43642
Разработка и внедрение комплексной системы защиты информации в медицинское учреждение
Дипломная
Информатика, кибернетика и программирование
Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
Русский
2014-11-13
891 KB
178 чел.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
Разработка и внедрение комплексной системы защиты информации в медицинское учреждение
Введение
Комплексная система защиты информации (КСЗИ) - совокупность нормативно-правовых, организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
КСЗИ разрабатывается для медицинского учреждения. Основная деятельность которой заключается в лечении и обследовании пациентов, а так же содержание в период лечения.
Основание для разработки
Основанием послужила не эффективность существующей зашиты информации, в результате которой могут произойти утечки конфиденциальной информации.
Назначение разработки
Обеспечить необходимый уровень защиты информации для медицинского учреждения. А точнее предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Сохранение, конфиденциальности документированной информации в соответствии с законодательством.
Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами. Введение строгого учета конфиденциальной документации. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.
Требования к КСЗИ
В требования входит:
Стадии и этапы разработки
Первая стадия доработка и создание нормативно-правовых документов. Туда входят специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.
Во вторую стадию входит организационная защита. Организационная защита регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.
В третью стадию входит подбор инженерно-технических решений. Инженерно-техническая защита использование различных технических средств для обеспечения защиты конфиденциальной информации.
РЕФЕРАТ
Дипломная работа содержит пояснительную записку на 162 листах, 33 Рисунка, 19 таблиц, 00 источников и графическую часть из 6 чертежей.
Ключевые слова КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, СИСТЕМА БЕЗОПАСНОСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕДИЦИНСКОЕ УЧРЕЖДЕНИЕ.
Целью данной работы является разработка и внедрение комплексной системы защиты информации в медицинское учреждение.
В ходе работы был проведен анализ защиты медицинского учреждения, выявлены различные недостатки и преимущества их защиты. Так же была улучшена сама работа системы обработки информации в учреждении. Был сделан вывод о необходимости реализации и внедрения комплексной системе защиты информации в конкретное медицинское учреждение, а также рассчитана эффективность внедрения данной системы.
СОДЕРЖАНИЕ
Разработка и внедрение комплексной системы защиты информации в медицинское учреждение
ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АС - автоматизированная система.
ЛПУ лечебное профилактическое учреждение.
БД - база данных.
МСЭ - межсетевой экран.
ОС - операционная система.
ПО - программное обеспечение.
СБ - система безопасности.
СОА - система обнаружения атак.
ПС - пожарная сигнализация
ППКОП - прибор приёмно-контрольного охрано-пожарного пункта
ОПС - охрано-пожарная сигнализация
ОТС - охрано-тревожная сигнализация
ИСБ - интегрированная система безопасности
ЛВС - локально вычислительная сеть
СИРД - средства изготовления и размножения документов
ОТСС - основные технические средства и системы
ВТСС - вспомогательные технические средства и системы
ТСОИ - технические средства обработки информации
ФСТЭК - федеральная служба по техническому и экспортному контролю
РД - руководящий документ
СлЗИ - служба защиты информации
ПЭВМ - персональная электронная вычислительная машина
ЛПУ - Лечебно-Профилактическое Учреждение
ЗАО - закрытое акционерное общество
ЭВМ - электронная вычислительная машина
КПП - контрольно-пропускной пункт
ЧОП -частное охранное предприятие
АРМ - автоматизированное рабочее место
СНиП - строительные нормы и правила
КЗ - контролируемая зона
КСЗИ - комплексная система защиты информации
СОТ - система охранного телевидения
ТК - телевизионная камера
СВМ - специальные видеомагнитофоны
АСПИ - автоматизированная система передачи извещений
РСПИ -радиосистемы передачи извещений
ППК - приёмно-контрольный прибор
ТС -тревожная сигнализация
ПУО -пульт центральной охраны
СПИ -система передачи извещений
СОУЭ -система оповещения и управления эвакуацией
УК -уголовный кодекс
ФЗ -федеральный закон
ВВЕДЕНИЕ
Отправной точкой при разработке комплексной системы защиты информации медицинского учреждения, является ясное понимание роли и места системы защиты информации в деятельности медицинского учреждения и в сфере обеспечения безопасности в целом.
В медицинском учреждении используются большой объем информации.
Задействованы такие виды информации как персональные данные пациентов и сотрудников. Эта информация классифицируется как специальная категория персональных данных, и защищена законом №152.
Безопасность медицинского учреждения представляет собой своеобразную многоуровневую систему барьеров, включающих в себя такие меры, как установка различных типов сигнализации, организация наблюдения и другие охранные процедуры. Кроме того, нельзя забывать, что при построении систем безопасности не должно оставаться «тонких» мест, и все компоненты системы должны быть сбалансированы, взаимосвязаны и согласованы.
Ни одна современная система сигнализации, ни сверхчувствительные датчики не являются эффективными, если будет место человеческому фактору - не дисциплинированность, неумение, безответственность сотрудников мед. учреждении. Можно утверждать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Но современная интеллектуальная система безопасности должна сводить это влияние к минимуму. Чем меньше возможность человека влиять на систему, тем ниже рилпу ошибок в безопасности информации.
С каждым годом технические возможности злоумышленников расширяются. Соответственно, системы безопасности должны всегда быть в развитии на шаг вперед. Следовательно, необходимо стремиться сразу, строить такую систему безопасности, которая со временем не устареет, и с возможностью при необходимости её модернизировать, «нарастить» до более совершенного уровня.
Комплексная система защиты информации строиться на таких составляющих как организационная, правовая, инженерно-техническая защита.
Система так-же должна сохранять целостность данных даже при форс мажорных обстоятельствах, включая природные катаклизмы, пожары, саботаж, прочие действия потенциальных злоумышленников и другие факторы, так или иначе нарушающие работу системы.
Целью данного дипломного проекта является создание комплексной системы защиты информации, которая будет решать все выше перечисленные задачи по защите информации.
1 Анализ проблемы и методов ее решения
1.1. Общие сведения о защищаемом объекте
Полное официальное наименование учреждения - БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ ОМСКОЙ ОБЛАСТИ "ГОРОДСКАЯ БОЛЬНИЦА № 6". Сокращенное наименование БУЗОО МУЗ ГБ№6.
Зарегистрировано 28 июня 1976 года в Администрации г. Омска.
МУЗ ГБ№6 является бюджетным учреждением. Основной целью создания и деятельности является осуществления мероприятий по оказанию первой помощи населению а так же оказание медико-санитарной, врачебной и доврачебной помощи. Имеет лицензию на оказание многих видов врачебных услуг.
Осуществляется следующие виды врачебных услуг:
акушерское дело, акушерство и гинекология (за искл. использования вспомогательных репродуктивных технологий), вакцинация (проведение профилактических прививок), гастроэнтерология, детская хирургия, детская урология-андрология, детская эндокринология, диетология, инфекционные болезни, клиническая лабораторная диагностика, медицинская реабилитация, неотложная медицинская помощь, неврология, лечебная физкультура и спортивная медицина, лечебная физкультура, медицинский массаж, лабораторная диагностика, онкология, оториноларингология (за искл. кохлеарной имплантации), офтальмология, общая практика, педиатрия, травматология и ортопедия, сестринское дело, сестринское дело в педиатрии, стоматология ортопедическая, стоматология детская, стоматология терапевтическая, стоматология хирургическая, трансфузиология, рентгенология, рефлексотерапия, ультразвуковая диагностика, урология, физиотерапия, функциональная диагностика, хирургия, эндокринология, эндоскопия.
1.2 Описание защищаемого объекта информатизации
В качестве изучаемого объекта была взята МУЗ ГБ№6. Тип деятельности: осуществление специализированной медицинской помощи по: контролю качества медицинской помощи; стоматологии; терапевтической; ортопедической; хирургической; ортодонтии; экспертизе временной нетрудоспособности, а так же плановые осмотры для предприятий на прилегающей территории.
Специфика организации работы.
Режим работы объекта. Рабочее время: 8:00 18:00. Без перерыва на обед. Рабочие дни: понедельник пятница. Выходные: суббота, воскресенье. Работа по праздникам, возможны сокращенные рабочие дни.
Режим доступа на организацию свободный, в рабочие дни. Имеется КПП для машин, охранные пункты для пешеходов отсутствуют. Доступ к оборудованию имеет только специализированный персонал, за каждым закреплено свое рабочее место.
Состав сотрудников и посетителей.
Количество сотрудников 72 человека. Штат: 30 врачей, 5 операторы ПК, 3 бухгалтерия, 5 экономисты, 30 санитары, 2 охранника, 2 плотника.
Количество посетителей до 1000 человек в день, стихийно.
Объект зашиты БУЗОО МУЗ ГБ№6 относится к классу 1.
По всему зданию есть персональные компьютеры, соединенные между собой в одну корпоративную сеть.
В учреждении имеется сервер который выполняет функцию файлового сервера, сервера БД и дает право на доступ в интернет. Здание окружено лесом и жилыми домами. С восточной стороны расположена дорога, за которой находится жилое здание. С западной стороны находится жилой район, который заполнен частными домами.
Площадь здания 1500 м2. Высота потолков 3 м. Объект защиты расположен сам по себе и имеет один этаж. Стены объекта выполнены из бетона, толщина 60см., внутренние стены выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются металлическими. Размер проёмов дверей колеблется от 70-90 см. Двери в кабинетах одностворчатые, тип лёгкие, деревянные.
Вход на объект расположен с южной стороны. Охрана объекта осуществляется круглосуточно.
Ключи находятся в регистратуре, под постоянным наблюдением. Возможность доступа к месту хранения ключей посторонних лиц исключается.
Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, а так же непосредственно в стенах. Система гарантированного электропитания на объекте отсутствует.
В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией.
Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На окнах установлены решетки. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям. На окнах имеются жалюзи, шторы. Размер проемов 150 на 150 см. Количество проёмов 21 штука.
В коридоре и кабинетах на высоте 2,2м. 2,4м. смонтированы кабель каналы, с кабелем UTP-8.
В отделах присутствуют: ПЭВМ в полной конфигурации - 50 шт, телефоны-32, сканеры-4, принтеры-20, ксерокс.
Телефонных аппаратов 18 штук. Тип розеток евророзетка. Тип проводки двухпроводная.
Система электропитания : сеть 220 В\ 50 Гц. Светильники в мед. учреждении используются потолочные. Система заземления имеется.
Планы этажа показан в приложении Б.
1.4 Объекты и предметы защиты в медицинском учреждении
Основными объектами защиты в медицинском учреждении являются:
персонал (так как эти лица допущены к работе с охраняемой законом информацией (медицинская тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).
объекты информатизации средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с пациентами;
Медицинская тайна (сведения о пациентах, состоянии их здоровья, результатах исследований);
Персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).
документированная информация, регламентирующая статус учреждения, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)
материальные носители охраняемой законом информации (личные дела работников, личные дела пациентов, электронные базы данных работников и пациентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)
средства защиты информации (Интернет-шлюз, , система сигнализации и др.)
технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших пациентов)
Предметом защиты информации в мед. учреждении являются носители информации, на которых зафиксированы, отображены защищаемые сведения:
- Личные дела пациентов в бумажном и электронном (база данных пациентов) виде;
- Личные дела работников в бумажном и электронном виде;
- Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, в бумажном и электронном виде.
Документы, которые имеют конфиденциальный характер и требующие зашиты:
Выписки рецептов
Документы о направлении на исследования
Результаты анализов
Документы об уплате стоимости услуг
Медицинские карточки пациентов
Внутренние приказы и распоряжения
Материалы кадрового делопроизводства
Персональные данные сотрудников
Должностные инструкции по отдельным подразделениям
Программный код, разработанный в компании
Проектные данные (схемы, чертежи, расчеты, планы работ)
Схемы информационных потоков и коммуникаций
Архитектура информационной системы
Активационные коды на лицензионное ПО
Приказ о категорировании и классификации объектов вычислительной техники
Приказ о вводе в эксплуатацию ПЭВМ
Приказ о введении режима коммерческой тайны на предприятии
Положение об отделе администрирования и технического сопровождения информационных систем
Положение о группе инженерно-технической защиты информации
Положение об охранно-пропускном режиме предприятия
Положение о структуре службы безопасности
Положение об отделе защиты информации
Положение о компьютерной сети поликлиники
Положение о системном администрировании компьютерной сети поликлиники
Должностные инструкции сотрудников предприятия
Трудовые договоры сотрудников, работающих с конфиденциальной информацией
Список постоянных пользователей определенного ПЭВМ, допущенных в помещение, и установленные им права доступа к информации и техническим ресурсам ПЭВМ
Перечень сотрудников учреждения, имеющих доступ у средствам автоматизированной системы (АС) и к обрабатываемой на них информации
Бюджет поликлиники
Договоры предоставления услуг
Договоры, заключенные с поставщиками оборудования
Договоры, заключенные с пациентами
В списке помещений, подлежащих оснащению системой противодействия экономическому шпионажу следует отнести:
Кабинет главного врача;
Лаборатория;
Бухгалтерия;
Серверная;
1.5 Угрозы защищаемой информации
Схема 1 - Угрозы защищаемой информации в медицинском учреждении
Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
К источникам дестабилизирующего воздействия на информацию относятся:
Схема 2 - Источники дестабилизирующего воздействия на защищаемую информацию
Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди. К ним относятся:
Эти категории людей подразделяются на две группы:
Самым многообразным этот источник является потому, что ему, по сравнению с другими источниками, присуще значительно большее количество видов и способов дестабилизирующего воздействия на информацию [2].
Самым опасным этот источник является потому, что он самый массовый; воздействие с его стороны носит регулярный характер; его воздействие может быть не только непреднамеренным но и преднамеренным и оказываемое им воздействие может привести ко всем формам проявления уязвимости информации (со стороны остальных источников к отдельным формам).
Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям.
Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:
1.Непосредственное воздействие на носители защищаемой информации.
2.Несанкционированное распространение конфиденциальной информации.
3.Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.
4.Нарушение режима работы перечисленных средств и технологии обработки информации.
5.Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.
Способами непосредственного воздействия на носители защищаемой информации могут быть:
физическое разрушение носителя (поломка, разрыв и др.);
создание аварийных ситуаций для носителей (поджог, искусственное затопление, взрыв и т.д.);
удаление информации с носителей (замазывание, стирание, обесцвечивание и др.);
создание искусственных магнитных полей для размагничивания носителей;
внесение фальсифицированной информации в носители;
непреднамеренное оставление их в неохраняемой зоне, чаще всего в общественном транспорте, магазине, на рынке, что приводит к потере носителей.
Несанкционированное распространение конфиденциальной информации может осуществляться путем:
передачи копий (снимков) носителей информации;
показа носителей информации;
ввода информации в вычислительные сети;
опубликования информации в открытой печати;
использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;
потеря носителей информации.
К способам вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования, приводящим к уничтожению, искажению и блокированию, можно отнести:
неправильный монтаж средств;
поломку (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей;
создание аварийных ситуаций для технических средств (поджог, искусственное затопление, взрыв и др.);
отключение средств от сетей питания;
вывод из строя или нарушение режима работы систем обеспечения функционирования средств;
вмонтирование в электросну вычислительную машину (ЭВМ) разрушающих радио- и программных закладок;
нарушение правил эксплуатации систем.
Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:
повреждение отдельных элементов средств;
нарушение правил эксплуатации средств;
внесение изменений в порядок обработки информации;
- заражение программ обработки информации вредоносными программами;
выдача неправильных программных команд;
превышение расчетного числа запросов;
создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;
- передача ложных сигналов подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;
нарушение (изменение) режима работы систем обеспечения функционирования средств.
К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. Это приводит к уничтожению, искажению, блокированию, разглашению (соединение с номером телефона не того абонента, который набирается, или слышимость разговора других лиц из-за неисправности в цепях коммутации телефонной станции). Электромагнитные излучения, в том числе побочные, образующиеся в процессе эксплуатации средств, приводят к хищению информации.
К стихийным бедствиям и одновременно видам воздействия следует отнести землетрясение, наводнение, ураган (смерч) и шторм. К атмосферным явлениям (видам воздействия) относят грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури. Они приводят к потере, уничтожению, искажению, блокированию и хищению.
Способами воздействия со стороны и стихийных бедствий и атмосферных явлений могут быть:
- разрушение (поломка);
- затопление;
- сожжение носителей информации, средств отображения, хранения, обработки, воспроизведения, передачи информации и кабельных средств связи, систем обеспечения функционирования этих средств;
- нарушение режима работы средств и систем, а также технологии обработки информации [2].
1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:
Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:
неквалифицированное выполнение операций;
халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;
небрежность, неосторожность, неаккуратность;
- физическое недомогание (болезни, переутомление, стресс, апатия).
Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования могут быть:
- недостаток или плохое качество средств;
В основе дестабилизирующего воздействия на информацию со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, а, следовательно, и не поддающиеся нейтрализации или устранению.
1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
К числу наиболее вероятных каналов утечки информации можно отнести:
При поликлиники защиты информации в медицинском учреждении необходимо учитывать следующие возможные методы и способы сбора информации:
Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий. Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран нарушители могут прибегнуть в том числе и к противоправным действиям, шпионажу.
Наиболее вероятно использование следующих способов добывания информации:
Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы
Таблица 1 - Классификация возможных каналов утечки информации
Каналы утечки информации с объекта защиты |
|||
1 |
Оптический канал |
Окно помещения |
|
2 |
Радиоэлектронный канал |
ПЭВМ |
|
СИРД |
|||
Телефон |
|||
ВТСС |
|||
ОТСС |
|||
Система ОПС |
|||
Система энергоснабжения и розетки |
|||
3 |
Акустический канал |
Теплопровод подземный |
|
Водопровод подземный |
|||
Стены помещения |
|||
Система центрального отопления |
|||
Вентиляция |
|||
4 |
Материально-вещественный канал |
Документы на бумажных носителях |
|
Персонал предприятия |
|||
Твердотельные накопители |
Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации в БУЗОО МУЗГБ №6.
1.9. Вероятная модель злоумышленника
Медицинское учреждение работает с пациентами которые предоставляют всю необходимую информацию, в результате обладая этой информацией ЛПУ обязано не допустить попадания её к третьим лицам. Утечка информации из нашего учреждения может нанести серьезный урон не только самой себе, но прежде всего пациентам.
Потенциальными злоумышленниками могут быть, недобросовестные пациенты, и сотрудники фирмы, а так же сторонние лица заинтересованные в получении конфиденциальной информации.
Если угроза исходит от лиц, не являющиеся сотрудниками медицинского учреждения, то возможность проникновения в выделенное помещение в нерабочее время исключается, во-первых, выделенное помещение оборудовано сигнализацией, а так же заперто на хорошую железную дверь, ключ к которой находится под пристальным наблюдением охраны. Дверь постоянно запирается, если выделенное помещение пустует.
Для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему поликлиники изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, возможен так же случай запугивания сотрудников.
Для исключения возможности несанкционированного доступа к данным сотрудниками поликлиники в выделенное помещение допускается только системный администратор. Так же могут допускаться лица, обслуживающие оборудование от других организаций, но только в присутствии администратора.
Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники учреждения, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.
1.10 Фактическая защищенность медицинского учреждения
В медицинском учреждении БУЗОО МУЗГБ №6 на данный момент реализованы следующие мероприятия:
Организационные мероприятия:
Правовые мероприятия:
Инженерно-технические меры:
Программно-аппаратные меры:
1. На автоматизированном рабочем месте (АРМ) сотрудников установлены операционная система - MS Windows XP, офисное приложение MS Office 2003, антивирусное программное обеспечение Dr. Web 6.0.
2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.
3. Пакет Microsoft Office; Интернет-шлюз UserGate.
4. В поликлинике установлено 65 персональных компьютеров, 5 принтеров, 3 ксерокса, 4 сканера.
5. Установлен сервер на основе OS Server 2003.
5. Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз UserGate на платформе Windows.
Инженерно-техническая укрепленность объекта защиты
В соответствии с руководящий документ (РД) 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.
В защищаемом помещении конфиденциальная информация обрабатывается на ПЭВМ, а также хранится в сейфе на материальном носителе (бумаге). Отсюда следует, что помещение должно иметь 2 категорию защищенности:
К таким помещениям на объекте защиты относится, отдел юридический, кабинет главного врача, лаборатория, кабинет старшей медсестры.
В соответствии с требованиями РД 78.36.003-2002 объект защиты соответствует классу Б II. Согласно этому строительные конструкции объекта должны соответствовать первому классу защищенности, то есть кирпичные перегородки должны быть толщиной 138 мм по строительным нормам и правилам (СНиП) III-17-78, а железобетонные конструкции толщиной 160 мм по ГОСТ 9561-91. Как уже указывалось выше, толщина кирпичной кладки внутри объекта защиты составляет 1 кирпич, что равно 250мм, а железобетонные блоки имеют ширину 200 мм. То есть строительные конструкции удовлетворяют первому классу защищенности.
Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р 51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.
Оконные конструкции так же удовлетворяют требованиям класса Б II.
Основная проблема предприятия:
1.11 Прошлые случаи кражи в СК
Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.
1. 12. Недостатки в защите медицинского учреждения
Внешние недостатки:
Внутренние недостатки:
Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации. Нет никакой работающей системы аутентификации и идентификации. Все пароли одинаковые, двери кабинетов оставляются открытыми. Панибратство и многочисленные знакомства, не ведут ни к чему хорошему. В случае съема информации посредством АРМ, невозможно вовремя детектировать и устранить канал.
Полное отсутствие разграничения доступа, а так же отсутствие привязки по физическому адресу для любого ПК, дают возможность подключения к сети в любом удобном месте, без особых проблем.
1.13 Финансовые возможности медицинского учреждения
В связи с выходом законов и стремительном развитии нормативно правовых актов в сфере защиты информации, муниципальные учреждения финансируются, для создания КСЗИ с соблюдением всех норм и правил, установленных на территории РФ. Для улучшения этой КСЗИ, финансирование будет идти из своего бюджета, по этому:
1.14 Этапы построения КСЗИ для мед. учреждения
Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:
Планируемые мероприятия должны:
Правовая защита специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия.
Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.
Кроме того, нарушения режима секретности, правил сохранения тайны, не являющиеся преступлением, могут повлечь ответственность материального, дисциплинарного или административного характера в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами, или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.
Организационная защита регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба.
Организационную защиту обеспечивает:
Организационные меры по защите информации предусматривают, прежде всего, подбор и расстановку кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации.
Инженерно-техническая защита использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:
1.15 Требования руководящих документов к системе безопасности объекта
1.15.1 Требования руководящих документов к системам видеонаблюдения
Одним из основных руководящих документов включающих требования к системам видеонаблюдения является РД 78.36.003-2002. Этот документ включает требования изданных ранее изданных руководящих документов. Рассмотрим основные его положения, касающиеся систем видеонаблюдения.
Согласно РД 78.36.003-2002 системы охранного телевидения (СОТ) должны обеспечивать передачу визуальной информации о состоянии охраняемых зон, помещений, периметра и территории объекта в помещение охраны. Применение охранного телевидения позволяет в случае получения извещения о тревоге определить характер нарушения, место нарушения, направление движения нарушителя и определить оптимальные меры противодействия. Кроме того, система охранного телевидения позволяет проводить наблюдение охраняемых зон объекта.
В состав СОТ, согласно ГОСТ Р 51558-2000 входят:
Обязательные устройства для всех СОТ:
Дополнительные устройства для конкретных СОТ:
На объекте ТК следует оборудовать:
Р 78 36.008-99 определяет общие требования с системам видеонаблюдения:
1. Условия эксплуатации:
2. Безопасность:
3. Надежность:
4. Продолжительность работы:
5. Электропитание:
6. Техническое обслуживание и ремонт:
7. Возможности расширения системы охранного телевидения:
8. Состав документации:
Учет требований и рекомендаций руководящих документов позволит создать надежную систему видеонаблюдения.
1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
РД 78.36.003-2002 предусматривает требования к системам охранной сигнализации.
Защита периметра территории и открытых площадок.
Технические средства охранной сигнализации периметра должны выбираться в зависимости от вида предполагаемой угрозы объекту, помеховой обстановки, рельефа местности, протяженности и технической укрепленности периметра, типа ограждения, наличия дорог вдоль периметра, зоны отторжения, ее ширины.
Охранная сигнализация периметра объекта проектируется, как правило, однорубежной.
Для усиления охраны, определения направления движения нарушителя, блокировки уязвимых мест следует применять многорубежную охрану.
Технические средства охранной сигнализации периметра могут размещаться на ограждении, зданиях, строениях, сооружениях или в зоне отторжения. Охранные извещатели должны устанавливаться на стенах, специальных столбах или стойках, обеспечивающих отсутствие колебаний, вибраций.
В качестве пультов внутренней охраны могут использоваться ППК средней и большой емкости (концентраторы), СПИ, автоматизированные системы передачи извещений (АСПИ) и радиосистемы передачи извещений (РСПИ). Пульты внутренней охраны могут работать как при непосредственном круглосуточном дежурстве персонала на них, так и автономно в режиме "Самоохраны".
Установка охранных извещателей по верху ограждения должна производиться только в случае, если ограждение имеет высоту не менее 2 м.
На КПП, в помещении охраны следует устанавливать технические устройства графического отображения охраняемого периметра (компьютер, световое табло с мнемосхемой охраняемого периметра и другие устройства).
Все оборудование, входящее в систему охранной сигнализации периметра должно иметь защиту от вскрытия.
Открытые площадки с материальными ценностями на территории объекта должны иметь предупредительное ограждение и оборудоваться объемными, поверхностными или линейными извещателями различного принципа действия.
Защита здания, помещений, отдельных предметов.
Техническими средствами охранной сигнализации должны оборудоваться все помещения с постоянным или временным хранением материальных ценностей, а также все уязвимые места здания (окна, двери, люки, вентиляционные шахты, короба и т. п.), через которые возможно несанкционированное проникновение в помещения объекта.
Объекты подгрупп AI, AII и БII оборудуются многорубежной системой охранной сигнализации, объекты подгруппы БI - однорубежной.
Первым рубежом охранной сигнализации, в зависимости от вида предполагаемых угроз объекту, блокируют:
Защита персонала и посетителей объекта.
Для оперативной передачи сообщений на пульт центральной охраны (ПЦО) и/или в дежурную часть органов внутренних дел о противоправных действиях в отношении персонала или посетителей (например, разбойных нападениях, хулиганских действиях, угрозах) объект должен оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками, радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и другими устройствами.
Система тревожной сигнализации организуется "без права отключения".
Устройства ТС на объекте должны устанавливаться:
Ручные и ножные устройства ТС должны размещаться в местах, по возможности незаметных для посетителей. Руководители, ответственные лица, собственники объекта совместно с представителем подразделения вневедомственной охраны определяют места скрытой установки кнопок или педалей тревожной сигнализации на рабочих местах сотрудников.
Руководство объекта, сотрудников службы безопасности и охраны следует оснащать мобильными устройствами ТС, работающими по радиоканалу (радиокнопками или радиобрелоками).
Места хранения денежных средств, драгоценных металлов, камней и изделий из них (столы операционно-кассовых работников, металлические шкафы или сейфы, кассовые аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть оборудованы специальными техническими средствами (ловушками), формирующими сигналы тревоги без участия персонала при попытках нарушителя завладеть ценностями. Указанные технические средства должны включаться в шлейфы тревожной сигнализации объекта.
Организация передачи информации о срабатывании сигнализации.
Передача извещений о срабатывании охранной сигнализации с объекта на ПЦО может осуществляться с ППК малой емкости, внутреннего пульта охраны или устройств оконечных система передачи извещений (СПИ).
Количество рубежей охранной сигнализации, выводимых на ПЦО отдельными номерами, определяется совместным решением руководства объекта и подразделения вневедомственной охраны исходя из категории объекта, анализа риска и потенциальных угроз объекту, возможностей интеграции и документирования ППК (внутренним пультом охраны или устройством оконечным) поступающей информации, а также порядком организации дежурства персонала охраны на объекте.
Минимально необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего охраняемого объекта должно быть, для подгруппы.
БI - один объединенный рубеж (первый - периметр);
AI, БII - два объединенных рубежа (первый - периметр и второй - объем).
Кроме того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые, оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.
При наличии на объекте пульта внутреннего охраны с круглосуточным дежурством собственной службы безопасности или частного охранного учреждения, на ПЦО выводятся:
При этом должна быть обеспечена регистрация всей поступающей информации каждого рубежа охраны помещений на внутреннем пульте охраны.
С охраняемых объектов "автодозвон" должен осуществляться по двум и более телефонным номерам.
Для исключения доступа посторонних лиц к извещателям, ППК, разветвительным коробкам, другой установленной на объекте аппаратуры охраны должны приниматься меры по их маскировке и скрытой установке. Крышки клеммных колодок данных устройств должны быть опломбированы (опечатаны) электромонтером ОПС или инженерно-техническим работником подразделения вневедомственной охраны с указанием фамилии и даты в технической документации объекта.
Распределительные шкафы, предназначенные для кроссировки шлейфов сигнализации, должны закрываться на замок, быть опломбированы и иметь блокировочные (антисаботажные) кнопки, подключенные на отдельные номера пульта внутренней охраны "без права отключения", а при отсутствии пульта внутренней охраны - на ПЦО в составе тревожной сигнализации.
При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 «Нормы и правила проектирования установок пожаротушения и сигнализации».
Здание медицинского учреждения относится к административным сооружениям, поэтому его помещения при применении автоматической пожарной сигнализации, следует оборудовать дымовыми пожарными извещателями.
Дымовой пожарный извещатель пожарный извещатель, реагирующий на частицы твердых или жидких продуктов горения и (или) пиролиза в атмосфере.
В каждом защищаемом помещении следует устанавливать не менее двух пожарных извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.
Дымовые пожарные извещатели рекомендуется применять для оперативного, локального оповещения и определения места пожара в помещениях, в которых одновременно выполняются следующие условия:
Такие извещатели должны включаться в единую систему пожарной сигнализации с выводом тревожных извещений на прибор приемно-контрольный пожарный, расположенный в помещении дежурного персонала. Прибор приемно-контрольный пожарный это устройство, предназначенное для приема сигналов от пожарных извещателей, обеспечения электропитанием активных пожарных извещателей, выдачи информации на световые, звуковые оповещатели и пульты централизованного наблюдения, а также формирования стартового импульса запуска прибора пожарного управления.
Ручной пожарный извещатель устройство, предназначенное для ручного включения сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения.
Ручные пожарные извещатели следует устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из здания.
Но эффективная система пожарной сигнализации должна обязательно включать в себя систему оповещения людей о пожаре.
Система оповещения и управления эвакуацией (СОУЭ) комплекс организационных мероприятий и технических средств, предназначенный для своевременного сообщения людям информации о возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна функционировать в течение времени, необходимого для завершения эвакуации людей из здания.
Здание рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями (сиреной или тонированным сигналом).
Для обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в защищаемом помещении.
На внешней стене здания перед входом следует расположить комбинированный, светозвуковой оповещатель.
1.15.3 Требования нормативно-методических документов по защите информации на объект
Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений
Статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.
Статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Современный в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).
Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
Включение в сферу действия уголовный кодекс (УК) Российской Федерации (РФ) вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Закон "Об информации, информационных технологиях и защите информации"
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
1.16 Обоснование выбора методов и средств защиты
В плане правовой защиты, в ЛПУ обязан иметься рад нормативно-правовых документов:
Необходимо разработать такой список нормативно-правовой документации :
По организационной стороны в связи созданием службы защиты информации (СлЗИ) необходимо разработать такие документы:
СлЗИ будет выполнять ряд функций необходимых по поддержанию надлежащего уровня КСЗИ.
Так как на данный момент у мед. учреждения уже были такие технические средства как :
1.17 Выводы
В результате анализа медицинского учреждения можно сделать определенные выводы.
Защита на данный момент у медицинского учреждения есть, но она является не достаточной. С самой лучшей стороны выглядит ситуация с програмнно-апаратными средствами, так как организована необходимая защита, но ёё тоже следует доработать. Намного хуже обстоят дела с организационными, и инженерно-технические применяемыми мерами в медицинском учреждении. Правовая база строго регламентируется законами, и доработок не требует.
Для организации эффективной защиты от различных преднамеренных угроз необходимо четко представлять, что намеривается сделать злоумышленник. Для совершения преступления необходимо наличие одновременно трех составляющих желания, способности и возможности. Соответственно, для предотвращения преступления необходимо убрать один из этих «необходимых, но недостаточных» элементов. Применяя КСЗИ разработанную для охраняемого объекта, можно существенно снизить или устранить две составляющие желание и возможности.
Следует признать, что ни одна система безопасности не застрахована от влияния человеческого фактора полностью. Чем меньше возможность человека влиять на систему, тем ниже риск ошибок и саботажа. Предлагаемая современная интеллектуальная система безопасности будет сводить это влияние к минимуму.
Также при выборе технических средств было уделено особое внимание надежности. Без этого система попросту не эффективна. Так как ложные тревоги являются неизбежным "злом" при эксплуатации. Интенсивность ложных срабатываний связана с надежностью, принципом действия и режимом использования технического средства.
Возможности злоумышленников тоже прогрессируют чрезвычайно быстро. И поэтому в предлагаемой КСЗИ учтена возможность модернизации, «наращивании» до более совершенного уровня. Внимание коснулось и затраты на охранные мероприятия которые должны быть соизмеримыми с возможными убытками от преступных посягательств.
Результатом внедрения комплексной системой защиты информации будет являться :
Так же планируется улучшить имеющуюся систему обработки конфиденциальных данных, в результате доработки :
Предлагаемая комплексная система защиты информации, а в частности входящие в неё различные меры защиты, обеспечат необходимый уровень защиты конфиденциальной информации.
В результате будет создана система, соответствующая задачам обеспечения защиты информации в медицинском учреждении, и адекватно реагирующая на угрозы защищаемой информации в процессе деятельности медицинского учреждения.
2 Описание постановки задач
2.1 Постановка задачи
К задачам защиты информации в медицинском учреждении относятся :
2.2. Цель и назначение системы безопасности
Целями и назначением системы безопасности в медицинском учреждении являются:
- предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и врачебной тайны);
- предотвращение угроз безопасности личности и медицинского учреждения;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение, конфиденциальности документированной информации в соответствии с законодательством.
3 Описание комплексной системы защиты информации
В комплексную систему защиты информации входит:
Правовая защита
Правовое обеспечение системы защиты информации включает:
Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации.
Организационная защита
Организационная защита обеспечивает:
Инженерно-техническая защита использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:
3.1 Правовая защита
Согласно документам, регламентирующим деятельность в области защиты информации :
Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Законом об информации установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Соблюдение врачебной тайны
Описано в ФЗ РФ от 21 ноября 2011 г. N 323-ФЗ
1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи.
3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
7) в целях расследования несчастного случая на производстве и профессионального заболевания;
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.
Список необходимых организационно-распорядительных документов в сфере защиты персональных данных и во исполнение Федерального закона РФ от 27 июня 2006 года № 152-ФЗ
1.Приказ
2.Журнал
Для организации Службы защиты информации (СлЗИ) такие документы:
К уже существующему уставу мед. учреждения необходимо внести в устав следующие дополнения:
мед. учреждение имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;
обязано обеспечить сохранность коммерческой тайны;
состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем мед. учреждения;
имеет право не предоставлять информацию, содержащую коммерческую тайну;
руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.
Внесение этих дополнений дает право администрации:
создавать организационные структуры по защите коммерческой тайны;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
включать требования по защите коммерческой тайны в договора по всем видам деятельности;
требовать защиты интересов учреждения перед государственными и судебными органами;
распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.
Раздел «Конфиденциальная информация»:
Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.
Внесение этих дополнений дает право администрации:
А также необходимо проставить грифы конфиденциальности:
Коллективный договор должен содержать следующие требования:
Раздел «Предмет договора»
Раздел «Кадры. Обеспечение дисциплины труда»
Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.
Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:
Раздел «Порядок приема и увольнения рабочих и служащих»
При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:
Раздел «Основные обязанности рабочих и служащих»
Рабочие и служащие обязаны:
Раздел «Основные обязанности администрации»
Администрация и руководители подразделений обязаны:
Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.
3.2 Организационная защита
3.2.1 Создание службы защиты информации
Необходимо создание службы защиты информации (СлЗИ), которая будет являться структурной единицей учреждения, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия.
Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования высшее профессиональное образование и стаж работы в области защиты информации не менее 3 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.
В медицинском учреждении целесообразно организовать Службу защиты информации в следующем составе:
Функции конфиденциального делопроизводства возложить на уже имеющегося сотрудника, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию (секретаря, главного бухгалтера).
Для работы СлЗИ необходимо подготовить ряд нормативных документов:
Назначение на должность начальника СлЗИ учреждения, а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.
Основными функциями СлЗИ являются проблемы организации защиты сведений, отнесенных к конфиденциальной информации. В частности, деятельность, которая включает обучение работников учреждения умению хранить секреты своего учреждения; подготовку различных методических документов, связанных с защитой тайны, плакатов, разъясняющих правила защиты конфиденциальной информации и др.
СлЗИ готовит руководству учреждения предложения по вопросам защиты конфиденциальной информации, порядка определения составляющих эту информацию, степени и сроков секретности такой информации; определение круга и порядка допуска лиц к сведениям, составляющим тайну. СлЗИ выполняет также своеобразные разведывательные функции, в частности добывание информации о состоянии КСЗИ, недобросовестном поведении сотрудников а так же обнаружение новых угроз и брежи в системе защиты информации.
СлЗИ проводит контрольные и аналитические функции. Контроль за соблюдением работниками учреждения, связанными по службе с тайной, правил ее защиты. Анализ поступающей информации с целью выявления попыток нарушителей получить несанкционированный доступ к защищаемой информации и т.д. Она должна находиться на высоком уровне в организационной структуре учреждения с тем, чтобы располагать необходимыми административными полномочиями, с извещением об этом всех сотрудников предприятия. СлЗИ должна принимать срочные меры по устранению выявленных недостатков в области защиты конфиденциальной информации. Сотрудники учреждения должны знать политику учреждения по защите этой информации и меры наказания за нарушение этих правил.
Периодический пересмотр Перечня сведений, составляющих конфиденциальную информацию учреждения, осуществляется специально созданной комиссией, возглавляемой одним из руководителей предприятия. Однако в этой работе активное участие принимает и СлЗИ. Цель пересмотра Перечня исключение из него сведений, утративших свою актуальность, и включение новых, изменение при необходимости степени секретности и т.д. О результатах этой работы информируются все исполнители в той части, которая нужна каждому для его работы.
СлЗИ применяет меры в которые входит:
- повседневный контроль со стороны руководства учреждения и СлЗИ за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты. Особое внимание при этом обращается на работников учреждения, имеющих постоянное общение с населением; Врачи, санитары и прочие сотрудники, так или иначе вынужденные общаться с населением;
- обеспечение соблюдения всеми сотрудниками учреждения требований, предусмотренных правилами внутреннего распорядка, нормами правил пожарной безопасности, инструкцией по защите сведений, составляющих различные виды тайн, и другими нормативными документами, регламентирующими поведение работников на предприятии.
Все посещения учреждения посторонними лицами не могут строго регламентированы. Вход не оборудован никакими СКУД, фиксация проходящих и выходящих посетителей не ведется. Основных входов 3, Главный вход в поликлинику, вход в приемное отделение, вход в стационар.
Не допускается ведение по открытым каналам связи (телефон, радиотелефон и т.п.) переговоров, содержащих конфиденциальные сведения;
- выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию. Утечка защищаемой информации происходит чаще всего по вине сотрудников учреждения, связанных по работе с конфиденциальной информацией, и принятия недостаточных мер по защите информации в технических средствах (СВТ, средствах связи и т.д.).
Все сигналы о возможной утечке информации должны тщательно проверяться и в случае выявления виновных в этом лиц должны быть приняты меры, как к виновникам (перевод на работу, не связанную с тайной, возмещение ущерба, увольнение и др.), так и принятие мер по предотвращению подобных явлений в будущем;
- защита конфиденциальной информации предполагает также принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками учреждения, особенно при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками предприятия;
- важным звеном защиты конфиденциальной информации учреждения является работа с пациентами. При ведении приема важно убедиться, что пациент преследует те же цели, что и врач, то есть обращение по волнующему его вопросу о состоянии его здоровья, а не получение конфиденциальной информации о других лицах или иных сведениях к которым он не имеет доступ.
3.2.2 Проверка лояльности персонала медицинского учреждения
Тут два эффективных метода. Первый метод основан на использовании полиграфа «детектора лжи».
Использование "Детектора лжи" психологически оправдано.
Когда сотрудник ощущает возможность совершить действие, о котором не узнает руководство, он остается наедине со своей совестью и корыстными побуждениями. Принесут ли действия сотрудника ущерб учреждению, и как далеко он может зайти в жажде наживы, или из личного интереса зависит только от него самого.
Таким образом, ресурсы учреждения в закрытых областях действий сотрудников оказываются во власти индивидуальных влечений, далеко не всегда контролируемых совестью работника. Если прибавить к этому удивительную изворотливость ума, позволяющую оправдать свои действия не только перед другими, но и перед собой, то для контроля индивидуальной совести остается мало места.
При проверке на лояльность сотрудников можно использовать универсальный компьютерный полиграф «Поларг», соответствующий техническим условиям ТУ 4389-001-07560771-99. Зарегистрирован в Госстандарте России за № 200/026794 от 30.03.2000г. Универсальный компьютерный полиграф «Поларг» позволяет регистрировать восемь физиологических показателей человека, применять любые методики и тесты опросов с использованием полиграфа, получать валидизированную оценку реакций, зарегистрированных с помощью полиграфа.
Выпуск универсального компьютерного полиграфа «Поларг» осуществляется под техническим контролем Института криминалистики ФСБ России.
Полиграф можно купить и нанять специально обученных людей умеющих работать с ним. Аппаратное средство достаточно дорого, но при штате большого количества сотрудников выгоднее приобрести и обучить работе одного сотрудника СлЗИ, такие затраты быстро окупятся, учитывая штат.
И второй метод достаточно дешевый по сравнению с первым, это найти организацию либо людей которые предоставляют услуги проверки лояльности сотрудников путем внедрения в объект специально обученных разведчиков. Задача разведчиков войти в доверие к сотрудникам мед. учреждения в виде потенциальных пациентов и постараться выполнить специальную разработанную программу такой проверки лояльности персонала, которая учтет все особенности именно медицинского учреждения. Медицинское учреждение не потратит время на выявление нарушения работников.
А возможность постоянной качественной проверки лояльности персонала помогут снизит риски медицинского учреждения, связанные с сотрудниками.
3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к.
Сотрудники больницы, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.
Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в поликлинику, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации и врачебной тайны.
Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.
3.3 Инженерно-техническая защита
3.3.1 Физические
3.3.1.1 Построения системы обеспечения безопасности объекта для медицинского учреждения
Рисунок 3.1 - Общая схема системы обеспечения безопасности объекта
Серверная комната находится в помещении 3 кабинета, сразу возле главного входа, что организует большую проходимость у дверей. Так же в помещении серверной выдаются полиса “Росгосстрах”, а это значит что в нем оборудовано место с ПЭВМ, оператором, ответственным за выдачу и самый главный недостаток, пациенты. Так же в серверной находится шкаф сетевого оборудования, который включает в себя несколько программируемых маршрутизаторов в т.ч. для связи с другими ЛПУ и органами управления. Свитчи, концентратор VipNet, необходимый для передачи информации по зашифрованному каналу связи, миниАТС отвечающую за работу всех IP-телефонов, для данной организации, USP для гарантии сохранности оборудования, подключенным посредством него оборудования в т.ч. сам сервер.
Сервер работает на базе ОС Windows Server 2003, оборудован антивирусной защитой Dr.Web 6.0, Системой резервного копирования Cobian, настроенной таким образом, что каждый день в нерабочее время, создается резервная копия БД. Жесткий диск на 500Gb, имеет зеркало, так что в случае краха оборудования, базу данных можно будет восстановить с небольшим откатом. Серверный ПК несет в себе обязанности
При такой нагрузке и количестве выполняемых задач создаются огромные проблемы. Не смотря на архитектуру процессора (intel core i5), и 4Gb RAM, сервер изрядно подтормаживает, а иногда и вовсе зависает, не выдерживая нагрузки выполняемых задач. Ко всему прочему ПО, используемое в ЛПУ, не очень хорошо оптимизировано, но постоянно дорабатывается, выпускаются обновления, заплатки, улучшения.
Ко всему прочему очень сложно администрировать сервер, выполняющий такое количество функций очень проблематично. При администрировании возникают проблемы связанных служб, к тому же перезагрузка сервера ведет к полной остановке работы всего ЛПУ с перерывом примерно 10 минут.
В нашем мед. Учреждении вся работа с БД осуществляется посредством использования терминального доступа, через встроенную утилиту RemoteDesktop. То есть наличие пароля, дает возможность доступа к БД с абсолютно любого АРМ, подключенного к сети. Все АРМ распределены по больнице в зависимости от надобности и потребности, получить к ним доступ не составляет труда, некоторые кабинеты находятся на “отшибе” и вероятность обнаружения поимки злоумышленника остается ничтожной. К тому же, нет никакого разграничения доступа для всех пользователей АРМ, вне зависимости от выполняемых обязанностей, что приводит нас к ситуации, когда любые ползователи обладают равными правами.
Так же на АРМ функционируют все USB порты, что дает возможность использования любых доступных накопителей с интерфейсом USB 2.0.
АРМ организованы на базе тонких пациентов, все изменения операционной системы хранятся в оперативной памяти и устраняются после перезагрузки. Функция отключается программно, посредством ввода пароля Возможность установки стороннего ПО, требующих права Администратора отсутствует. Так же все АРМ оборудованы АнтиВирусной защитой Dr.Web 6.0. Все АРМ имеют статический IP-адрес, отсутствует привязка по MAC.
Из огромных брешей в системе можно выделить одинаковые пароли для терминала, для всех пользователей АРМ, за исключением пароля администратора. Все АРМ типовые, закуплены и установлены во всех больницах города, комплектация дополняется лишь переферийными устройствами.
АРМ комплектация |
Тонкие пациенты TONK, Монитор Viewsonic 22, клавиатура, мышь. Допускается использования сканера, принтера или МФУ. |
Локальная сеть раскинута, посредством которой работают АРМ в учреждении, раскинута на все здание, включая стационар, поликлинику. Пролегает через коридор в кабель канале, разветвляется свитчами, находящимися в специальных шкафчиках. Вся ЛВС приходит на центральный свитч в серверную комнату, где посредством программируемого маршрутизатора она соединяется с другими ЛПУ. Диапазон IP адресов ограничен 10.30.131.1-10.30.131.255. Никакой привязки по MAC-адресу, кроме доступа в интернет не существует.
Посредством ЛВС так же работают IP-телефоны, которые находятся в той же подсети что и ПК, т.к. выделенный диапазон для нашего ЛПУ. Предусматривает адреса типа 10.30.131.*
ЛПУ находится в микрорайоне. Малое количество населения, высокий уровень безработицы, частный сектор, огромное количество знакомств при тесном общении создают следующую картину. Почти все люди одного возраста знакомы с большой вероятностью, что способствует панибратскому, доверительному отношению с пациентами и не лучшим образом сказывается на обстановке с точки зрения защиты информации. Так же следует отметить невысокую осведомленность населения и практически полное неумение обращаться с оборудованием в частности ПК. Однако, существуют специалисты, но их в населенном пункте всего несколько человек, можно отслеживать их посещение ЛПУ.
Низкая заработная плата везде и повсеместно сопровождает персонал медицинского учреждения. Начиная от техничек и плотников, заканчивая врачами. Приемлемая заработная плата наблюдается лишь у руководства и бухгалтерии, уровень остального персонала едва превышает МРОТ, к тому же людей обязуют выполнять обязанности, не оговоренные в трудовом договоре и никак не оплачивающиеся, что не мотивирует персонал добросовестно работать и может стать толчком для совершения НСД с целью наживы или разглашение персональных даных, если представится такой случай.
Личные знакомства так же могут стать причиной случайного разглащения конфеденциальной информации, просто при разговоре.
Из
3.3.2 Выбор аппаратных средств защиты
Для данного объекта необходимы средства защиты информации от утечки по каналам утечки:
Таблица 3 - Выбор аппаратных средств защиты
№ п\п |
Место установки |
Тип устройства защиты информации |
Способ применения |
Технический канал закрытия утечки информации |
|
ПЭВМ |
Генератор шума ГШ-К-1000М |
Постоянно |
Радиоэлектронный |
|
СИРД |
Генератор шума ГШ-1000М |
Постоянно |
Радиоэлектронный |
|
Линии системы энергоснабжения |
Генератор шума SEL SP 44 |
Постоянно |
Радиоэлектронный |
|
Рядом с телефоном |
Многофункциональный модуль защиты телефоной линии |
Постоянно |
Радиоэлектронный |
|
Системы центрального отопления, стены, подземные водопроводы и теплопроводы |
Виброакустический генераторСоната АВ 1М |
Постоянно |
Акустический |
Выбор аппаратных средств основан на ряде факторов:
-Цена
-Эффективность (относительно других схожих аппаратных средств)
- Простота использования
- Сертификат соответствия ФСТЭК
Для решения поставленной задачи выбраны следующие технические решения.
Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D. При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.
Защита по акустическому каналу
Защита информации от утечки по акустическому каналу это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.
Для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М. Система имеет сертификат соответствия ФСТЭК № 1082.
Назначение:
Генератор виброакустического шума "Соната-АВ-1М" предназначен для защиты помещений от утечки речевой информации по акустическим и виброканалам [33].
Описание:
Модель 1М имеет два выхода с независимым программированием вида помехи (вибро- или аудио-) и регулировкой ее уровня, отличительной особенностью модели 1М является повышенная нагрузочная способность (см. технические характеристики).
Генератор виброакустического шума "Соната-АВ" соответствует "Требованиям по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (СТР) и может использоваться для защиты выделенных помещений 1 категории.
Правильно установленный и отрегулированный генератор "Соната-АВ" позволяет нейтрализовать такие виды подслушивания, как [6]:
Генератор шума ГШ-1000М
Пространственное зашумление.
Генераторы шума ГШ-1000М предназначены для маскировки информативных побочных электромагнитных излучений и наводок (ПЭМИН) персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума (ЭМПШ) в широком диапазоне частот.
Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещённой в помещении площадью порядка 40 кв. м.
При установке генератора ГШ-1000М допускается поворот плоскости излучающей антенны вокруг оси, проходящей через боковые стенки корпуса. При этом плоскость антенны можно поворачивать на ± 90 ° и фиксировать в этих пределах под любым углом [34].
Рисунок 3.19 - Генератор шума ГШ-1000М
Для защиты информации от утечки по побочным электромагнитным каналам на больших вычислительных центрах, в терминальных залах, мощных вычислительных комплексах рекомендуется использовать несколько комплектов ГШ-1000М, размещая их по периметру объекта. Максимальное расстояние между соседними генераторами должно быть не более 20 метров.
Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96. Изделие имеет сертификат ФСТЭК РФ.
Генератор шума ГШ-К-1000М
Генераторы шума ГШ-К-1000М предназначены для маскировки информативных побочных электромагнитных излучений и наводок (ПЭМИН) персональных компьютеров, рабочих станций компьютерных сетей и комплексов на объектах вычислительной техники путем формирования и излучения в окружающее пространство электромагнитного поля шума (ЭМПШ) в широком диапазоне частот.
Один генератор обеспечивает маскировку (защиту) информации устройств вычислительной техники, размещённой в помещении площадью порядка 40 кв.м.
Рисунок 3.20 - Генератор шума ГШ-К-1000М
Плата генератора ГШ-К-1000М устанавливается в свободный слот шины PCI или ISA материнской платы персонального компьютера [34].
Электромагнитные поля, создаваемые генераторами на расстоянии 1 м, не превышают допустимого уровня на рабочих местах и соответствуют ГОСТ 12.1.006 84 (1999), СаНПиН 2.2.4/2.1.8.055-96.
Изделие имеет сертификат ФСТЭК РФ.
Устройство защиты цепей электросети и заземления SEL SP-44
Рисунок 3.21 - Устройство защиты цепей электросети и заземления SEL SP-44
Устройство защиты цепей электросети и заземления SEL SP-44 является техническим средством защиты информации, обрабатываемой на объектах вычислительной техники 1, 2 и 3 категории, от утeчки за счёт наводок по цепям электропитания и заземления путём постановки маскирующих помех в цепях электропитания и заземления в диапазоне частот 0,01 - 300 МГц и может устанавливаться в выделенных помещениях до 1 категории включительно без применения дополнительных мер защиты.
SEL SP-44 представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи [35].
Отличительные особенности:
Управление включением помехи может осуществляться с панели управления или дистанционно.
К тому же иметься :
Сертификат соответствия ФСТЭК No 1445, действительный до 10.08.2013.
Санитарно-эпидемиологическое заключение.
Сертификат ГОСТ Р No РОСС RU.ME06.H00348.
Награды:
Диплом и медаль I степени XII Международного форума "Технологии безопасности-2007"
Диплом и медаль "Гарантия качества и безопасности" международного конкурса "Национальная безопасность"
3.3.3 Выбор программных средств защиты
Класс защищенности:
Согласно руководящему документу РД " Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации " АС относиться к первой группе и классу 1Г, необходимо повысить класс до 1В с помощью программного обеспечения Sercret Net 6.5.
МЭ согласно РД "Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации " полностью соответствует нужному классу (3 класс).
СВТ на данный момент имеет 5 класс защищенности, для надёжной работы КСЗИ необходимо повысить до 2 класса. Для этого установим Secret Net 6.5.
АВС имеет класс А3, который соответствует необходимым требованиям.
В качестве дополнения к уже существующим средствам в мед. учреждении будет добавлено следующее программное обеспечение:
Secret Net 6.5
Secret Net позволяеет привести автоматизированную систему в соответствие требованиям регулирующих документов по защите конфиденциальной информации, персональных данных.
Рисунок 3.22 - ключевые возможности SecretNet
Варианты развертывания Secret Net:
Будет выбран автономный вариант - предназначенный для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
Назначение СЗИ Secret Net
Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах.
СЗИ Secret Net предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Является эффективным средством защиты от внутренних (инсайдерских) угроз, может применяться как на автономных станциях, так и в информационных сетях.
Данное программное обеспечение необходимо установить на все персональные компьютеры находящиеся в мед. учреждении.
3.4 Введение в эксплуатацию системы защиты информации
Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.
Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.
По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.
Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.
Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.
В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.
К некоторым мероприятиям по организации контроля в этот период можно отнести [36]:
Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе [36].
После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.
По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации .
При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.
В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности) [36].
4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для мед. учреждении, воспользуемся известным методом CRAMM.
Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.
Для оценки угроз выбраны следующие косвенные факторы:
Для оценки уязвимостей выбраны следующие косвенные факторы:
Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.
Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.
Оценка уязвимости
Таблица 4 - Оценка уязвимостей
1.Сколько людей имеют право пользоваться информационной системой? |
||
Варианты ответа |
Количество баллов |
|
a |
От 1 до 10 |
0 |
b |
От 11 до 50 |
4 |
c |
От 51 до 200 |
10 |
d |
От 200 до 1000 |
14 |
e |
Свыше 1000 |
20 |
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом? |
||
a |
Да |
0 |
b |
Нет |
10 |
3. Какие устройства и программы доступны пользователям? |
||
a |
Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных |
5 |
b |
Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы |
0 |
c |
Пользователи могут получить доступ к операционной системе, но не к компиляторам |
5 |
d |
Пользователи могут получить доступ к компиляторам |
10 |
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе? |
||
a |
Да |
10 |
b |
Нет |
0 |
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе? |
||
a |
Менее 10 человек |
0 |
b |
От 11 до 20 человек |
5 |
c |
Свыше 20 человек |
10 |
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)? |
Продолжение Таблицы 3
a |
Да |
0 |
b |
Нет |
10 |
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных? |
||
a |
Официальное право предоставлено всем пользователям |
2 |
b |
Официальное право предоставлено только некоторым пользователям |
0 |
8 .Насколько необходимо пользователям знать всю информацию, хранящуюся в системе? |
||
a |
Всем пользователям необходимо знать всю информацию |
4 |
b |
Отдельным пользователям необходимо знать лишь относящуюся |
0 |
Таблица 5 - Степень уязвимости при количестве полученных баллов
Степень уязвимости при количестве баллов: |
|
До 9 |
Низкая |
От 10 до 19 |
Средняя |
20 и более |
Высокая |
Таблица 6 - Полученные результаты (до разработки КСЗИ)
Варианты Ответов до разработки КСЗИ : |
||
Номер вопроса |
Вариант ответа |
Кол-во Баллов |
1 |
b |
4 |
2 |
b |
10 |
3 |
a |
0 |
4 |
a |
10 |
5 |
c |
10 |
6 |
a |
0 |
7 |
b |
0 |
8 |
b |
0 |
Сумма баллов |
34 |
Так как сумма баллов 34, следовательно, степень уязвимости до разработки комплексной системы защиты информации является Высокой. Отсюда делаем вывод, что требуется незамедлительное улучшение и доработка СКЗИ.
Таблица 7 - Полученные результаты (после разработки КСЗИ)
Варианты Ответов до разработки КСЗИ : |
||
Номер вопроса |
Вариант ответа |
Кол-во Баллов |
1 |
||
2 |
||
3 |
||
4 |
||
5 |
||
6 |
||
7 |
||
8 |
||
Сумма баллов |
Так как сумма баллов 29, следовательно, степень уязвимости комплексной системы защиты информации является Высокой.
7 Безопасность жизнедеятельности
Безопасность жизнедеятельности (БЖД) - это комплекс мероприятий, направленных на обеспечение безопасности человека в среде обитания, сохранение его здоровья, разработку методов и средств защиты путем снижения влияния вредных и опасных факторов до допустимых значений, выработку мер по ограничению ущерба в ликвидации последствий чрезвычайных ситуаций мирного и военного времени.
Цель и содержание БЖД:
Охрана здоровья трудящихся, обеспечение безопасности условий труда, ликвидация профессиональных заболеваний и производственного травматизма составляет одну из главных забот человеческого общества. Обращается внимание на необходимость широкого применения прогрессивных форм научной организации труда, сведения к минимуму ручного, малоквалифицированного труда, создания обстановки, исключающей профессиональные заболевания и производственный травматизм.
На рабочем месте должны быть предусмотрены меры защиты от возможного воздействия опасных и вредных факторов производства. Уровни этих факторов не должны превышать предельных значений, оговоренных правовыми, техническими и санитарно-техническими нормами. Эти нормативные документы обязывают к созданию на рабочем месте условий труда, при которых влияние опасных и вредных факторов на работающих либо устранено совсем, либо находится в допустимых пределах.
Данный раздел дипломного проекта посвящен рассмотрению следующих вопросов:
7.1 Характеристика условий труда сотрудника мед. учренждения
Научно-технический прогресс внес серьезные изменения в условия производственной деятельности работников умственного труда. Их труд стал более интенсивным, напряженным, требующим значительных затрат умственной, эмоциональной и физической энергии. Это потребовало комплексного решения проблем эргономики, гигиены и организации труда, регламентации режимов труда и отдыха.
В настоящее время компьютерная техника широко применяется во всех областях деятельности человека. При работе с компьютером человек подвергается воздействию ряда опасных и вредных производственных факторов: электромагнитных полей (диапазон радиочастот: ВЧ, УВЧ и СВЧ), инфракрасного и ионизирующего излучений, шума и вибрации, статического электричества и др.
Работа с компьютером характеризуется значительным умственным напряжением и нервно-эмоциональной нагрузкой операторов, высокой напряженностью зрительной работы и достаточно большой нагрузкой на мышцы рук при работе с клавиатурой ЭВМ. Большое значение имеет рациональная конструкция и расположение элементов рабочего места, что важно для поддержания оптимальной рабочей позы человека-оператора.
В процессе работы с компьютером необходимо соблюдать правильный режим труда и отдыха. В противном случае у персонала отмечаются значительное напряжение зрительного аппарата с появлением жалоб на неудовлетворенность работой, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках.
7.2 Требования к помещениям
Окраска и коэффициенты отражения
Окраска помещений и мебели должна способствовать созданию благоприятных условий для зрительного восприятия, хорошего настроения.
Источники света, такие как светильники и окна, которые дают отражение от поверхности экрана, значительно ухудшают точность знаков и влекут за собой помехи физиологического характера, которые могут выразиться в значительном напряжении, особенно при продолжительной работе. Отражение, включая отражения от вторичных источников света, должно быть сведено к минимуму. Для защиты от избыточной яркости окон могут быть применены шторы и экраны.
В зависимости от ориентации окон рекомендуется следующая окраска стен и пола:
окна ориентированы на юг: - стены зеленовато-голубого или светло-голубого цвета; пол - зеленый;
окна ориентированы на север: - стены светло-оранжевого или оранжево-желтого цвета; пол - красновато-оранжевый;
окна ориентированы на восток: - стены желто-зеленого цвета;
пол зеленый или красновато-оранжевый;
окна ориентированы на запад: - стены желто-зеленого или голубовато-зеленого цвета; пол зеленый или красновато-оранжевый.
В помещениях, где находится компьютер, необходимо обеспечить следующие величины коэффициента отражения: для потолка: 60…70%, для стен: 40…50%, для пола: около 30%. Для других поверхностей и рабочей мебели: 30…40%.
Правильно спроектированное и выполненное производственное освещение улучшает условия зрительной работы, снижает утомляемость, способствует повышению производительности труда, благотворно влияет на производственную среду, оказывая положительное психологическое воздействие на работающего, повышает безопасность труда и снижает травматизм.
Недостаточность освещения приводит к напряжению зрения, ослабляет внимание, приводит к наступлению преждевременной утомленности. Чрезмерно яркое освещение вызывает ослепление, раздражение и резь в глазах. Неправильное направление света на рабочем месте может создавать резкие тени, блики, дезориентировать работающего. Все эти причины могут привести к несчастному случаю или профзаболеваниям, поэтому столь важен правильный расчет освещенности.
Существует три вида освещения - естественное, искусственное и совмещенное (естественное и искусственное вместе) [14].
Естественное освещение - освещение помещений дневным светом, проникающим через световые проемы в наружных ограждающих конструкциях помещений. Естественное освещение характеризуется тем, что меняется в широких пределах в зависимости от времени дня, времени года, характера области и ряда других факторов.
Искусственное освещение применяется при работе в темное время суток и днем, когда не удается обеспечить нормированные значения коэффициента естественного освещения (пасмурная погода, короткий световой день). Освещение, при котором недостаточное по нормам естественное освещение дополняется искусственным, называется совмещенным освещением.
Искусственное освещение подразделяется на рабочее, аварийное, эвакуационное, охранное. Рабочее освещение, в свою очередь, может быть общим или комбинированным. Общее - освещение, при котором светильники размещаются в верхней зоне помещения равномерно или применительно к расположению оборудования. Комбинированное - освещение, при котором к общему добавляется местное освещение.
Согласно СНиП II-4-79 в помещений вычислительных центров необходимо применить систему комбинированного освещения.
При выполнении работ категории высокой зрительной точности (наименьший размер объекта различения 0,3…0,5мм) величина коэффициента естественного освещения (КЕО) должна быть не ниже 1,5%, а при зрительной работе средней точности (наименьший размер объекта различения 0,5…1,0 мм) КЕО должен быть не ниже 1,0%. В качестве источников искусственного освещения обычно используются люминесцентные лампы типа ЛБ или ДРЛ, которые попарно объединяются в светильники, которые должны располагаться над рабочими поверхностями равномерно.
Требования к освещенности в помещениях, где установлены компьютеры, следующие: при выполнении зрительных работ высокой точности общая освещенность должна составлять 300лк, а комбинированная - 750лк; аналогичные требования при выполнении работ средней точности - 200 и 300лк соответственно.
Кроме того все поле зрения должно быть освещено достаточно равномерно это основное гигиеническое требование. Иными словами, степень освещения помещения и яркость экрана компьютера должны быть примерно одинаковыми, т.к. яркий свет в районе периферийного зрения значительно увеличивает напряженность глаз и, как следствие, приводит к их быстрой утомляемости.
Параметры микроклимата могут меняться в широких пределах, в то время как необходимым условием жизнедеятельности человека является поддержание постоянства температуры тела благодаря терморегуляции, т.е. способности организма регулировать отдачу тепла в окружающую среду. Принцип нормирования микроклимата создание оптимальных условий для теплообмена тела человека с окружающей средой.
Вычислительная техника является источником существенных тепловыделений, что может привести к повышению температуры и снижению относительной влажности в помещении. В помещениях, где установлены компьютеры, должны соблюдаться определенные параметры микроклимата. В санитарных нормах СН-245-71 установлены величины параметров микроклимата, создающие комфортные условия. Эти нормы устанавливаются в зависимости от времени года, характера трудового процесса и характера производственного помещения (см. табл. 7.1) [12].
Объем помещений, в которых размещены сотрудники медицинского учреждения, не должен быть меньше 19,5м3/человека с учетом максимального числа одновременно работающих в смену. Нормы подачи свежего воздуха в помещения, где расположены компьютеры, приведены в табл. 7.2.
Таблица 14 Параметры микроклимата для помещений, где установлены компьютеры
Период года |
Параметр микроклимата |
Величина |
Холодный |
Температура воздуха в помещении Относительная влажность Скорость движения воздуха |
22…24°С 40…60% до 0,1м/с |
Теплый |
Температура воздуха в помещении Относительная влажность Скорость движения воздуха |
23…25°С 40…60% 0,1…0,2м/с |
Таблица 15 Нормы подачи свежего воздуха в помещения, где расположены компьютеры
Характеристика помещения |
Объемный расход подаваемого в помещение свежего воздуха, м3 /на одного человека в час |
Объем до 20м3 на человека 20…40м3 на человека Более 40м3 на человека |
Не менее 30 Не менее 20 Естественная вентиляция |
Для обеспечения комфортных условий используются как организационные методы (рациональная организация проведения работ в зависимости от времени года и суток, чередование труда и отдыха), так и технические средства (вентиляция, кондиционирование воздуха, отопительная система).
Шум ухудшает условия труда оказывая вредное действие на организм человека. Работающие в условиях длительного шумового воздействия испытывают раздражительность, головные боли, головокружение, снижение памяти, повышенную утомляемость, понижение аппетита, боли в ушах и т. д. Такие нарушения в работе ряда органов и систем организма человека могут вызвать негативные изменения в эмоциональном состоянии человека вплоть до стрессовых. Под воздействием шума снижается концентрация внимания, нарушаются физиологические функции, появляется усталость в связи с повышенными энергетическими затратами и нервно-психическим напряжением, ухудшается речевая коммутация. Все это снижает работоспособность человека и его производительность, качество и безопасность труда. Длительное воздействие интенсивного шума [выше 80 дБ(А)] на слух человека приводит к его частичной или полной потере.
В табл. 7.3 указаны предельные уровни звука в зависимости от категории тяжести и напряженности труда, являющиеся безопасными в отношении сохранения здоровья и работоспособности.
Таблица 16 Предельные уровни звука, дБ, на рабочих местах.
Категория напряженности труда |
Категория тяжести труда |
|||
I. Легкая |
II. Средняя |
III. Тяжелая |
IV. Очень тяжелая |
|
I. Мало напряженный |
80 |
80 |
75 |
75 |
II. Умеренно напряженный |
70 |
70 |
65 |
65 |
III. Напряженный |
60 |
60 |
- |
- |
IV. Очень напряженный |
50 |
50 |
- |
- |
Уровень шума на рабочем месте сотрудника медицинского учреждения не должен превышать 50дБА. Для снижения уровня шума стены и потолок помещений, где установлены компьютеры, могут быть облицованы звукопоглощающими материалами. Уровень вибрации в помещениях вычислительных центров может быть снижен путем установки оборудования на специальные виброизоляторы.
Большинство ученых считают, что как кратковременное, так и длительное воздействие всех видов излучения от экрана монитора не опасно для здоровья персонала, обслуживающего компьютеры. Однако исчерпывающих данных относительно опасности воздействия излучения от мониторов на работающих с компьютерами не существует и исследования в этом направлении продолжаются [12].
Допустимые значения параметров неионизирующих электромагнитных излучений от монитора компьютера представлены в табл. 7.4.
Максимальный уровень рентгеновского излучения на рабочем месте сотрудника обычно не превышает 10мкбэр/ч, а интенсивность ультрафиолетового и инфракрасного излучений от экрана монитора лежит в пределах 10…100мВт/м2.
Таблица 17 Допустимые значения параметров неионизирующих электромагнитных излучений (в соответствии с СанПиН 2.2.2.542-96)
Наименование параметра |
Допустимые значения |
Напряженность электрической составляющей электромагнитного поля на расстоянии 50см от поверхности видеомонитора |
10В/м |
Напряженность магнитной составляющей электромагнитного поля на расстоянии 50см от поверхности видеомонитора |
0,3А/м |
Напряженность электростатического поля не должна превышать: для взрослых пользователей для детей дошкольных учреждений и учащихся средних специальных и высших учебных заведений |
20кВ/м 15кВ/м |
Для снижения воздействия этих видов излучения рекомендуется применять мониторы с пониженным уровнем излучения (MPR-II, TCO-92, TCO-99), устанавливать защитные экраны, а также соблюдать регламентированные режимы труда и отдыха.
7.3 Эргономические требования к рабочему месту
Проектирование рабочих мест, относится к числу важнных проблем эргономического проектирования в области вычислительной техники.
Рабочее место и взаимное расположение всех его элементов должно соответствовать антропометрическим, физическим и психологическим требованиям. Большое значение имеет также характер работы. В частности, при организации рабочего места сотрудника учреждения должны быть соблюдены следующие основные условия: оптимальное размещение оборудования, входящего в состав рабочего места и достаточное рабочее пространство, позволяющее осуществлять все необходимые движения и перемещения.
Эргономическими аспектами проектирования рабочих мест, в частности, являются: высота рабочей поверхности, размеры пространства для ног, требования к расположению документов на рабочем месте (наличие и размеры подставки для документов, возможность различного размещения документов, расстояние от глаз пользователя до экрана, документа, клавиатуры и т.д.), характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость элементов рабочего места [16].
Главными элементами рабочего места сотрудника учреждения являются стол и кресло. Основным рабочим положением является положение сидя.
Рабочая поза сидя вызывает минимальное утомление сотрудника фирмы. Рациональная планировка рабочего места предусматривает четкий порядок и постоянство размещения предметов, средств труда и документации. То, что требуется для выполнения работ чаще, расположено в зоне легкой досягаемости рабочего пространства.
Моторное поле - пространство рабочего места, в котором могут осуществляться двигательные действия человека.
Максимальная зона досягаемости рук - это часть моторного поля рабочего места, ограниченного дугами, описываемыми максимально вытянутыми руками при движении их в плечевом суставе.
Оптимальная зона - часть моторного поля рабочего места, ограниченного дугами, описываемыми предплечьями при движении в локтевых суставах с опорой в точке локтя и с относительно неподвижным плечом.
Оптимальное размещение предметов труда и документации в зонах досягаемости:
ДИСПЛЕЙ размещается в зоне а (в центре);
СИСТЕМНЫЙ БЛОК размещается в предусмотренной нише стола;
КЛАВИАТУРА - в зоне г/д;
«МЫШЬ» - в зоне в справа;
СКАНЕР в зоне а/б (слева);
ПРИНТЕР находится в зоне а (справа);
ДОКУМЕНТАЦИЯ: необходимая при работе - в зоне легкой досягаемости ладони в, а в выдвижных ящиках стола - литература, неиспользуемая постоянно.
На рис. 2.2 показан пример размещения основных и периферийных составляющих ПК на рабочем столе сотрудника фирмы.
1 сканер, 2 монитор, 3 принтер, 4 поверхность рабочего стола,
5 клавиатура, 6 манипулятор типа «мышь».
Для комфортной работы стол должен удовлетворять следующим условиям [16]:
Большое значение придается характеристикам рабочего кресла. Так, рекомендуемая высота сиденья над уровнем пола находится в пределах 420-550мм. Поверхность сиденья мягкая, передний край закругленный, а угол наклона спинки - регулируемый.
Необходимо предусматривать при проектировании возможность различного размещения документов: сбоку от видеотерминала, между монитором и клавиатурой и т.п. Кроме того, в случаях, когда видеотерминал имеет низкое качество изображения, например заметны мелькания, расстояние от глаз до экрана делают больше (около 700мм), чем расстояние от глаза до документа (300-450мм). Вообще при высоком качестве изображения на видеотерминале расстояние от глаз пользователя до экрана, документа и клавиатуры может быть равным.
Положение экрана определяется:
Должна также предусматриваться возможность регулирования экрана:
Большое значение также придается правильной рабочей позе пользователя. При неудобной рабочей позе могут появиться боли в мышцах, суставах и сухожилиях. Требования к рабочей позе пользователя видеотерминала следующие:
Причина неправильной позы пользователей обусловлена следующими факторами: нет хорошей подставки для документов, клавиатура находится слишком высоко, а документы - низко, некуда положить руки и кисти, недостаточно пространство для ног.
В целях преодоления указанных недостатков даются общие рекомендации: лучше передвижная клавиатура; должны быть предусмотрены специальные приспособления для регулирования высоты стола, клавиатуры и экрана, а также подставка для рук.
Существенное значение для производительной и качественной работы на компьютере имеют размеры знаков, плотность их размещения, контраст и соотношение яркостей символов и фона экрана. Если расстояние от глаз оператора до экрана дисплея составляет 60…80 см, то высота знака должна быть не менее 3мм, оптимальное соотношение ширины и высоты знака составляет 3:4, а расстояние между знаками 15…20% их высоты. Соотношение яркости фона экрана и символов - от 1:2 до 1:15.
Во время пользования компьютером медики советуют устанавливать монитор на расстоянии 50-60 см от глаз. Специалисты также считают, что верхняя часть видеодисплея должна быть на уровне глаз или чуть ниже. Когда человек смотрит прямо перед собой, его глаза открываются шире, чем когда он смотрит вниз. За счет этого площадь обзора значительно увеличивается, вызывая обезвоживание глаз. К тому же если экран установлен высоко, а глаза широко открыты, нарушается функция моргания. Это значит, что глаза не закрываются полностью, не омываются слезной жидкостью, не получают достаточного увлажнения, что приводит к их быстрой утомляемости.
Создание благоприятных условий труда и правильное эстетическое оформление рабочих мест на производстве имеет большое значение как для облегчения труда, так и для повышения его привлекательности, положительно влияющей на производительность труда.
7.4 Режим труда
Как уже было неоднократно отмечено, при работе с персональным компьютером очень важную роль играет соблюдение правильного режима труда и отдыха. В противном случае у персонала отмечаются значительное напряжение зрительного аппарата с появлением жалоб на неудовлетворенность работой, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках.
В табл. 7.5 представлены сведения о регламентированных перерывах, которые необходимо делать при работе на компьютере, в зависимости от продолжительности рабочей смены, видов и категорий трудовой деятельности с ПЭВМ (в соответствии с СанПиН 2.2.2 542-96 «Гигиенические требования персональным электронно-вычислительным машинам и организации работ»).
Таблица 18 Время регламентированных перерывов при работе на компьютере
Категория работы с ВДТ или ПЭВМ |
Уровень нагрузки за рабочую смену при видах работы с ВДТ |
Суммарное время регла-ментированных перерывов, мин |
|||
Группа А, количество знаков |
Группа Б, количество знаков |
Группа В, часов |
При 8-часовой смене |
При 12-часовой смене |
|
I |
до 20000 |
до 15000 |
до 2,0 |
30 |
70 |
II |
до 40000 |
до 30000 |
до 4,0 |
50 |
90 |
III |
до 60000 |
до 40000 |
до 6,0 |
70 |
120 |
Примечание. Время перерывов дано при соблюдении указанных Санитарных правил и норм. При несоответствии фактических условий труда требованиям Санитарных правил и норм время регламентированных перерывов следует увеличить на 30%.
В соответствии со СанПиН 2.2.2 546-96 все виды трудовой деятельности, связанные с использованием компьютера, разделяются на три группы:
группа А: работа по считыванию информации с экрана ВДТ или ПЭВМ с предварительным запросом;
группа Б: работа по вводу информации;
группа В: творческая работа в режиме диалога с ЭВМ.
Эффективность перерывов повышается при сочетании с производственной гимнастикой или организации специального помещения для отдыха персонала с удобной мягкой мебелью, аквариумом, зеленой зоной и т.п.
7.5 Расчет освещенности
Расчет освещенности рабочего места сводится к выбору системы освещения, определению необходимого числа светильников, их типа и размещения. Исходя из этого, рассчитаем параметры искусственного освещения.
Обычно искусственное освещение выполняется посредством электрических источников света двух видов: ламп накаливания и люминесцентных ламп. Будем использовать люминесцентные лампы, которые по сравнению с лампами накаливания имеют ряд существенных преимуществ:
Расчет освещения производится для комнаты площадью 15м2 , ширина которой 5м, высота - 3 м. Воспользуемся методом светового потока [13].
Для определения количества светильников определим световой поток, падающий на поверхность по формуле:
, где
F - рассчитываемый световой поток, Лм;
Е - нормированная минимальная освещенность, Лк (определяется по таблице). Работу сотрудника фирмы, в соответствии с этой таблицей, можно отнести к разряду точных работ, следовательно, минимальная освещенность будет Е = 300Лк;
S - площадь освещаемого помещения (в нашем случае S = 15м2);
Z - отношение средней освещенности к минимальной (обычно принимается равным 1,1…1,2 , пусть Z = 1,1);
К - коэффициент запаса, учитывающий уменьшение светового потока лампы в результате загрязнения светильников в процессе эксплуатации (его значение зависит от типа помещения и характера проводимых в нем работ и в нашем случае К = 1,5);
n - коэффициент использования, (выражается отношением светового потока, падающего на расчетную поверхность, к суммарному потоку всех ламп и исчисляется в долях единицы; зависит от характеристик светильника, размеров помещения, окраски стен и потолка, характеризуемых коэффициентами отражения от стен (РС) и потолка (РП)), значение коэффициентов РС и РП были указаны выше: РС=40%, РП=60%. Значение n определим по таблице коэффициентов использования различных светильников. Для этого вычислим индекс помещения по формуле:
, где
S - площадь помещения, S = 15 м2;
h - расчетная высота подвеса, h = 2.92 м;
A - ширина помещения, А = 3 м;
В - длина помещения, В = 5 м.
Подставив значения получим:
Зная индекс помещения I, по таблице 7 [13] находим n = 0,22
Подставим все значения в формулу для определения светового потока F:
Для освещения выбираем люминесцентные лампы типа ЛБ40-1, световой поток которых F = 4320 Лк.
Рассчитаем необходимое количество ламп по формуле:
N - определяемое число ламп;
F - световой поток, F = 33750 Лм;
Fл- световой поток лампы, Fл = 4320 Лм.
При выборе осветительных приборов используем светильники типа ОД. Каждый светильник комплектуется двумя лампами.
7.6 Расчет уровня шума
Одним из неблагоприятных факторов производственной среды в мед. учреждении является высокий уровень шума, создаваемый печатными устройствами, оборудованием для кондиционирования воздуха, вентиляторами систем охлаждения в самих ЭВМ.
Для решения вопросов о необходимости и целесообразности снижения шума необходимо знать уровни шума на рабочем месте сотрудника.
Уровень шума, возникающий от нескольких некогерентных источников, работающих одновременно, подсчитывается на основании принципа энергетического суммирования излучений отдельных источников [13]:
где Li уровень звукового давления i-го источника шума;
n количество источников шума.
Полученные результаты расчета сравнивается с допустимым значением уровня шума для данного рабочего места. Если результаты расчета выше допустимого значения уровня шума, то необходимы специальные меры по снижению шума. К ним относятся: облицовка стен и потолка зала звукопоглощающими материалами, снижение шума в источнике, правильная планировка оборудования и рациональная организация рабочего места сотрудника мед. учреждения.
Уровни звукового давления источников шума, действующих на сотрудника, на его рабочем месте представлены в табл. 3.
Таблица19 Уровни звукового давления различных источников.
Источник шума |
Уровень шума, дБ |
Жесткий диск |
40 |
Вентилятор |
45 |
Монитор |
17 |
Клавиатура |
10 |
Принтер |
45 |
Обычно рабочее место сотрудника оснащено следующим оборудованием: винчестер в системном блоке, вентилятор(ы) систем охлаждения ПК, монитор, клавиатура и принтер.
Подставив значения уровня звукового давления для каждого вида оборудования в формулу , получим:
L∑=10·lg(104+104,5+101,7+101+104,5)=48,65 дБ
Полученное значение не превышает допустимый уровень шума для рабочего места сотрудника медицинского учреждения, равный 65 дБ (ГОСТ 12.1.003-83). И если учесть, что вряд ли такие периферийные устройства как сканер и принтер будут использоваться одновременно, то эта цифра будет еще ниже. Кроме того при работе принтера непосредственное присутствие сотрудника мед. учреждения необязательно, т.к. принтер снабжен механизмом автоподачи листов.
Вывод: При соблюдении всех выше изложенных условий обеспечит сотрудникам мед. учреждения комфортное состояние среды жизнедеятельности. Избавит их от профессиональных заболеваний и производственного травматизма. После анализа и проведенных расчетов можно сказать что воздействия опасных и вредных факторов производства не превышают предельных допустимых значений.
Классификация угроз
По объектам
Персонал
Материальные ценности
Финансовые ценности
По ущербу
Материальный
Моральный
По величине ущерба
Предельный (полное разорение);
Значительный (некоторая валового дохода);
Незначительный (потеря прибыли).
о отношению к объекту
Внутренние;
Внешние.
По вероятности возникновения
Весьма вероятные;
Вероятные;
Маловероятные.
По характеру воздействия
Активные;
Пассивные.
По причине проявления Стихийные;
Преднамеренные.
Внешние угрозы
Внутренние угрозы
Злоумышленники,
Случайные нарушители.
Персонал,
Лица, имеющие доступ.
Угрозы
Рисунок 6.1 Зоны досягаемости рук в горизонтальной плоскости.
а - зона максимальной досягаемости;
б - зона досягаемости пальцев при вытянутой руке;
в - зона легкой досягаемости ладони;
г - оптимальное пространство для грубой ручной работы;
д - оптимальное пространство для тонкой ручной работы.
1
2
3
5
6
4
Рисунок 2.2 Размещение основных и периферийных составляющих ПК.
А также другие работы, которые могут Вас заинтересовать | |||
4821. | Геометрия Лобачевского. Геометрия кривых поверхностей | 31.5 KB | |
Геометрия Лобачевского. Н.И. Лобачевскийв 1826г. впервые построил и развил одну из возможных геометрий, где аксиома (А) не имеет места. Геометрия Лобачевского основывается на тех же аксиомах, что и евклидова геометрия, за исключением аксиомы о парал... | |||
4822. | Основные понятия и принципы системы Delphi | 454 KB | |
Основные понятия и принципы системы Delphi. Цель: Дать студентам общие сведения об объектно-ориентированном языке программирования Delphi. План занятия. Организационный момент. Изучение нового материала. Контрольные вопросы. ... | |||
4823. | Основы программирования на языке Turbo Pascal | 246 KB | |
Основы программирования Цель: Дать студентам основы программирования. Задачи: Воспитательная: повторение уже изученного языка программирования TurboPascal. Учебная: научить правильно применять константы и переменные. Развивающая: развитие вним... | |||
4824. | Создание первой программы на языке Turbo Pascal | 184 KB | |
Создание первой программы. Цель: Показать студентам пример создания программы. Задачи: Воспитательная: повторение уже изученного языка программирования TurboPascal. Учебная: научить создавать программы. Развивающая: развитие внимательности. Пл... | |||
4825. | Создание первой программы в языке Turbo Pascal | 94.5 KB | |
Создание первой программы. Цель: Показать студентам управление программой при помощи меню. Задачи: Воспитательная: повторение уже изученного языка программирования TurboPascal. Учебная: научить создавать программы. Развивающая: развитие внимат... | |||
4826. | Отладка программ на языке Pascal | 185 KB | |
Отладка программ Цель: Дать студентам понятие ошибки, причины их возникновения. Задачи: Воспитательная: любая программа несовершенна, всегда находятся ошибки, исправить которые требует время. Учебная: обнаруживать ошибки и вовремя исправлять их. Раз... | |||
4827. | Управляющие структуры Object Pascal | 273.5 KB | |
Управляющие структуры ObjectPascal. Цель: Повторение со студентами управляющих структур Pascal. Задачи: Воспитательная: необходимость повторения. Учебная: повторение управляющих структур и их применение в среде разработки ObjectPascal. Р... | |||
4828. | Символы и строки в среде разработки Object Pascal | 80 KB | |
Символы и строки. Цель: Повторение со студентами записи символов и строк. Задачи: Воспитательная: необходимость повторения. Учебная: повторение записи символов и строк в среде разработки ObjectPascal. Развивающая: развитие внимательности. План... | |||
4829. | Консольное приложение. Создание приложения под DOS | 87.5 KB | |
Консольное приложение. Цель: Создание консольного приложения. Задачи: Воспитательная: необходимость повторения. Учебная: создание приложения под DOS. Развивающая: развитие внимательности. План занятия. Организационный момент. Изучение но... | |||