонт:

организация, проводящая техническое обслуживание и ремонт;
виды, состав и периодичность выполнения работ;
наличие и состав "холодного" резерва;
переход на резерв - автоматический или путем замены блоков, модулей.

7. Возможности расширения системы охранного телевидения:

свободные входы для ТК;
свободные выходы для видеомониторов/видеомагнитофонов;
интеграция с системами сигнализации, контроля и управления доступом;
интеграция с телеметрической системой ТК;
без нарушения работоспособности смонтированной СОТ;
с выключением смонтированной СОТ.

8. Состав документации:

спецификация оборудования с указанием его стоимости;
структурные (скелетные) схемы;
схемы (планы) размещения компонентов СОТ с указаниями по их монтажу;
схемы (планы) размещения источников охранного (дежурного) освещения с указанием мощности и типа (лампы накаливания, люминесцентные лампы, инфракрасные прожекторы);
схемы электрических соединений;
схемы прокладки линий связи и электропроводок;
схемы электрические принципиальные подключения оборудования;
техническое описание и инструкция по эксплуатации СОТ;
документация, поставляемая фирмой-изготовителем в комплекте с оборудованием, на русском языке.

Учет требований и рекомендаций руководящих документов позволит создать надежную систему видеонаблюдения.

1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации

РД 78.36.003-2002 предусматривает требования к системам охранной сигнализации.

Защита периметра территории и открытых площадок.

Технические средства охранной сигнализации периметра должны выбираться в зависимости от вида предполагаемой угрозы объекту, помеховой обстановки, рельефа местности, протяженности и технической укрепленности периметра, типа ограждения, наличия дорог вдоль периметра, зоны отторжения, ее ширины.

Охранная сигнализация периметра объекта проектируется, как правило, однорубежной.

Для усиления охраны, определения направления движения нарушителя, блокировки уязвимых мест следует применять многорубежную охрану.

Технические средства охранной сигнализации периметра могут размещаться на ограждении, зданиях, строениях, сооружениях или в зоне отторжения. Охранные извещатели должны устанавливаться на стенах, специальных столбах или стойках, обеспечивающих отсутствие колебаний, вибраций.

В качестве пультов внутренней охраны могут использоваться ППК средней и большой емкости (концентраторы), СПИ, автоматизированные системы передачи извещений (АСПИ) и радиосистемы передачи извещений (РСПИ). Пульты внутренней охраны могут работать как при непосредственном круглосуточном дежурстве персонала на них, так и автономно в режиме "Самоохраны".

Установка охранных извещателей по верху ограждения должна производиться только в случае, если ограждение имеет высоту не менее 2 м.

На КПП, в помещении охраны следует устанавливать технические устройства графического отображения охраняемого периметра (компьютер, световое табло с мнемосхемой охраняемого периметра и другие устройства).

Все оборудование, входящее в систему охранной сигнализации периметра должно иметь защиту от вскрытия.

Открытые площадки с материальными ценностями на территории объекта должны иметь предупредительное ограждение и оборудоваться объемными, поверхностными или линейными извещателями различного принципа действия.

Защита здания, помещений, отдельных предметов.
Техническими средствами охранной сигнализации должны оборудоваться все помещения с постоянным или временным хранением материальных ценностей, а также все уязвимые места здания (окна, двери, люки, вентиляционные шахты, короба и т. п.), через которые возможно несанкционированное проникновение в помещения объекта.

Объекты подгрупп AI, AII и БII оборудуются многорубежной системой охранной сигнализации, объекты подгруппы БI - однорубежной.

Первым рубежом охранной сигнализации, в зависимости от вида предполагаемых угроз объекту, блокируют:

деревянные входные двери, погрузочно-разгрузочные люки, ворота - на "открывание" и "разрушение" ("пролом");
остекленные конструкции - на "открывание" и "разрушение" ("разбитие") стекла;
металлические двери, ворота - на "открывание" и "разрушение",
стены, перекрытия и перегородки, не удовлетворяющие требованиям настоящего Руководящего документа или за которыми размещаются помещения других собственников, позволяющие проводить скрытые работы по разрушению стены - на "разрушение" ("пролом"),
оболочки хранилищ ценностей - на "разрушение" ("пролом") и "ударное воздействие";
решетки, жалюзи и другие защитные конструкции, установленные с наружной стороны оконного проема - на "открывание" и "разрушение";
вентиляционные короба, дымоходы, места ввода/вывода коммуникаций сечением более 200x200 мм - на "разрушение" ("пролом");

Защита персонала и посетителей объекта.

Для оперативной передачи сообщений на пульт центральной охраны (ПЦО) и/или в дежурную часть органов внутренних дел о противоправных действиях в отношении персонала или посетителей (например, разбойных нападениях, хулиганских действиях, угрозах) объект должен оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками, радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и другими устройствами.

Система тревожной сигнализации организуется "без права отключения".

Устройства ТС на объекте должны устанавливаться:

в хранилищах, кладовых, сейфовых комнатах;
в помещениях хранения оружия и боеприпасов;
на рабочих местах кассиров;
на рабочих местах персонала, производящего операции с наркотическими средствами и психотропными веществами;
в кабинетах руководства организации и главного бухгалтера;
у центрального входа и запасных выходах в здание;
на постах и в помещениях охраны, расположенных в здании, строении, сооружении и на охраняемой территории;
в коридорах, у дверей и проемов, через которые производится перемещение ценностей;
на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах);
в других местах по требованию руководителя (собственника) объекта или по рекомендации сотрудника вневедомственной охраны.

Ручные и ножные устройства ТС должны размещаться в местах, по возможности незаметных для посетителей. Руководители, ответственные лица, собственники объекта совместно с представителем подразделения вневедомственной охраны определяют места скрытой установки кнопок или педалей тревожной сигнализации на рабочих местах сотрудников.

Руководство объекта, сотрудников службы безопасности и охраны следует оснащать мобильными устройствами ТС, работающими по радиоканалу (радиокнопками или радиобрелоками).

Места хранения денежных средств, драгоценных металлов, камней и изделий из них (столы операционно-кассовых работников, металлические шкафы или сейфы, кассовые аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть оборудованы специальными техническими средствами (ловушками), формирующими сигналы тревоги без участия персонала при попытках нарушителя завладеть ценностями. Указанные технические средства должны включаться в шлейфы тревожной сигнализации объекта.

Организация передачи информации о срабатывании сигнализации.
Передача извещений о срабатывании охранной сигнализации с объекта на ПЦО может осуществляться с ППК малой емкости, внутреннего пульта охраны или устройств оконечных система передачи извещений (СПИ).

Количество рубежей охранной сигнализации, выводимых на ПЦО отдельными номерами, определяется совместным решением руководства объекта и подразделения вневедомственной охраны исходя из категории объекта, анализа риска и потенциальных угроз объекту, возможностей интеграции и документирования ППК (внутренним пультом охраны или устройством оконечным) поступающей информации, а также порядком организации дежурства персонала охраны на объекте.

Минимально необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего охраняемого объекта должно быть, для подгруппы.

БI - один объединенный рубеж (первый - периметр);

AI, БII - два объединенных рубежа (первый - периметр и второй - объем).

Кроме того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые, оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.

При наличии на объекте пульта внутреннего охраны с круглосуточным дежурством собственной службы безопасности или частного охранного учреждения, на ПЦО выводятся:

один общий сигнал, объединяющий все рубежи охранной сигнализации объекта за исключением рубежей специальных помещений объекта;
рубежи охранной сигнализации (периметр и объем) специальных помещений.

При этом должна быть обеспечена регистрация всей поступающей информации каждого рубежа охраны помещений на внутреннем пульте охраны.

С охраняемых объектов "автодозвон" должен осуществляться по двум и более телефонным номерам.

Для исключения доступа посторонних лиц к извещателям, ППК, разветвительным коробкам, другой установленной на объекте аппаратуры охраны должны приниматься меры по их маскировке и скрытой установке. Крышки клеммных колодок данных устройств должны быть опломбированы (опечатаны) электромонтером ОПС или инженерно-техническим работником подразделения вневедомственной охраны с указанием фамилии и даты в технической документации объекта.

Распределительные шкафы, предназначенные для кроссировки шлейфов сигнализации, должны закрываться на замок, быть опломбированы и иметь блокировочные (антисаботажные) кнопки, подключенные на отдельные номера пульта внутренней охраны "без права отключения", а при отсутствии пульта внутренней охраны - на ПЦО в составе тревожной сигнализации.

При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 – «Нормы и правила проектирования установок пожаротушения и сигнализации».

Здание медицинского учреждения относится к административным сооружениям, поэтому его помещения при применении автоматической пожарной сигнализации, следует оборудовать дымовыми пожарными извещателями.

Дымовой пожарный извещатель – пожарный извещатель, реагирующий на частицы твердых или жидких продуктов горения и (или) пиролиза в атмосфере.

В каждом защищаемом помещении следует устанавливать не менее двух пожарных извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.

Дымовые пожарные извещатели рекомендуется применять для оперативного, локального оповещения и определения места пожара в помещениях, в которых одновременно выполняются следующие условия:

основным фактором возникновения очага загорания в начальной стадии является появление дыма;
в защищаемых помещениях возможно присутствие людей.

Такие извещатели должны включаться в единую систему пожарной сигнализации с выводом тревожных извещений на прибор приемно-контрольный пожарный, расположенный в помещении дежурного персонала. Прибор приемно-контрольный пожарный – это устройство, предназначенное для приема сигналов от пожарных извещателей, обеспечения электропитанием активных пожарных извещателей, выдачи информации на световые, звуковые оповещатели и пульты централизованного наблюдения, а также формирования стартового импульса запуска прибора пожарного управления.

Ручной пожарный извещатель – устройство, предназначенное для ручного включения сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения.

Ручные пожарные извещатели следует устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из здания.

Но эффективная система пожарной сигнализации должна обязательно включать в себя систему оповещения людей о пожаре.

Система оповещения и управления эвакуацией (СОУЭ) – комплекс организационных мероприятий и технических средств, предназначенный для своевременного сообщения людям информации о возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна функционировать в течение времени, необходимого для завершения эвакуации людей из здания.

Здание рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями (сиреной или тонированным сигналом).

Для обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в защищаемом помещении.

На внешней стене здания перед входом следует расположить комбинированный, светозвуковой оповещатель.

1.15.3 Требования нормативно-методических документов по защите информации на объект

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений

Статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.

Статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Современный в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).

Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

статья 272. Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами на конфиденциальность)
статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. (имеет дело с вредоносным ПО)
статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ)

Включение в сферу действия уголовный кодекс (УК) Российской Федерации (РФ) вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информационных технологиях и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

1.16 Обоснование выбора методов и средств защиты

В плане правовой защиты, в ЛПУ обязан иметься рад нормативно-правовых документов:

правила внутреннего распорядка служащих предприятия;
должностные обязанности руководителей, специалистов и служащих предприятия;
Положение о конфиденциальной информации;

Необходимо разработать такой список нормативно-правовой документации :

Устав;
коллективный трудовой договор;
трудовые договоры с сотрудниками предприятия;
договорные обязательства.
Перечень сведений, составляющих конфиденциальную информацию;
договорное обязательство о неразглашении коммерческой тайны;
Акт о выделении к уничтожению документов и дел
Приложение к заявлению об увольнении
Подписка о сохранении коммерческой тайны
Обязательства работника о сохранении коммерческой тайны.
Обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну
Система допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну;

По организационной стороны в связи созданием службы защиты информации (СлЗИ) необходимо разработать такие документы:

Положение о СлЗИ;
Должностные инструкции сотрудников СлЗИ.(начальник службы безопасности, инженер по защите информации, начальник отдела конфиденциального делопроизводства);
Инструкция по защите конфиденциальной информации;

СлЗИ будет выполнять ряд функций необходимых по поддержанию надлежащего уровня КСЗИ.

Так как на данный момент у мед. учреждения уже были такие технические средства как :

Датчики дыма
Сигнализация
Тревожная кнопка
Модуль пожаротушения

1.17 Выводы

В результате анализа медицинского учреждения можно сделать определенные выводы.

Защита на данный момент у медицинского учреждения есть, но она является не достаточной. С самой лучшей стороны выглядит ситуация с програмнно-апаратными средствами, так как организована необходимая защита, но ёё тоже следует доработать. Намного хуже обстоят дела с организационными, и инженерно-технические применяемыми мерами в медицинском учреждении. Правовая база строго регламентируется законами, и доработок не требует.

Для организации эффективной защиты от различных преднамеренных угроз необходимо четко представлять, что намеривается сделать злоумышленник. Для совершения преступления необходимо наличие одновременно трех составляющих – желания, способности и возможности. Соответственно, для предотвращения преступления необходимо убрать один из этих «необходимых, но недостаточных» элементов. Применяя КСЗИ разработанную для охраняемого объекта, можно существенно снизить или устранить две составляющие – желание и возможности.

Следует признать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Чем меньше возможность человека влиять на систему, тем ниже риск ошибок и саботажа. Предлагаемая современная интеллектуальная система безопасности будет сводить это влияние к минимуму.

Также при выборе технических средств было уделено особое внимание надежности. Без этого система попросту не эффективна. Так как ложные тревоги являются неизбежным "злом" при эксплуатации. Интенсивность ложных срабатываний связана с надежностью, принципом действия и режимом использования технического средства.

Возможности злоумышленников тоже прогрессируют чрезвычайно быстро. И поэтому в предлагаемой КСЗИ учтена возможность модернизации, «наращивании» до более совершенного уровня. Внимание коснулось и затраты на охранные мероприятия которые должны быть соизмеримыми с возможными убытками от преступных посягательств.

Результатом внедрения комплексной системой защиты информации будет являться :

улучшенная организационная структура системы защиты информации в медицинском учреждении, ее кадровое обеспечение;
повыситься оснащенность медицинского учреждения высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;

Так же планируется улучшить имеющуюся систему обработки конфиденциальных данных, в результате доработки :

улучшится стабильность, а так же быстродействие системы. Повысится удобство администрирования.

Предлагаемая комплексная система защиты информации, а в частности входящие в неё различные меры защиты, обеспечат необходимый уровень защиты конфиденциальной информации.

В результате будет создана система, соответствующая задачам обеспечения защиты информации в медицинском учреждении, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности медицинского учреждения.

2 Описание постановки задач

2.1 Постановка задачи

К задачам защиты информации в медицинском учреждении относятся :

Обеспечение деятельности медицинского учреждения режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной, в зависимости от нужд и прав. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать медицинскому учреждению возможность функционировать так же быстро и оправдывать затраты средств на защиту информации.
Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности медицинского учреждения.
Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что медицинское учреждение принимало необходимые меры к защите этих сведений.

2.2. Цель и назначение системы безопасности

Целями и назначением системы безопасности в медицинском учреждении являются:

- предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и врачебной тайны);

- предотвращение угроз безопасности личности и медицинского учреждения;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение, конфиденциальности документированной информации в соответствии с законодательством.

3 Описание комплексной системы защиты информации

В комплексную систему защиты информации входит:

Правовая защита

Правовое обеспечение системы защиты информации включает:

Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;
Формулирование и доведение до сведения всего персонала мед. учреждения (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации.

Организационная защита

Организационная защита обеспечивает:

организацию охраны, режима, работу с кадрами, с документами;
использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Физические – устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);
Аппаратные – устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа
Программные средства.

3.1 Правовая защита

Согласно документам, регламентирующим деятельность в области защиты информации :

Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Законом об информации установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Соблюдение врачебной тайны

Описано в ФЗ РФ от 21 ноября 2011 г. N 323-ФЗ

1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.

3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.

4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;

5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;

7) в целях расследования несчастного случая на производстве и профессионального заболевания;

8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

9) в целях осуществления учета и контроля в системе обязательного социального страхования;

10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.

Список необходимых организационно-распорядительных документов в сфере защиты персональных данных и во исполнение Федерального закона РФ от 27 июня 2006 года № 152-ФЗ

1.Приказ

О назначении ответственного за организацию обработки персональных данных (далее ПДн);
О назначении сотрудников имеющих доступ к ПДн;
О создании комиссии (Классификация каждой информационной системы персональных данных (далее ИСПДн), установка класса защищенности АС, уничтожение документов ограниченного распространения);
О назначении ответственных лиц по работе с шифровальными (криптографическими средствами);
О утверждении перечня информационных систем ПДн;
Об утверждении перечня конфиденциальной информации;
Об установлении границ контролируемой зоны ИСПДн;
Об утверждении инструкции о порядке работы с документвсм ограниченного распространения, не содержащих государственную тайну;
Об утверждении инструкции по опечатыванию кабинетов;
Об утверждении инструкции о внутреобъектовом порядке режимных помещений;
Об утверждении инструкции о внутреобъектовом порядке режимных помещений;
Об утверждении инструкции по резервному копированию (восстановлению) информации;
Об утверждении инструкции о средствах антивирусной защиты ИСПДн;
Об утверждении инструкции ответственного за организацию обработки ПДн;
Об утверждении Положения об осуществлении внутреннего контроля соответствия обработки ПДн Федеральному закону Российской Федерации от 27 июня 2006 года №152-ФЗ и принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора;
Об утверждении Положения о комиссии по вопросам информационной безопасности;
Об утверждении политики обработки ПДн;
Об утверждении Положения о рассотрении запросов субъектов ПДн или их представителей;
Об утверждении инструкции пользователя при обработке ПДн без средств автоматизации;
Об утверждении Положения об обработке ПДн;
Об утверждении Положения об оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июня 2006 года №152-ФЗ “О персональных данных”;
Об утверждении перечня мест хранения материальных носителей ПДн;
Об утверждении инструкции работника Учреждения по эксплуатации автоматизированного рабочего места и пользования ведомственной сетью передачи данных;
Об утверждении схемы передачи ПДн по каналам связи Учреждения;
Об утверждении инструкции по эксплуатации машинных носителей информации;
О создании комиссии по вопросам информационной безопасности;
Об утверждении модели угроз безопасности ПДн при обработке в инфомарционных системах ПДн;
О назначении пользователей и правил работы со средствами криптографической защиты информации;

2.Журнал

Журнал учета обращении субъектов ПДн или их представителей;
Журнал учета лиц о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации;
Журнал ознакомления работников, непосредственно ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику “Учреждения” в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
Журнал учета фактов несанкцианированого доступа к ПДн и принятых мер;
Журнал поэкземплярного учета криптосредств;
Журнал учета

Для организации Службы защиты информации (СлЗИ) такие документы:

Положение о СлЗИ;
Должностные инструкция начальник службы безопасности;
Должностные инструкция инженер по защите информации;
Должностные инструкция начальник отдела конфиденциального делопроизводства;
Инструкция по защите конфиденциальной информации;

К уже существующему уставу мед. учреждения необходимо внести в устав следующие дополнения:

— мед. учреждение имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;

— обязано обеспечить сохранность коммерческой тайны;

— состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем мед. учреждения;

— имеет право не предоставлять информацию, содержащую коммерческую тайну;

— руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

— создавать организационные структуры по защите коммерческой тайны;

— издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

— включать требования по защите коммерческой тайны в договора по всем видам деятельности;

— требовать защиты интересов учреждения перед государственными и судебными органами;

— распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.

Раздел «Конфиденциальная информация»:

Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение этих дополнений дает право администрации:

создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
требовать защиты интересов учреждения перед государственными и судебными органами;
распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

А также необходимо проставить грифы конфиденциальности:

Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).
Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность (коммерческая тайна); документы, содержащие данные о пациентах, не предоставляемые третьим лицам (сведения, составляющие адвокатскую тайну).
Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о деловых сделках с партнерами или пациентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.

Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»

Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.
Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.
Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:

Раздел «Порядок приема и увольнения рабочих и служащих»

При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:

проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;
оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:
принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;
осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.
при решении об увольнении или отстранении от обязанностей заранее ограничить его доступ к системе.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны:

знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;
дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;
бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.

Раздел «Основные обязанности администрации»

Администрация и руководители подразделений обязаны:

обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;
последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;
включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;
неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.

3.2 Организационная защита

3.2.1 Создание службы защиты информации

Необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей учреждения, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия.

Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 3 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.

В медицинском учреждении целесообразно организовать Службу защиты информации в следующем составе:

Руководитель СлЗИ;
инженер по защите информации.
Начальник отдела конфиденциального делопроизводства

Функции конфиденциального делопроизводства возложить на уже имеющегося сотрудника, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря, главного бухгалтера).

Для работы СлЗИ необходимо подготовить ряд нормативных документов:

Положение о СлЗИ;
- Инструкцию по безопасности конфиденциальной информации.
  - Перечень сведений, составляющих конфиденциальную информацию.
  - Инструкцию по работе с конфиденциальной информацией.
  - Должностные инструкции сотрудников СлЗИ.
  - Инструкцию по обеспечению пропускного режима в компании.
  - Памятку работнику (служащему) о сохранении конфиденциальной информации.

Назначение на должность начальника СлЗИ учреждения, а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.

Основными функциями СлЗИ являются проблемы организации защиты сведений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работников учреждения умению хранить секреты своего учреждения; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.

СлЗИ готовит руководству учреждения предложения по вопросам защиты конфиденциальной информации, порядка определения составляющих эту информацию, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим тайну. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии КСЗИ, недобросовестном поведении сотрудников а так же обнаружение новых угроз и брежи в системе защиты информации.

СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками учреждения, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток нарушителей получить несанкционированный доступ к защищаемой информации и т.д. Она должна находиться на высоком уровне в организационной структуре учреждения с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники учреждения должны знать политику учреждения по защите этой информации и меры наказания за нарушение этих правил.

Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию учреждения, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня – исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.

СлЗИ применяет меры в которые входит:

- повседневный контроль со стороны руководства учреждения и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников учреждения, имеющих постоянное общение с населением; Врачи, санитары и прочие сотрудники, так или иначе вынужденные общаться с населением;

- обеспечение соблюдения всеми сотрудниками учреждения требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирующими поведение работников на предприятии.

Все посещения учреждения посторонними лицами не могут строго регламентированы. Вход не оборудован никакими СКУД, фиксация проходящих и выходящих посетителей не ведется. Основных входов – 3, Главный вход в поликлинику, вход в приемное отделение, вход в стационар.

Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;

- выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников учреждения, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).

Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;

- защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками учреждения, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;

- важным звеном защиты конфиденциальной информации учреждения является работа с пациентами. При ведении приема важно убедиться, что пациент преследует те же цели, что и врач, то есть обращение по волнующему его вопросу о состоянии его здоровья, а не получение конфиденциальной информации о других лицах или иных сведениях к которым он не имеет доступ.

3.2.2 Проверка лояльности персонала медицинского учреждения

Тут два эффективных метода. Первый метод основан на использовании полиграфа «детектора лжи».

Использование "Детектора лжи" психологически оправдано.

Когда сотрудник ощущает возможность совершить действие, о котором не узнает руководство, он остается наедине со своей совестью и корыстными побуждениями. Принесут ли действия сотрудника ущерб учреждению, и как далеко он может зайти в жажде наживы, или из личного интереса зависит только от него самого.

Таким образом, ресурсы учреждения в закрытых областях действий сотрудников оказываются во власти индивидуальных влечений, далеко не всегда контролируемых совестью работника. Если прибавить к этому удивительную изворотливость ума, позволяющую оправдать свои действия не только перед другими, но и перед собой, то для контроля индивидуальной совести остается мало места.

При проверке на лояльность сотрудников можно использовать универсальный компьютерный полиграф «Поларг», соответствующий техническим условиям ТУ 4389-001-07560771-99. Зарегистрирован в Госстандарте России за № 200/026794 от 30.03.2000г. Универсальный компьютерный полиграф «Поларг» позволяет регистрировать восемь физиологических показателей человека, применять любые методики и тесты опросов с использованием полиграфа, получать валидизированную оценку реакций, зарегистрированных с помощью полиграфа.
Выпуск универсального компьютерного полиграфа «Поларг» осуществляется под техническим контролем Института криминалистики ФСБ России.

Полиграф можно купить и нанять специально обученных людей умеющих работать с ним. Аппаратное средство достаточно дорого, но при штате большого количества сотрудников выгоднее приобрести и обучить работе одного сотрудника СлЗИ, такие затраты быстро окупятся, учитывая штат.

И второй метод достаточно дешевый по сравнению с первым, это найти организацию либо людей которые предоставляют услуги проверки лояльности сотрудников путем внедрения в объект специально обученных разведчиков. Задача разведчиков войти в доверие к сотрудникам мед. учреждения в виде потенциальных пациентов и постараться выполнить специальную разработанную программу такой проверки лояльности персонала, которая учтет все особенности именно медицинского учреждения. Медицинское учреждение не потратит время на выявление нарушения работников.

А возможность постоянной качественной проверки лояльности персонала помогут снизит риски медицинского учреждения, связанные с сотрудниками.

3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к.

Сотрудники больницы, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.

Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в поликлинику, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации и врачебной тайны.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

3.3 Инженерно-техническая защита

3.3.1 Физические

3.3.1.1 Построения системы обеспечения безопасности объекта для медицинского учреждения

Рисунок 3.1 - Общая схема системы обеспечения безопасности объекта

Структура существующей системы
1. Серверная

Серверная комната находится в помещении 3 кабинета, сразу возле главного входа, что организует большую проходимость у дверей. Так же в помещении серверной выдаются полиса “Росгосстрах”, а это значит что в нем оборудовано место с ПЭВМ, оператором, ответственным за выдачу и самый главный недостаток, пациенты. Так же в серверной находится шкаф сетевого оборудования, который включает в себя несколько программируемых маршрутизаторов в т.ч. для связи с другими ЛПУ и органами управления. Свитчи, концентратор VipNet, необходимый для передачи информации по зашифрованному каналу связи, миниАТС отвечающую за работу всех IP-телефонов, для данной организации, USP для гарантии сохранности оборудования, подключенным посредством него оборудования в т.ч. сам сервер.

Сервер работает на базе ОС Windows Server 2003, оборудован антивирусной защитой Dr.Web 6.0, Системой резервного копирования Cobian, настроенной таким образом, что каждый день в нерабочее время, создается резервная копия БД. Жесткий диск на 500Gb, имеет зеркало, так что в случае краха оборудования, базу данных можно будет восстановить с небольшим откатом. Серверный ПК несет в себе обязанности

Сервера БД (ТМ МИС, Мединфо, CorRecept)
Интернет Сервера
Сервера Терминалов
Сервера печати
ISS сервера (связь с сайтом ЛПУ)
Зеркалирования информации

При такой нагрузке и количестве выполняемых задач создаются огромные проблемы. Не смотря на архитектуру процессора (intel core i5), и 4Gb RAM, сервер изрядно подтормаживает, а иногда и вовсе зависает, не выдерживая нагрузки выполняемых задач. Ко всему прочему ПО, используемое в ЛПУ, не очень хорошо оптимизировано, но постоянно дорабатывается, выпускаются обновления, заплатки, улучшения.

Ко всему прочему очень сложно администрировать сервер, выполняющий такое количество функций очень проблематично. При администрировании возникают проблемы связанных служб, к тому же перезагрузка сервера ведет к полной остановке работы всего ЛПУ с перерывом примерно 10 минут.

АРМ

В нашем мед. Учреждении вся работа с БД осуществляется посредством использования терминального доступа, через встроенную утилиту RemoteDesktop. То есть наличие пароля, дает возможность доступа к БД с абсолютно любого АРМ, подключенного к сети. Все АРМ распределены по больнице в зависимости от надобности и потребности, получить к ним доступ не составляет труда, некоторые кабинеты находятся на “отшибе” и вероятность обнаружения поимки злоумышленника остается ничтожной. К тому же, нет никакого разграничения доступа для всех пользователей АРМ, вне зависимости от выполняемых обязанностей, что приводит нас к ситуации, когда любые ползователи обладают равными правами.

Так же на АРМ функционируют все USB порты, что дает возможность использования любых доступных накопителей с интерфейсом USB 2.0.

АРМ организованы на базе тонких пациентов, все изменения операционной системы хранятся в оперативной памяти и устраняются после перезагрузки. Функция отключается программно, посредством ввода пароля Возможность установки стороннего ПО, требующих права Администратора отсутствует. Так же все АРМ оборудованы АнтиВирусной защитой Dr.Web 6.0. Все АРМ имеют статический IP-адрес, отсутствует привязка по MAC.

Из огромных брешей в системе можно выделить одинаковые пароли для терминала, для всех пользователей АРМ, за исключением пароля администратора. Все АРМ типовые, закуплены и установлены во всех больницах города, комплектация дополняется лишь переферийными устройствами.

АРМ комплектация

Тонкие пациенты TONK, Монитор Viewsonic 22, клавиатура, мышь. Допускается использования сканера, принтера или МФУ.

ЛВС и внутренняя связь

Локальная сеть раскинута, посредством которой работают АРМ в учреждении, раскинута на все здание, включая стационар, поликлинику. Пролегает через коридор в кабель канале, разветвляется свитчами, находящимися в специальных шкафчиках. Вся ЛВС приходит на центральный свитч в серверную комнату, где посредством программируемого маршрутизатора она соединяется с другими ЛПУ. Диапазон IP адресов ограничен 10.30.131.1-10.30.131.255. Никакой привязки по MAC-адресу, кроме доступа в интернет не существует.

Посредством ЛВС так же работают IP-телефоны, которые находятся в той же подсети что и ПК, т.к. выделенный диапазон для нашего ЛПУ. Предусматривает адреса типа 10.30.131.*

Персонал и пациенты

ЛПУ находится в микрорайоне. Малое количество населения, высокий уровень безработицы, частный сектор, огромное количество знакомств при тесном общении создают следующую картину. Почти все люди одного возраста знакомы с большой вероятностью, что способствует панибратскому, доверительному отношению с пациентами и не лучшим образом сказывается на обстановке с точки зрения защиты информации. Так же следует отметить невысокую осведомленность населения и практически полное неумение обращаться с оборудованием в частности ПК. Однако, существуют специалисты, но их в населенном пункте всего несколько человек, можно отслеживать их посещение ЛПУ.

Низкая заработная плата везде и повсеместно сопровождает персонал медицинского учреждения. Начиная от техничек и плотников, заканчивая врачами. Приемлемая заработная плата наблюдается лишь у руководства и бухгалтерии, уровень остального персонала едва превышает МРОТ, к тому же людей обязуют выполнять обязанности, не оговоренные в трудовом договоре и никак не оплачивающиеся, что не мотивирует персонал добросовестно работать и может стать толчком для совершения НСД с целью наживы или разглашение персональных даных, если представится такой случай.

Личные знакомства так же могут стать причиной случайного разглащения конфеденциальной информации, просто при разговоре.

Вывод

Из

Дополнительные физически средства защиты информации.

Информация находить как на бумажных носителях так и в электроном варианте. Чтобы защитить и предотвратить посигательства со стороны злоумышлеников на информацию хранящуюся на бумажных носителях необходимо хранить в специальных сейфах для документов.

Офисные сейфы редко имеют высокий класс взломостойкости, поэтому они не могут гарантировать сохранность содержимого в случае жёсткого взлома. Тем не менее, на их вскрытие потребуется некоторое время, достаточное для реагирования сотрудников службы безопасности [32].

В связи с этим, настоятельно рекомендуется анкерное крепление сейфа - эта мера предотвратит самый распространенный вариант кражи - вынос сейфа из помещения вместе с содержимым. Кроме того, помещение должно быть обязательно поставлено на сигнализацию. При соблюдении этих условия можно обеспечить серьёзную защиту документов не только от посторонних лиц и ненадежных офисных сотрудников, но и профессиональных взломщиков [32].

В качестве хранилища для документов содержащих конфиденциальную информацию используем SteelOff US8 12.L22, так остальные сейфы уступают ему по качеству надежности и приемлемой цене . Необходимо 7 штук для каждого отдела. Производитель дает на них 5 лет гарантии. Отличительные особенности :

Хорошая вместимость позволяет свободно разместить внутри 6 папок "Корона" под документы формата А4. Офисные сейфы серии "US" отличаются современным дизайном, хорошими защитными качествами и невысокой стоимостью.
Стальной корпус имеет сварную конструкцию, толщина боковых стенок - 3 мм. Дверь на внутренних петлях, имеет усиленную коробчатую конструкцию и запирается двумя ключевыми замками (Hartstahl) сувальдного типа, оборудованными пломбирующими устройствами. Замки трехригельные, сертифицированные - 2 класса.
Интерьер сейфа оборудован запираемым кассовым отделением и одной съемной полкой с регулируемой высотой установки. С внутренней стороны двери установлена рамка под список или опись. Возможно изготовление модификации по эскизам заказчика с отличными от базовой - габаритами, конструкцией, внутренним устройством.
Поверхность сейфа имеет защитное полимерно-порошковое покрытие, изготовленное на основе сертифицированных материалов франко-итальянского производства. Конструкцией предусмотрена возможность крепления сейфа анкерными болтами к полу или стене - уточните нужный вариант при формировании предварительного заказа.

За частую двери в офисах бывают открыты из-за невнимательности либо не желании вообще закрывать любую дверь. В результате чего любой посторонний человек может либо подсмотреть или подслушать любую информацию. Для того чтобы это избежать оснастим каждую дверь доводчиком для двери. Необходимо 12 штук для каждой двери.

3.3.2 Выбор аппаратных средств защиты

Для данного объекта необходимы средства защиты информации от утечки по каналам утечки:

Оптический
Радиоэлектронный
Акустический
Виброакустический

Таблица 3 - Выбор аппаратных средств защиты

№ п\п	Место установки	Тип устройства защиты информации	Способ применения	Технический канал закрытия утечки информации
	ПЭВМ	Генератор шума ГШ-К-1000М	Постоянно	Радиоэлектронный
	СИРД	Генератор шума ГШ-1000М	Постоянно	Радиоэлектронный
	Линии системы энергоснабжения	Генератор шума SEL SP 44	Постоянно	Радиоэлектронный
	Рядом с телефоном	Многофункциональный модуль защиты телефоной линии "SEL SP-17/D"	Постоянно	Радиоэлектронный
	Системы центрального отопления, стены, подземные водопроводы и теплопроводы	Виброакустический генератор Соната АВ 1М	Постоянно	Акустический

Выбор аппаратных средств основан на ряде факторов:

-Цена

-Эффективность (относительно других схожих аппаратных средств)

- Простота использования

- Сертификат соответствия ФСТЭК

Для решения поставленной задачи выбраны следующие технические решения.

Защита телефонной линии

Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D. При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.

Защита по акустическому каналу

Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

Для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М. Система имеет сертификат соответствия ФСТЭК № 1082.

Рисунок 3.18 - Генератор виброакустического шума Соната-АВ-1М

Назначение:
Генератор виброакустического шума "Соната-АВ-1М" предназначен для защиты помещений от утечки речевой информации по акустическим и виброканалам [33].

Описание:
Модель 1М имеет два выхода с независимым программированием вида помехи (вибро- или аудио-) и регулировкой ее уровня, отличительной особенностью модели 1М является повышенная нагрузочная способность (см. технические характеристики).
Генератор виброакустического шума "Соната-АВ" соответствует "Требованиям по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (СТР) и может использоваться для защиты выделенных помещений 1 категории.

Правильно установленный и отрегулированный генератор "Соната-АВ" позволяет нейтрализовать такие виды подслушивания, как [6]:

непосредственное подслушивание в условиях плохой звукоизоляции в помещении;
применение радио- и проводных микрофонов, установленных в полостях стен, в надпотолочном пространстве, вентиляционных коробах и т.п.;
применение стетоскопов, установленных на стенах (потолках, полах), трубах водо- (тепло-, и газо-) снабжения и т.п.;
применение лазерных и микроволновых систем съема аудиоинформации с окон и элементов интерьера. Модели 1а и 1м имеют два выхода с независимым программированием вида помехи (вибро- или аудио-) и регулировкой ее уровня. У всех моделей предусмотрен вход удаленного проводного управления.

Генератор шума ГШ-1000М

Пространственное зашумление.

Генераторы шума ГШ-1000М предназначены для маскировки информативных побочных электромагнитных излучений и наводок (ПЭМИН) персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума (ЭМПШ) в широком диапазоне частот.
Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещённой в помещении площадью порядка 40 кв. м.
При установке генератора ГШ-1000М допускается поворот плоскости излучающей антенны вокруг оси, проходящей через боковые стенки корпуса. При этом плоскость антенны можно поворачивать на ± 90 ° и фиксировать в этих пределах под любым углом [34].

Рисунок 3.19 - Генератор шума ГШ-1000М

Для защиты информации от утечки по побочным электромагнитным каналам на больших вычислительных центрах, в терминальных залах, мощных вычислительных комплексах рекомендуется использовать несколько комплектов ГШ-1000М, размещая их по периметру объекта. Максимальное расстояние между соседними генераторами должно быть не более 20 метров.
Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96. Изделие имеет сертификат ФСТЭК РФ.

Генератор шума ГШ-К-1000М

Генераторы шума ГШ-К-1000М предназначены для маскировки информативных побочных электромагнитных излучений и наводок (ПЭМИН) персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума (ЭМПШ) в широком диапазоне частот.
Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещённой в помещении площадью порядка 40 кв.м.

Рисунок 3.20 - Генератор шума ГШ-К-1000М

Плата генератора ГШ-К-1000М устанавливается в свободный слот шины PCI или ISA материнской платы персонального компьютера [34].
Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96.
Изделие имеет сертификат ФСТЭК РФ.

Устройство защиты цепей электросети и заземления SEL SP-44

Рисунок 3.21 - Устройство защиты цепей электросети и заземления SEL SP-44

Устройство защиты цепей электросети и заземления SEL SP-44 является техническим средством защиты информации, обрабатываемой на объектах вычислительной техники 1, 2 и 3 категории, от утeчки за счёт наводок по цепям электропитания и заземления путём постановки маскирующих помех в цепях электропитания и заземления в диапазоне частот 0,01 - 300 МГц и может устанавливаться в выделенных помещениях до 1 категории включительно без применения дополнительных мер защиты.

SEL SP-44 представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи [35].

Отличительные особенности:

Основные узлы прибора - формирователи шума, регуляторы уровня и выходные усилители - представляют собой полностью цифровые устройства. Это позволяет при сохранении высокого коэффициента качества шумового сигнала полностью исключить утечку информации за счет самовозбуждения, паразитной генерации и модуляции опасным речевым сигналом, а также за счет электрических сигналов, вызванных электроакустическими преобразованиями в элементах схемы, и их утечки по цепям питания.
Наличие независимых регуляторов уровня для низкочастотного и высокочастотного диапазонов позволяет оптимизировать спектр помехи по электромагнитной совместимости при сохранении достаточной эффективности маскировки.
Устройство имеет высший класс устойчивости к импульсным помехам и допускает длительную работу в условиях эквивалентного короткого замыкания. Применение ключевых выходных усилителей существенно повышает экономичность, надежность и стабильность параметров изделия, позволяет эксплуатировать его в более жестких климатических условиях.
Во время работы прибор постоянно осуществляет самотестирование, и в случае неисправности выдаёт звуковой и световой сигнал.

Управление включением помехи может осуществляться с панели управления или дистанционно.

К тому же иметься :

Сертификат соответствия ФСТЭК No 1445, действительный до 10.08.2013.

Санитарно-эпидемиологическое заключение.

Сертификат ГОСТ Р No РОСС RU.ME06.H00348.
Награды:

Диплом и медаль I степени XII Международного форума "Технологии безопасности-2007"

Диплом и медаль "Гарантия качества и безопасности" международного конкурса "Национальная безопасность"

3.3.3 Выбор программных средств защиты

Класс защищенности:

Согласно руководящему документу РД " Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации " АС относиться к первой группе и классу 1Г, необходимо повысить класс до 1В с помощью программного обеспечения Sercret Net 6.5.

МЭ согласно РД "Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " полностью соответствует нужному классу (3 класс).

СВТ на данный момент имеет 5 класс защищенности, для надёжной работы КСЗИ необходимо повысить до 2 класса. Для этого установим Secret Net 6.5.

АВС имеет класс А3, который соответствует необходимым требованиям.

В качестве дополнения к уже существующим средствам в мед. учреждении будет добавлено следующее программное обеспечение:

Secret Net 6.5

Secret Net позволяеет привести автоматизированную систему в соответствие требованиям регулирующих документов по защите конфиденциальной информации, персональных данных.

Рисунок 3.22 - ключевые возможности SecretNet

Варианты развертывания Secret Net:

Будет выбран автономный вариант - предназначенный для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Назначение СЗИ Secret Net
Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах.
СЗИ Secret Net предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях.

Данное программное обеспечение поможет разграничить необходимый требуемый доступ во внутренней локальной вычислительной сети мед. учреждения. Права доступа будут назначаться на уже имеющийся в компании файловый сервер.

Данное программное обеспечение необходимо установить на все персональные компьютеры находящиеся в мед. учреждении.

3.4 Введение в эксплуатацию системы защиты информации

Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.

По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.

К некоторым мероприятиям по организации контроля в этот период можно отнести [36]:

перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;
необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в целях выявления подозрительных участков и мест;
организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;
организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;
необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.

Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе [36].

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации .

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности) [36].

4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования

Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для мед. учреждении, воспользуемся известным методом CRAMM.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

Для оценки угроз выбраны следующие косвенные факторы:

Статистика по зарегистрированным инцидентам.
Тенденции в статистке по подобным нарушениям.
Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.
Моральные качества персонала.
Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
Наличие альтернативных способов доступа к информации.
Статистика по подобным нарушениям в других информационных системах организации.

Для оценки уязвимостей выбраны следующие косвенные факторы:

Количество рабочих мест (пользователей) в системе.
Размер рабочих групп.
Осведомленность руководства о действиях сотрудников (разные аспекты).
Характер используемого на рабочих местах оборудования и ПО.
Полномочия пользователей.
По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.

Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.
Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

Оценка уязвимости

Таблица 4 - Оценка уязвимостей

1.Сколько людей имеют право пользоваться информационной системой?
Варианты ответа		Количество баллов
a	От 1 до 10	0
b	От 11 до 50	4
c	От 51 до 200	10
d	От 200 до 1000	14
e	Свыше 1000	20
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
a	Да	0
b	Нет	10
3. Какие устройства и программы доступны пользователям?
a	Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных	5
b	Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы	0
c	Пользователи могут получить доступ к операционной системе, но не к компиляторам	5
d	Пользователи могут получить доступ к компиляторам	10
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
a	Да	10
b	Нет	0
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
a	Менее 10 человек	0
b	От 11 до 20 человек	5
c	Свыше 20 человек	10
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?

Продолжение Таблицы 3

a	Да	0
b	Нет	10
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
a	Официальное право предоставлено всем пользователям	2
b	Официальное право предоставлено только некоторым пользователям	0
8 .Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
a	Всем пользователям необходимо знать всю информацию	4
b	Отдельным пользователям необходимо знать лишь относящуюся к ним информацию	0

Таблица 5 - Степень уязвимости при количестве полученных баллов

Степень уязвимости при количестве баллов:
До 9	Низкая
От 10 до 19	Средняя
20 и более	Высокая

Таблица 6 - Полученные результаты (до разработки КСЗИ)

Варианты Ответов до разработки КСЗИ :
Номер вопроса	Вариант ответа	Кол-во Баллов
1	b	4
2	b	10
3	a	0
4	a	10
5	c	10
6	a	0
7	b	0
8	b	0
Сумма баллов		34

Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.

Таблица 7 - Полученные результаты (после разработки КСЗИ)

Варианты Ответов до разработки КСЗИ :
Номер вопроса	Вариант ответа	Кол-во Баллов
1
2
3
4
5
6
7
8
Сумма баллов

Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.

7 Безопасность жизнедеятельности

Безопасность жизнедеятельности (БЖД) - это комплекс мероприятий, направленных на обеспечение безопасности человека в среде обитания, сохранение его здоровья, разработку методов и средств защиты путем снижения влияния вредных и опасных факторов до допустимых значений, выработку мер по ограничению ущерба в ликвидации последствий чрезвычайных ситуаций мирного и военного времени.

Цель и содержание БЖД:

обнаружение и изучение факторов окружающей среды, отрицательно влияющих на здоровье человека;
ослабление действия этих факторов до безопасных пределов или исключение их если это возможно;
ликвидация последствий катастроф и стихийных бедствий.

Охрана здоровья трудящихся, обеспечение безопасности условий труда, ликвидация профессиональных заболеваний и производственного травматизма составляет одну из главных забот человеческого общества. Обращается внимание на необходимость широкого применения прогрессивных форм научной организации труда, сведения к минимуму ручного, малоквалифицированного труда, создания обстановки, исключающей профессиональные заболевания и производственный травматизм.

На рабочем месте должны быть предусмотрены меры защиты от возможного воздействия опасных и вредных факторов производства. Уровни этих факторов не должны превышать предельных значений, оговоренных правовыми, техническими и санитарно-техническими нормами. Эти нормативные документы обязывают к созданию на рабочем месте условий труда, при которых влияние опасных и вредных факторов на работающих либо устранено совсем, либо находится в допустимых пределах.

Данный раздел дипломного проекта посвящен рассмотрению следующих вопросов:

Расчет уровня шума.
Условия труда сотрудников медицинского учреждения
Требования к помещениям
Эргономические требования к рабочему месту
Режим труда
Расчет освещенности

7.1 Характеристика условий труда сотрудника мед. учренждения

Научно-технический прогресс внес серьезные изменения в условия производственной деятельности работников умственного труда. Их труд стал более интенсивным, напряженным, требующим значительных затрат умственной, эмоциональной и физической энергии. Это потребовало комплексного решения проблем эргономики, гигиены и организации труда, регламентации режимов труда и отдыха.

В настоящее время компьютерная техника широко применяется во всех областях деятельности человека. При работе с компьютером человек подвергается воздействию ряда опасных и вредных производственных факторов: электромагнитных полей (диапазон радиочастот: ВЧ, УВЧ и СВЧ), инфракрасного и ионизирующего излучений, шума и вибрации, статического электричества и др.

Работа с компьютером характеризуется значительным умственным напряжением и нервно-эмоциональной нагрузкой операторов, высокой напряженностью зрительной работы и достаточно большой нагрузкой на мышцы рук при работе с клавиатурой ЭВМ. Большое значение имеет рациональная конструкция и расположение элементов рабочего места, что важно для поддержания оптимальной рабочей позы человека-оператора.

В процессе работы с компьютером необходимо соблюдать правильный режим труда и отдыха. В противном случае у персонала отмечаются значительное напряжение зрительного аппарата с появлением жалоб на неудовлетворенность работой, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках.

7.2 Требования к помещениям

Окраска и коэффициенты отражения

Окраска помещений и мебели должна способствовать созданию благоприятных условий для зрительного восприятия, хорошего настроения.

Источники света, такие как светильники и окна, которые дают отражение от поверхности экрана, значительно ухудшают точность знаков и влекут за собой помехи физиологического характера, которые могут выразиться в значительном напряжении, особенно при продолжительной работе. Отражение, включая отражения от вторичных источников света, должно быть сведено к минимуму. Для защиты от избыточной яркости окон могут быть применены шторы и экраны.

В зависимости от ориентации окон рекомендуется следующая окраска стен и пола:

окна ориентированы на юг: - стены зеленовато-голубого или светло-голубого цвета; пол - зеленый;

окна ориентированы на север: - стены светло-оранжевого или оранжево-желтого цвета; пол - красновато-оранжевый;

окна ориентированы на восток: - стены желто-зеленого цвета;

пол зеленый или красновато-оранжевый;

окна ориентированы на запад: - стены желто-зеленого или голубовато-зеленого цвета; пол зеленый или красновато-оранжевый.

В помещениях, где находится компьютер, необходимо обеспечить следующие величины коэффициента отражения: для потолка: 60…70%, для стен: 40…50%, для пола: около 30%. Для других поверхностей и рабочей мебели: 30…40%.

Освещение

Правильно спроектированное и выполненное производственное освещение улучшает условия зрительной работы, снижает утомляемость, способствует повышению производительности труда, благотворно влияет на производственную среду, оказывая положительное психологическое воздействие на работающего, повышает безопасность труда и снижает травматизм.

Недостаточность освещения приводит к напряжению зрения, ослабляет внимание, приводит к наступлению преждевременной утомленности. Чрезмерно яркое освещение вызывает ослепление, раздражение и резь в глазах. Неправильное направление света на рабочем месте может создавать резкие тени, блики, дезориентировать работающего. Все эти причины могут привести к несчастному случаю или профзаболеваниям, поэтому столь важен правильный расчет освещенности.

Существует три вида освещения - естественное, искусственное и совмещенное (естественное и искусственное вместе) [14].

Естественное освещение - освещение помещений дневным светом, проникающим через световые проемы в наружных ограждающих конструкциях помещений. Естественное освещение характеризуется тем, что меняется в широких пределах в зависимости от времени дня, времени года, характера области и ряда других факторов.

Искусственное освещение применяется при работе в темное время суток и днем, когда не удается обеспечить нормированные значения коэффициента естественного освещения (пасмурная погода, короткий световой день). Освещение, при котором недостаточное по нормам естественное освещение дополняется искусственным, называется совмещенным освещением.

Искусственное освещение подразделяется на рабочее, аварийное, эвакуационное, охранное. Рабочее освещение, в свою очередь, может быть общим или комбинированным. Общее - освещение, при котором светильники размещаются в верхней зоне помещения равномерно или применительно к расположению оборудования. Комбинированное - освещение, при котором к общему добавляется местное освещение.

Согласно СНиП II-4-79 в помещений вычислительных центров необходимо применить систему комбинированного освещения.

При выполнении работ категории высокой зрительной точности (наименьший размер объекта различения 0,3…0,5мм) величина коэффициента естественного освещения (КЕО) должна быть не ниже 1,5%, а при зрительной работе средней точности (наименьший размер объекта различения 0,5…1,0 мм) КЕО должен быть не ниже 1,0%. В качестве источников искусственного освещения обычно используются люминесцентные лампы типа ЛБ или ДРЛ, которые попарно объединяются в светильники, которые должны располагаться над рабочими поверхностями равномерно.

Требования к освещенности в помещениях, где установлены компьютеры, следующие: при выполнении зрительных работ высокой точности общая освещенность должна составлять 300лк, а комбинированная - 750лк; аналогичные требования при выполнении работ средней точности - 200 и 300лк соответственно.

Кроме того все поле зрения должно быть освещено достаточно равномерно – это основное гигиеническое требование. Иными словами, степень освещения помещения и яркость экрана компьютера должны быть примерно одинаковыми, т.к. яркий свет в районе периферийного зрения значительно увеличивает напряженность глаз и, как следствие, приводит к их быстрой утомляемости.

Параметры микроклимата

Параметры микроклимата могут меняться в широких пределах, в то время как необходимым условием жизнедеятельности человека является поддержание постоянства температуры тела благодаря терморегуляции, т.е. способности организма регулировать отдачу тепла в окружающую среду. Принцип нормирования микроклимата – создание оптимальных условий для теплообмена тела человека с окружающей средой.

Вычислительная техника является источником существенных тепловыделений, что может привести к повышению температуры и снижению относительной влажности в помещении. В помещениях, где установлены компьютеры, должны соблюдаться определенные параметры микроклимата. В санитарных нормах СН-245-71 установлены величины параметров микроклимата, создающие комфортные условия. Эти нормы устанавливаются в зависимости от времени года, характера трудового процесса и характера производственного помещения (см. табл. 7.1) [12].

Объем помещений, в которых размещены сотрудники медицинского учреждения, не должен быть меньше 19,5м3/человека с учетом максимального числа одновременно работающих в смену. Нормы подачи свежего воздуха в помещения, где расположены компьютеры, приведены в табл. 7.2.

Таблица 14 Параметры микроклимата для помещений, где установлены компьютеры

Период года

Параметр микроклимата

Величина

Холодный

Температура воздуха в помещении

Относительная влажность

Скорость движения воздуха

22…24°С

40…60%

до 0,1м/с

Теплый

Температура воздуха в помещении Относительная влажность

Скорость движения воздуха

23…25°С

40…60%

0,1…0,2м/с

Таблица 15 Нормы подачи свежего воздуха в помещения, где расположены компьютеры

Характеристика помещения

Объемный расход подаваемого в помещение свежего воздуха, м3 /на одного человека в час

Объем до 20м3 на человека

20…40м3 на человека

Более 40м3 на человека

Не менее 30

Не менее 20

Естественная вентиляция

Для обеспечения комфортных условий используются как организационные методы (рациональная организация проведения работ в зависимости от времени года и суток, чередование труда и отдыха), так и технические средства (вентиляция, кондиционирование воздуха, отопительная система).

Шум и вибрация

Шум ухудшает условия труда оказывая вредное действие на организм человека. Работающие в условиях длительного шумового воздействия испытывают раздражительность, головные боли, головокружение, снижение памяти, повышенную утомляемость, понижение аппетита, боли в ушах и т. д. Такие нарушения в работе ряда органов и систем организма человека могут вызвать негативные изменения в эмоциональном состоянии человека вплоть до стрессовых. Под воздействием шума снижается концентрация внимания, нарушаются физиологические функции, появляется усталость в связи с повышенными энергетическими затратами и нервно-психическим напряжением, ухудшается речевая коммутация. Все это снижает работоспособность человека и его производительность, качество и безопасность труда. Длительное воздействие интенсивного шума [выше 80 дБ(А)] на слух человека приводит к его частичной или полной потере.

В табл. 7.3 указаны предельные уровни звука в зависимости от категории тяжести и напряженности труда, являющиеся безопасными в отношении сохранения здоровья и работоспособности.

Таблица 16 Предельные уровни звука, дБ, на рабочих местах.

Категория напряженности труда	Категория тяжести труда
Категория напряженности труда		I. Легкая	II. Средняя	III. Тяжелая	IV. Очень тяжелая
I. Мало напряженный	80	80	75	75
II. Умеренно напряженный	70	70	65	65
III. Напряженный	60	60	-	-
IV. Очень напряженный	50	50	-	-

Уровень шума на рабочем месте сотрудника медицинского учреждения не должен превышать 50дБА. Для снижения уровня шума стены и потолок помещений, где установлены компьютеры, могут быть облицованы звукопоглощающими материалами. Уровень вибрации в помещениях вычислительных центров может быть снижен путем установки оборудования на специальные виброизоляторы.

Электромагнитное и ионизирующее излучения

Большинство ученых считают, что как кратковременное, так и длительное воздействие всех видов излучения от экрана монитора не опасно для здоровья персонала, обслуживающего компьютеры. Однако исчерпывающих данных относительно опасности воздействия излучения от мониторов на работающих с компьютерами не существует и исследования в этом направлении продолжаются [12].

Допустимые значения параметров неионизирующих электромагнитных излучений от монитора компьютера представлены в табл. 7.4.

Максимальный уровень рентгеновского излучения на рабочем месте сотрудника обычно не превышает 10мкбэр/ч, а интенсивность ультрафиолетового и инфракрасного излучений от экрана монитора лежит в пределах 10…100мВт/м2.

Таблица 17 Допустимые значения параметров неионизирующих электромагнитных излучений (в соответствии с СанПиН 2.2.2.542-96)

Наименование параметра	Допустимые значения
Напряженность электрической составляющей электромагнитного поля на расстоянии 50см от поверхности видеомонитора	10В/м
Напряженность магнитной составляющей электромагнитного поля на расстоянии 50см от поверхности видеомонитора	0,3А/м
Напряженность электростатического поля не должна превышать: для взрослых пользователей для детей дошкольных учреждений и учащихся средних специальных и высших учебных заведений	20кВ/м 15кВ/м

Для снижения воздействия этих видов излучения рекомендуется применять мониторы с пониженным уровнем излучения (MPR-II, TCO-92, TCO-99), устанавливать защитные экраны, а также соблюдать регламентированные режимы труда и отдыха.

7.3 Эргономические требования к рабочему месту

Проектирование рабочих мест, относится к числу важнных проблем эргономического проектирования в области вычислительной техники.

Рабочее место и взаимное расположение всех его элементов должно соответствовать антропометрическим, физическим и психологическим требованиям. Большое значение имеет также характер работы. В частности, при организации рабочего места сотрудника учреждения должны быть соблюдены следующие основные условия: оптимальное размещение оборудования, входящего в состав рабочего места и достаточное рабочее пространство, позволяющее осуществлять все необходимые движения и перемещения.

Эргономическими аспектами проектирования рабочих мест, в частности, являются: высота рабочей поверхности, размеры пространства для ног, требования к расположению документов на рабочем месте (наличие и размеры подставки для документов, возможность различного размещения документов, расстояние от глаз пользователя до экрана, документа, клавиатуры и т.д.), характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость элементов рабочего места [16].

Главными элементами рабочего места сотрудника учреждения являются стол и кресло. Основным рабочим положением является положение сидя.

Рабочая поза сидя вызывает минимальное утомление сотрудника фирмы. Рациональная планировка рабочего места предусматривает четкий порядок и постоянство размещения предметов, средств труда и документации. То, что требуется для выполнения работ чаще, расположено в зоне легкой досягаемости рабочего пространства.

Моторное поле - пространство рабочего места, в котором могут осуществляться двигательные действия человека.

Максимальная зона досягаемости рук - это часть моторного поля рабочего места, ограниченного дугами, описываемыми максимально вытянутыми руками при движении их в плечевом суставе.

Оптимальная зона - часть моторного поля рабочего места, ограниченного дугами, описываемыми предплечьями при движении в локтевых суставах с опорой в точке локтя и с относительно неподвижным плечом.

Оптимальное размещение предметов труда и документации в зонах досягаемости:

ДИСПЛЕЙ размещается в зоне а (в центре);

СИСТЕМНЫЙ БЛОК размещается в предусмотренной нише стола;

КЛАВИАТУРА - в зоне г/д;

«МЫШЬ» - в зоне в справа;

СКАНЕР в зоне а/б (слева);

ПРИНТЕР находится в зоне а (справа);

ДОКУМЕНТАЦИЯ: необходимая при работе - в зоне легкой досягаемости ладони – в, а в выдвижных ящиках стола - литература, неиспользуемая постоянно.

На рис. 2.2 показан пример размещения основных и периферийных составляющих ПК на рабочем столе сотрудника фирмы.

1 – сканер, 2 – монитор, 3 – принтер, 4 – поверхность рабочего стола,

5 – клавиатура, 6 – манипулятор типа «мышь».

Для комфортной работы стол должен удовлетворять следующим условиям [16]:

высота стола должна быть выбрана с учетом возможности сидеть свободно, в удобной позе, при необходимости опираясь на подлокотники;
нижняя часть стола должна быть сконструирована так, чтобы программист мог удобно сидеть, не был вынужден поджимать ноги;
поверхность стола должна обладать свойствами, исключающими появление бликов в поле зрения сотрудника фирмы;
конструкция стола должна предусматривать наличие выдвижных ящиков (не менее 3 для хранения документации, листингов, канцелярских принадлежностей).
высота рабочей поверхности рекомендуется в пределах 680-760мм. Высота поверхности, на которую устанавливается клавиатура, должна быть около 650мм.

Большое значение придается характеристикам рабочего кресла. Так, рекомендуемая высота сиденья над уровнем пола находится в пределах 420-550мм. Поверхность сиденья мягкая, передний край закругленный, а угол наклона спинки - регулируемый.

Необходимо предусматривать при проектировании возможность различного размещения документов: сбоку от видеотерминала, между монитором и клавиатурой и т.п. Кроме того, в случаях, когда видеотерминал имеет низкое качество изображения, например заметны мелькания, расстояние от глаз до экрана делают больше (около 700мм), чем расстояние от глаза до документа (300-450мм). Вообще при высоком качестве изображения на видеотерминале расстояние от глаз пользователя до экрана, документа и клавиатуры может быть равным.

Положение экрана определяется:

расстоянием считывания (0,6…0,7м);
углом считывания, направлением взгляда на 20 ниже горизонтали к центру экрана, причем экран перпендикулярен этому направлению.

Должна также предусматриваться возможность регулирования экрана:

по высоте +3 см;
по наклону от -10 до +20 относительно вертикали;
в левом и правом направлениях.

Большое значение также придается правильной рабочей позе пользователя. При неудобной рабочей позе могут появиться боли в мышцах, суставах и сухожилиях. Требования к рабочей позе пользователя видеотерминала следующие:

голова не должна быть наклонена более чем на 20,
плечи должны быть расслаблены,
локти - под углом 80…100,
предплечья и кисти рук - в горизонтальном положении.

Причина неправильной позы пользователей обусловлена следующими факторами: нет хорошей подставки для документов, клавиатура находится слишком высоко, а документы - низко, некуда положить руки и кисти, недостаточно пространство для ног.

В целях преодоления указанных недостатков даются общие рекомендации: лучше передвижная клавиатура; должны быть предусмотрены специальные приспособления для регулирования высоты стола, клавиатуры и экрана, а также подставка для рук.

Существенное значение для производительной и качественной работы на компьютере имеют размеры знаков, плотность их размещения, контраст и соотношение яркостей символов и фона экрана. Если расстояние от глаз оператора до экрана дисплея составляет 60…80 см, то высота знака должна быть не менее 3мм, оптимальное соотношение ширины и высоты знака составляет 3:4, а расстояние между знаками – 15…20% их высоты. Соотношение яркости фона экрана и символов - от 1:2 до 1:15.

Во время пользования компьютером медики советуют устанавливать монитор на расстоянии 50-60 см от глаз. Специалисты также считают, что верхняя часть видеодисплея должна быть на уровне глаз или чуть ниже. Когда человек смотрит прямо перед собой, его глаза открываются шире, чем когда он смотрит вниз. За счет этого площадь обзора значительно увеличивается, вызывая обезвоживание глаз. К тому же если экран установлен высоко, а глаза широко открыты, нарушается функция моргания. Это значит, что глаза не закрываются полностью, не омываются слезной жидкостью, не получают достаточного увлажнения, что приводит к их быстрой утомляемости.

Создание благоприятных условий труда и правильное эстетическое оформление рабочих мест на производстве имеет большое значение как для облегчения труда, так и для повышения его привлекательности, положительно влияющей на производительность труда.

7.4 Режим труда

Как уже было неоднократно отмечено, при работе с персональным компьютером очень важную роль играет соблюдение правильного режима труда и отдыха. В противном случае у персонала отмечаются значительное напряжение зрительного аппарата с появлением жалоб на неудовлетворенность работой, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках.

В табл. 7.5 представлены сведения о регламентированных перерывах, которые необходимо делать при работе на компьютере, в зависимости от продолжительности рабочей смены, видов и категорий трудовой деятельности с ПЭВМ (в соответствии с СанПиН 2.2.2 542-96 «Гигиенические требования персональным электронно-вычислительным машинам и организации работ»).

Таблица 18 Время регламентированных перерывов при работе на компьютере

Категория работы с ВДТ или ПЭВМ	Уровень нагрузки за рабочую смену при видах работы с ВДТ			Суммарное время регла-ментированных перерывов, мин
Категория работы с ВДТ или ПЭВМ		Группа А, количество знаков	Группа Б, количество знаков	Группа В, часов	При 8-часовой смене	При 12-часовой смене
I	до 20000	до 15000	до 2,0	30	70
II	до 40000	до 30000	до 4,0	50	90
III	до 60000	до 40000	до 6,0	70	120

Примечание. Время перерывов дано при соблюдении указанных Санитарных правил и норм. При несоответствии фактических условий труда требованиям Санитарных правил и норм время регламентированных перерывов следует увеличить на 30%.

В соответствии со СанПиН 2.2.2 546-96 все виды трудовой деятельности, связанные с использованием компьютера, разделяются на три группы:

группа А: работа по считыванию информации с экрана ВДТ или ПЭВМ с предварительным запросом;

группа Б: работа по вводу информации;

группа В: творческая работа в режиме диалога с ЭВМ.

Эффективность перерывов повышается при сочетании с производственной гимнастикой или организации специального помещения для отдыха персонала с удобной мягкой мебелью, аквариумом, зеленой зоной и т.п.

7.5 Расчет освещенности

Расчет освещенности рабочего места сводится к выбору системы освещения, определению необходимого числа светильников, их типа и размещения. Исходя из этого, рассчитаем параметры искусственного освещения.

Обычно искусственное освещение выполняется посредством электрических источников света двух видов: ламп накаливания и люминесцентных ламп. Будем использовать люминесцентные лампы, которые по сравнению с лампами накаливания имеют ряд существенных преимуществ:

по спектральному составу света они близки к дневному, естественному свету;
обладают более высоким КПД (в 1,5-2 раза выше, чем КПД ламп накаливания);
обладают повышенной светоотдачей (в 3-4 раза выше, чем у ламп накаливания);
более длительный срок службы.

Расчет освещения производится для комнаты площадью 15м2 , ширина которой 5м, высота - 3 м. Воспользуемся методом светового потока [13].

Для определения количества светильников определим световой поток, падающий на поверхность по формуле:

, где

F - рассчитываемый световой поток, Лм;

Е - нормированная минимальная освещенность, Лк (определяется по таблице). Работу сотрудника фирмы, в соответствии с этой таблицей, можно отнести к разряду точных работ, следовательно, минимальная освещенность будет Е = 300Лк;

S - площадь освещаемого помещения (в нашем случае S = 15м2);

Z - отношение средней освещенности к минимальной (обычно принимается равным 1,1…1,2 , пусть Z = 1,1);

К - коэффициент запаса, учитывающий уменьшение светового потока лампы в результате загрязнения светильников в процессе эксплуатации (его значение зависит от типа помещения и характера проводимых в нем работ и в нашем случае К = 1,5);

n - коэффициент использования, (выражается отношением светового потока, падающего на расчетную поверхность, к суммарному потоку всех ламп и исчисляется в долях единицы; зависит от характеристик светильника, размеров помещения, окраски стен и потолка, характеризуемых коэффициентами отражения от стен (РС) и потолка (РП)), значение коэффициентов РС и РП были указаны выше: РС=40%, РП=60%. Значение n определим по таблице коэффициентов использования различных светильников. Для этого вычислим индекс помещения по формуле:

, где

S - площадь помещения, S = 15 м2;

h - расчетная высота подвеса, h = 2.92 м;

A - ширина помещения, А = 3 м;

В - длина помещения, В = 5 м.

Подставив значения получим:

Зная индекс помещения I, по таблице 7 [13] находим n = 0,22

Подставим все значения в формулу для определения светового потока F:

Для освещения выбираем люминесцентные лампы типа ЛБ40-1, световой поток которых F = 4320 Лк.

Рассчитаем необходимое количество ламп по формуле:

N - определяемое число ламп;

F - световой поток, F = 33750 Лм;

Fл- световой поток лампы, Fл = 4320 Лм.

При выборе осветительных приборов используем светильники типа ОД. Каждый светильник комплектуется двумя лампами.

7.6 Расчет уровня шума

Одним из неблагоприятных факторов производственной среды в мед. учреждении является высокий уровень шума, создаваемый печатными устройствами, оборудованием для кондиционирования воздуха, вентиляторами систем охлаждения в самих ЭВМ.

Для решения вопросов о необходимости и целесообразности снижения шума необходимо знать уровни шума на рабочем месте сотрудника.

Уровень шума, возникающий от нескольких некогерентных источников, работающих одновременно, подсчитывается на основании принципа энергетического суммирования излучений отдельных источников [13]:

где Li – уровень звукового давления i-го источника шума;

n – количество источников шума.

Полученные результаты расчета сравнивается с допустимым значением уровня шума для данного рабочего места. Если результаты расчета выше допустимого значения уровня шума, то необходимы специальные меры по снижению шума. К ним относятся: облицовка стен и потолка зала звукопоглощающими материалами, снижение шума в источнике, правильная планировка оборудования и рациональная организация рабочего места сотрудника мед. учреждения.

Уровни звукового давления источников шума, действующих на сотрудника, на его рабочем месте представлены в табл. 3.

Таблица19 Уровни звукового давления различных источников.

Источник шума	Уровень шума, дБ
Жесткий диск	40
Вентилятор	45
Монитор	17
Клавиатура	10
Принтер	45

Обычно рабочее место сотрудника оснащено следующим оборудованием: винчестер в системном блоке, вентилятор(ы) систем охлаждения ПК, монитор, клавиатура и принтер.

Подставив значения уровня звукового давления для каждого вида оборудования в формулу , получим:

L∑=10·lg(104+104,5+101,7+101+104,5)=48,65 дБ

Полученное значение не превышает допустимый уровень шума для рабочего места сотрудника медицинского учреждения, равный 65 дБ (ГОСТ 12.1.003-83). И если учесть, что вряд ли такие периферийные устройства как сканер и принтер будут использоваться одновременно, то эта цифра будет еще ниже. Кроме того при работе принтера непосредственное присутствие сотрудника мед. учреждения необязательно, т.к. принтер снабжен механизмом автоподачи листов.

Вывод: При соблюдении всех выше изложенных условий обеспечит сотрудникам мед. учреждения комфортное состояние среды жизнедеятельности. Избавит их от профессиональных заболеваний и производственного травматизма. После анализа и проведенных расчетов можно сказать что воздействия опасных и вредных факторов производства не превышают предельных допустимых значений.

Классификация угроз

По объектам

Персонал

Материальные ценности

Финансовые ценности

По ущербу

Материальный

Моральный

По величине ущерба

Предельный (полное разорение);

Значительный (некоторая валового дохода);

Незначительный (потеря прибыли).

о отношению к объекту

Внутренние;

Внешние.

По вероятности возникновения

Весьма вероятные;

Вероятные;

Маловероятные.

По характеру воздействия

Активные;

Пассивные.

По причине проявления Стихийные;

Преднамеренные.

Внешние угрозы

Внутренние угрозы

Злоумышленники,

Случайные нарушители.

Персонал,

Лица, имеющие доступ.

Угрозы

Рисунок 6.1 Зоны досягаемости рук в горизонтальной плоскости.

а - зона максимальной досягаемости;

б - зона досягаемости пальцев при вытянутой руке;

в - зона легкой досягаемости ладони;

г - оптимальное пространство для грубой ручной работы;

д - оптимальное пространство для тонкой ручной работы.

Рисунок 2.2 Размещение основных и периферийных составляющих ПК.