Разработка защиты персональных данных в медицинской организации

ВВЕДЕНИЕ


Повсеместная компьютеризация всех отраслей народного хозяйства, начавшаяся в XX веке продолжается и в наши дни. Создание информационных систем (ИС) повышает производительность труда любой организации, с любой формой собственности. Пользователи данной системы могут быстро получать данные необходимые для выполнения их служебных обязанностей. Однако у процесса компьютеризации есть и другая сторона: облегчение доступа к массивам и базам данных получают и злоумышленники. Обладая доступом к различным базам данных (БД), злоумышленники могут использовать их для вымогания денег, других ценных сведений, материальных ценностей и прочего.

Поэтому в наше «цифровое» время защита информации стоит как никогда остро. Чаще всего злоумышленников интересуют сведения, хранящиеся в БД государственных структур, таких как МВД, ФНС и прочих, а также подконтрольных им организациям, таким как учреждения здравоохранения, образования. Всё чаще и чаще в СМИ появляются статьи, на тему популярных SMS-мошенничеств. А ведь получив доступ к БД какой-нибудь медицинской организации, злоумышленник может шантажировать больного, либо его родственников, либо испортить ему репутацию, обнародую конфиденциальные сведения.

Защита персональных данных является актуальной темой в нашей стране, поскольку законодательная база существует менее 10 лет. В связи с тем, часто лица, ответственные за обработку персональных данных не знаю элементарных правил безопасности доверенной им информации. Поэтому на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы, но система обучения персонала.

Данная работа посвящена разработке комплексной системы безопасности персональных данных в медицинской организации.

1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ


.1 Законодательные основы защиты ПД


В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее - ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятых во исполнение его положений, нормативно-правовых актов и методических документов.

В силу требований указанного Федерального закона «О персональных данных» все информационные системы персональных данных (далее - ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 июля 2011 года.[1]

Другими нормативными актами, оказывающие правовое регулирование в области защиты персональных данных в медицинских организациях являются:

Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Трудовой кодекс Российской Федерации (глава 14).

Федеральный закон Российской Федерации от 29 ноября 2010 г. №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

Постановление Правительства Российской Федерации от 4 октября 2010 г. № 782 «О Программе государственных гарантий оказания гражданам Российской Федерации бесплатной медицинской помощи на 2011 год»

Федеральный закон Российской Федерации от 01 апреля 1996. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

Федеральный закон Российской Федерации от 28 марта 1998 №53-ФЗ «О воинской обязанности».

Постановление Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Рассмотрим основные определения, используемые в законодательстве.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.


1.2 Классификация угроз информационной безопасности


Под угрозой (в общем смысле) обычно понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам, в частности под угрозой безопасности автоматизированных систем (АС) обработки информации понимается возможность воздействия на АС, которое прямо или косвенно может нанести ущерб ее безопасности. АС является наиболее уязвимой частью информационной системы персональных данных (ИСПДн), поскольку предоставляет злоумышленнику самый быстрый доступ к информации, во отличии от базы данных (БД), хранящихся на бумажных носителях.

Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз, целесообразно проведение анализа этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. Угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.

Необходимость классификации угроз информационной безопасности АС обусловлена тем, что хранимая и обрабатываемая информация в современных АС подвержена воздействию чрезвычайно большого числа факторов, в силу чего становится невозможным формализовать задачу описания полного множества угроз. Поэтому для защищаемой системы обычно определяют не полный перечень угроз, а перечень классов угроз.

Классификация возможных угроз информационной безопасности АС может быть проведена по следующим базовым признакам:

По природе возникновения:

естественные угрозы, вызванные воздействиями на АС объективных физических процессов или стихийных природных явлений;

искусственные угрозы безопасности АС, вызванные деятельностью человека.

По степени преднамеренности проявления:

угрозы, вызванные ошибками или халатностью персонала, например некомпетентное использование средств защиты, ввод ошибочных данных и т.п.;

угрозы преднамеренного действия, например действия злоумышленников.

По непосредственному источнику угроз:

природная среда, например стихийные бедствия, магнитные бури и пр.;

человек, например: вербовка путем подкупа персонала, разглашение конфиденциальных данных и т.п.;

санкционированные программно-аппаратные средства, например удаление данных, отказ в работе ОС;

несанкционированные программно-аппаратные средства, например заражение компьютера вирусами с деструктивными функциями.

По положению источника угроз:

вне контролируемой зоны АС, например перехват данных, передаваемых по каналам связи, перехват побочных электромагнитных, акустических и других излучений устройств;

в пределах контролируемой зоны АС, например применение подслушивающих устройств, хищение распечаток, записей, носителей информации и т.п.;

непосредственно в АС, например некорректное использование ресурсов АС.

По степени зависимости от активности АС:

независимо от активности АС, например вскрытие шифров криптозащиты информации;

только в процессе обработки данных, например угрозы выполнения и распространения программных вирусов.

По степени воздействия на АС:

пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например угроза копирования секретных данных;

активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например внедрение троянских коней и вирусов.

По этапам доступа пользователей или программ к ресурсам:

угрозы, проявляющиеся на этапе доступа к ресурсам АС, например: угрозы несанкционированного доступа в АС;

угрозы, проявляющиеся после разрешения доступа к ресурсам АС, например угрозы несанкционированного или некорректного использования ресурсов АС.

По способу доступа к ресурсам АС:

угрозы, осуществляемые с использованием стандартного пути доступа к ресурсам АС

угрозы, осуществляемые с использованием скрытого нестандартного пути доступа к ресурсам АС, например: несанкционированный доступ к ресурсам АС путем использования недокументированных возможностей ОС.

По текущему месту расположения информации, хранимой и обрабатываемой в АС:

угрозы доступа к информации, находящейся на внешних запоминающих устройствах, например: несанкционированное копирование секретной информации с жесткого диска;

угрозы доступа к информации, находящейся в оперативной памяти, например: чтение остаточной информации из оперативной памяти, доступ к системной области оперативной памяти со стороны прикладных программ;

угрозы доступа к информации, циркулирующей в линиях связи, например: незаконное подключение к линиям связи с последующим вводом ложных сообщений или модификацией передаваемых сообщений, незаконное подключение к линиям связи с целью прямой подмены законного пользователя с последующим вводом дезинформации и навязыванием ложных сообщений;

угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере, например: запись отображаемой информации на скрытую видеокамеру[4].

Опасные воздействия на АС подразделяются на случайные и преднамеренные.

Причинами случайных воздействий при эксплуатации АС могут быть:

аварийные ситуации из-за стихийных бедствий и отключений электропитания;

отказы и сбои аппаратуры;

ошибки в программном обеспечении;

ошибки в работе обслуживающего персонала и пользователей;

помехи в линиях связи из-за воздействий внешней среды.

Ошибки в программном обеспечении (ПО) являются распространенным видом компьютерных нарушений. ПО серверов, рабочих станций, маршрутизаторов и т.д. написано людьми, поэтому оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляют никакой опасности, некоторые же могут привести к серьезным последствиям, таким как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (использование компьютера в качестве плацдарма для атаки и т.п.). Обычно подобные ошибки устраняются с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких пакетов является необходимым условием безопасности информации[4].

Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. В качестве нарушителя может быть служащий, посетитель, конкурент, наемник и т.д. Действия нарушителя могут быть обусловлены разными мотивами: недовольством служащего своей карьерой, сугубо материальным интересом (взятка), любопытством, конкурентной борьбой, стремлением самоутвердиться любой ценой и т.п.

Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Целостность информации может быть нарушена умышленно, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (таким изменением, например, является периодическая коррекция некоторой базы данных).

Угрозы нарушения доступности (отказ в обслуживании), направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АС, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным[4].

Эти виды угроз можно считать первичными или непосредственными, поскольку реализация этих угроз ведет к непосредственному воздействию на защищаемую информацию. Рассмотрев угрозы и классификацию АС, можно перейти к анализу угроз и классификации самой ИСПДн.

ИСПДн представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации [2].

Состав и содержание угроз безопасности ПДн (УБПДн) определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн.

Совокупность таких условий и факторов формируется с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы.

К характеристикам ИСПДн, обусловливающим возникновение УБПДн, можно отнести категорию и объем обрабатываемых в ИСПДн персональных данных, структуру ИСПДн, наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена, характеристики подсистемы безопасности ПДн, обрабатываемых в ИСПДн, режимы обработки персональных данных, режимы разграничения прав доступа пользователей ИСПДн, местонахождение и условия размещения технических средств ИСПДн.

Информационные системы ПДн представляют собой совокупность информационных и программно-аппаратных элементов, а также информационных технологий, применяемых при обработке ПДн.

Основными элементами ИСПДн являются:

персональные данные, содержащиеся в базах данных, как совокупность информации и её носителей, используемых в ИСПДн;

информационные технологии, применяемые при обработке ПДн;

технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации) (далее - технические средства ИСПДн);

программные средства (операционные системы, системы управления базами данных и т.п.);

средства защиты информации;

вспомогательные технические средства и системы (ВТСС) - технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях (далее - служебные помещения), в которых расположены ИСПДн, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, средства и системы оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электронной оргтехники, средства и системы электрочасофикации).

Свойства среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, характеризуются видом физической среды, в которой распространяются ПДн, и определяются при оценке возможности реализации УБПДн.

Возможности источников УБПДн обусловлены совокупностью способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.

Угроза безопасности ПДн реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Основными элементами канала реализации УБПДн (рисунок 1.2) являются:

источник УБПДн - субъект, материальный объект или физическое явление, создающие УБПДн;

среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

носитель ПДн - физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.


Рисунок 1.1 - Обобщенная схема канала реализации угроз безопасности персональных данных


Носители ПДн могут содержать информацию, представленную в следующих видах:

акустическая (речевая) информация (РИ), содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении им функции голосового ввода ПДн в ИСПДн, либо воспроизводимая акустическими средствами ИСПДн (если такие функции предусмотрены технологией обработки ПДн), а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;

видовая информация (ВИ), представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;

информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов;

информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, файлов и других логических структур[3].

В целях формирования систематизированного перечня УБПДн при их обработке в ИСПДн и разработке на их основе частных моделей применительно к конкретному виду ИСПДн угрозы классифицируются в соответствии со следующими признаками (рисунок 1.2):

по виду защищаемой от УБПДн информации, содержащей ПДн;

по видам возможных источников УБПДн;

по типу ИСПДн, на которые направлена реализация УБПДн;

по способу реализации УБПДн;

по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);

по используемой уязвимости;

по объекту воздействия.

По видам возможных источников УБПДн выделяются следующие классы угроз:

угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель);

угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель).

Кроме того, угрозы могут возникать в результате внедрения аппаратных закладок и вредоносных программ[3].

По типу ИСПДн, на которые направлена реализация УБПДн, выделяются следующие классы угроз:

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автономного автоматизированного рабочего места (АРМ);

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе АРМ, подключенного к сети общего пользования (к сети международного информационного обмена);

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена);

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена).

По способам реализации УБПДн выделяются следующие классы угроз:

угрозы, связанные с НСД к ПДн (в том числе угрозы внедрения вредоносных программ);

угрозы утечки ПДн по техническим каналам утечки информации;

угрозы специальных воздействий на ИСПДн[3].

По виду несанкционированных действий, осуществляемых с ПДн, выделяются следующие классы угроз:

угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;

угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение;

угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн.

По используемой уязвимости выделяются следующие классы угроз:

угрозы, реализуемые с использованием уязвимости системного ПО;

угрозы, реализуемые с использованием уязвимости прикладного ПО;

угрозы, возникающие в результате использования уязвимости, вызванной наличием в АС аппаратной закладки;

угрозы, реализуемые с использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных;

угрозы, возникающие в результате использования уязвимости, вызванной недостатками организации ТЗИ от НСД;

угрозы, реализуемые с использованием уязвимостей, обусловливающих наличие технических каналов утечки информации;

угрозы, реализуемые с использованием уязвимостей СЗИ.

По объекту воздействия выделяются следующие классы угроз:

угрозы безопасности ПДн, обрабатываемых на АРМ;

угрозы безопасности ПДн, обрабатываемых в выделенных средствах обработки (принтерах, плоттерах, графопостроителях, вынесенных мониторах, видеопроекторах, средствах звуковоспроизведения и т.п.);

угрозы безопасности ПДн, передаваемых по сетям связи;

угрозы прикладным программам, с помощью которых обрабатываются ПДн;

угрозы системному ПО, обеспечивающему функционирование ИСПДн[3].

Реализация одной из УБПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:

значительным негативным последствиям для субъектов ПДн;

негативным последствиям для субъектов ПДн;

незначительным негативным последствиям для субъектов ПДн.

Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн.

Угрозы, связанные с несанкционированным доступом (НСД), приведены на рисунке 1.2 и представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации, директориев, каталогов, файлов с ПДн или самих ПДн) и возможных деструктивных действий[3].


Рисунок 1.2 - Классификация УБПДн, обрабатываемых в информационных системах персональных данных


1.3 Общая характеристика источников угроз НСД в ИСПДн


Источниками угроз могут быть:

нарушитель;

носитель вредоносной программы;

аппаратная закладка.

Угрозы безопасности ПДн, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативным документами Федеральной службы безопасности Российской Федерации в установленном ею порядке.

По наличию права постоянного или разового доступа в контролируемую зону (КЗ) ИСПДн нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, - внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, - внутренние нарушители[3].

Внешними нарушителями могут быть:

разведывательные службы государств;

криминальные структуры;

конкуренты (конкурирующие организации);

недобросовестные партнеры;

внешние субъекты (физические лица).

Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;

осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.

Лицо этой категории, может:

иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;

располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

располагать именами и вести выявление паролей зарегистрированных пользователей;

изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн[3].

Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

обладает всеми возможностями лиц первой категории;

знает, по меньшей мере, одно легальное имя доступа;

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.

К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.

Лицо этой категории:

обладает всеми возможностями лиц первой и второй категорий;

располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн;

имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.

К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн[3].

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;

обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;

имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;

имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;

обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.

К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Системный администратор выполняет конфигурирование и управление программным обеспечением (ПО) и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД[3].

К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.

К седьмой категории относятся программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.

Лицо этой категории:

обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.

Лицо этой категории:

обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.

Указанные категории нарушителей должны учитываться при оценке возможностей реализации УБПДн[3].

Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:

отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;

встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода);

микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).

Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:

пакеты передаваемых по компьютерной сети сообщений;

файлы (текстовые, графические, исполняемые и т.д.)[4].

Таким образом, в данной главе были рассмотрены основные нормативные документы, регулирующие правовые отношения в области защиты ПДн, а также приведены сведения о возможных угрозах информационной безопасности ИСПДн, подробно приведена и рассмотрена характеристика угроз НСД. При рассмотрении угроз, особое внимание уделялось классификации нарушителей безопасности, поскольку они выполняют доминирующую роль в нарушении работоспособности АС.

2. УСТРОЙСТВО ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ


.1 Модели представления данных


База данных (БД) представляет собой совокупность специальным образом организованных данных, хранимых в памяти вычислительной системы и отображающих состояние объектов и их взаимосвязей в рассматриваемой предметной области.

Логическую структуру хранимых в базе данных называют моделью представления данных. К основным моделям представления данных (моделям данных) относятся следующие: иерархическая, сетевая, реляционная, постреляционная, многомерная и объектно-ориентированная.

Система управления базами данных (СУБД) - это комплекс языковых и программных средств, предназначенный для создания, ведения и совместного использования БД многими пользователями. Обычно СУБД различают но используемой модели данных. Так, СУБД, основанные на использовании реляционной модели данных, называют реляционными СУБД.

Классификация СУБД. В общем случае под СУБД можно понимать любой программный продукт, поддерживающий процессы создания, ведения и использования БД. Рассмотрим, какие из имеющихся на рынке программ имеют отношение к БД и в какой мере они связаны с базами данных.

К СУБД относятся следующие основные виды программ:

полнофункциональные СУБД;

серверы БД;

клиенты БД;

средства разработки программ работы с БД.

Полнофункциональные СУБД (ПФСУБД) представляют собой традиционные СУБД, которые сначала появились для больших машин, затем для мини-машин и для ПЭВМ. Из числа всех СУБД современные ПФСУБД являются наиболее многочисленными и мощными по своим возможностям. К ПФСУБД относятся, например, такие пакеты, как Clarion Database Developer, DataEase, DataFlex, dBase IV, Microsoft Access, Microsoft FoxPro и Paradox R:BASE.

Обычно ПФСУБД имеют развитый интерфейс, позволяющий с помощью команд меню выполнять основные действия с БД: создавать и модифицировать структуры таблиц, вводить данные, формировать запросы, разрабатывать отчеты, выводить их на печать и т.п. Для создания запросов и отчетов не обязательно программирование, а удобно пользоваться языком QBE (Query By Example - формулировки запросов но образцу, см. подраздел 3.8). Многие ПФСУБД включают средства программирования для профессиональных разработчиков.

Некоторые системы имеют в качестве вспомогательных и дополнительные средства проектирования схем БД или CASE-подсистемы. Для обеспечения доступа к другим БД или к данным SQL-серверов полнофункциональные СУБД имеют факультативные модули[6].

Серверы БД предназначены для организации центров обработки данных в сетях ЭВМ. Эта группа БД в настоящее время менее многочисленна, но их количество постепенно растет. Серверы БД реализуют функции управления базами данных, запрашиваемые другими (клиентскими) программами обычно с помощью операторов SQL.

Примерами серверов БД являются следующие программы: MySQL, Oracle Database (Oracle), MS SQL Server (Microsoft), InterBase (Borland), SQLBase.

В роли клиентских программ для серверов БД в общем случае могут использоваться различные программы: ПФСУБД, электронные таблицы, текстовые процессоры, программы электронной почты и т.д. При этом элементы пары «клиент - сервер» могут принадлежать одному или разным производителям программного обеспечения.

В случае, когда клиентская и серверная части выполнены одной фирмой, естественно ожидать, что распределение функций между ними выполнено рационально. В остальных случаях обычно преследуется цель обеспечения доступа к данным «любой ценой». Примером такого соединения является случай, когда одна из полнофункциональных СУБД играет роль сервера, а вторая СУБД (другого производителя) - роль клиента. Так, для сервера БД SQL Server (Microsoft) в роли клиентских (фронтальных) программ могут выступать многие СУБД, такие как dBASE IV, Blyth Software, Paradox, DataEase, Focus, 1-2-3, MDBS III, Revelation и другие[6].

Средства разработки программ работы с БД могут использоваться для создания разновидностей следующих программ:

клиентских программ;

серверов БД и их отдельных компонентов;

пользовательских приложений.

Программы первого и второго вида довольно малочисленны, так как предназначены, главным образом, для системных программистов. Пакетов третьего вида гораздо больше, но меньше, чем полнофункциональных СУБД.

К средствам разработки пользовательских приложений относятся системы программирования, например Clipper, разнообразные библиотеки программ для различных языков программирования, а также пакеты автоматизации разработок (в том числе систем типа клиент-сервер). В числе наиболее распространенных можно назвать следующие инструментальные системы: Delphi и C++ Builder (Embarcadero), Visual Basic (Microsoft), SILVERRUN (Computer Advisers Inc.), S-Designor (SDP и Powersoft) и ERwin (LogicWorks).

Кроме перечисленных средств, для управления данными и организации обслуживания БД используются различные дополнительные средства, к примеру, мониторы транзакций.

По характеру использования СУБД делят на персональные и многопользовательские.

Персональные СУБД обычно обеспечивают возможность создания персональных БД и недорогих приложений, работающих с ними. Персональные СУБД или разработанные с их помощью приложения зачастую могут выступать в роли клиентской части многопользовательской СУБД. К персональным СУБД, например, относятся Visual FoxPro, Paradox, Clipper, dBase, Access и др.

Многопользовательские СУБД включают в себя сервер БД и клиентскую часть и, как правило, могут работать в неоднородной вычислительной среде (с разными типами ЭВМ и операционными системами). К многопользовательским СУБД относятся, например, СУБД Oracle и Informix.

По используемой модели данных СУБД (как и БД), разделяют на иерархические, сетевые, реляционные, объектно-ориентированные и другие типы. Некоторые СУБД могут одновременно поддерживать несколько моделей данных.

С точки зрения пользователя, СУБД реализует функции хранения, изменения (пополнения, редактирования и удаления) и обработки информации, а также разработки и получения различных выходных документов[6].

Для работы с хранящейся в базе данных информацией СУБД предоставляет программам и пользователям следующие два типа языков:

язык описания данных - высокоуровневый непроцедурный язык декларативного типа, предназначенный для описания логической структуры данных;

язык манипулирования данными - совокупность конструкций, обеспе-чивающих выполнение основных операций по работе с данными: ввод, модификацию и выборку данных по запросам.

Названные языки в различных СУБД могут иметь отличия. Наибольшее распространение получили два стандартизованных языка: QBE (Query By Example) - язык запросов по образцу и SQL (Structured Query Language) - структурированный язык запросов. QBE в основном обладает свойствами языка манипулирования данными, SQL сочетает в себе свойства языков обоих типов - описания и манипулирования данными.

Перечисленные выше функции СУБД, в свою очередь, используют следующие основные функции более низкого уровня, которые назовем низкоуровневыми:

управление данными во внешней памяти;

управление буферами оперативной памяти;

управление транзакциями;

ведение журнала изменений в БД;

обеспечение целостности и безопасности БД.

Дадим краткую характеристику необходимости и особенностям реализации перечисленных функций в современных СУБД[6].

Реализация функции управления данными во внешней памяти в разных системах может различаться и на уровне управления ресурсами (используя файловые системы ОС или непосредственное управление устройствами ПЭВМ), и по логике самих алгоритмов управления данными. В основном методы и алгоритмы управления данными являются «внутренним делом» СУБД и прямого отношения к пользователю не имеют. Качество реализации этой функции наиболее сильно влияет на эффективность работы специфических ИС, например, с огромными БД, со сложными запросами, большим объемом обработки данных.

Необходимость буферизации данных и как следствие реализации функции управления буферами оперативной памяти обусловлено тем, что объем оперативной памяти меньше объема внешней памяти.

Буферы представляют собой области оперативной памяти, предназначенные для ускорения обмена между внешней и оперативной памятью. В буферах временно хранятся фрагменты БД, данные из которых предполагается использовать при обращении к СУБД или планируется записать в базу после обработки.

Механизм транзакций используется в СУБД для поддержания целостности данных в базе. Транзакцией называется некоторая неделимая последовательность операций над данными БД, которая отслеживается СУБД от начала и до завершения. Если по каким-либо причинам (сбои и отказы оборудования, ошибки в программном обеспечении (ПО), включая приложение) транзакция остаётся не завершённой, то она отменяется[6].

Хранимые в базе данные имеют определенную логическую структуру - иными словами, описываются некоторой моделью представления данных (моделью данных), поддерживаемой СУБД. К числу классических относятся следующие модели данных:

иерархическая,

сетевая,

реляционная.

Кроме того, в последние годы появились, и стали более активно внедряться на практике следующие модели данных:

постреляционная,

многомерная,

объектно-ориентированная.

Разрабатываются также всевозможные системы, основанные на других моделях данных, расширяющих известные модели. В их числе можно назвать объектно-реляционные, дедуктивно-объектно-ориентированные, семантические, концептуальные и ориентированные модели. Некоторые из этих моделей служат для интеграции баз данных, баз знаний и языков программирования.

В некоторых СУБД поддерживаются одновременно несколько моделей данных. Например, в системе ИНТЕРБАЗА для приложений применяется. В некоторых СУБД поддерживаются одновременно несколько моделей данных. Например, в системе ИНТЕРБАЗА для приложений применяется сетевой язык манипулирования данными, а в пользовательском интерфейсе реализованы языки SQL и QBE[6].

Рассмотрим каждую модель представления данных

В иерархической модели связи между данными можно описать с помощью упорядоченного графа (или дерева). Упрощенно представление связей между данными в иерархической модели показано на рисунке 2.1.

персональный данная защита безопасность


Рисунок 2.1 - Представление связей в иерархической модели


Тип «дерево» является составным. Он включает в себя подтипы («поддеревья»), каждый из которых, в свою очередь, является типом «дерево». Каждый из типов «дерево» состоит из одного «корневого» типа и упорядоченного набора (возможно, пустого) подчиненных типов. Каждый из элементарных типов, включенных в тип «дерево», является простым или составным типом «запись». Простая «запись» состоит из одного типа, например числового, а составная «запись» объединяет некоторую совокупность типов, например, целое, строку символов и указатель (ссылку). Пример типа «дерево» как совокупности типов показан на рисунке 2.2 [6].


Рисунок. 2.2 - Пример типа «дерево»

Корневым называется тип, который имеет подчиненные типы и сам не является подтипом. Подчиненный тип (подтип) является потомком по отношению к типу, который выступает для него в роли предка (родителя). Потомки одного и того же типа являются близнецами по отношению друг к другу.

В целом тип «дерево» представляет собой иерархически организованный набор типов «запись».

Иерархическая БД представляет собой упорядоченную совокупность экземпляров данных типа «дерево» (деревьев), содержащих экземпляры типа «запись» (записи). Часто отношения родства между типами переносят на отношения между самими записями. Поля записей хранят собственно числовые или символьные значения, составляющие основное содержание БД. Обход всех элементов иерархической БД обычно производится сверху вниз и слева направо.

К достоинствам иерархической модели данных относятся эффективное использование памяти ЭВМ и неплохие показатели времени выполнения основных операций над данными. Иерархическая модель данных удобна для работы с иерархически упорядоченной информацией.

Недостатком иерархической модели является ее громоздкость для обработки информации с достаточно сложными логическими связями, а также сложность понимания для обычного пользователя[6].

На иерархической модели данных основано сравнительно ограниченное количество СУБД, в числе которых можно назвать зарубежные системы IMS, PC/Focus, Team-Up и Data Edge, а так же отечественные системы Ока, ИНЭС и МИРИС.

Сетевая модель данных позволяет отображать разнообразные взаимосвязи элементов данных в виде произвольного графа, обобщая тем самым иерархическую модель данных. Наиболее полно концепция сетевых БД впервые была изложена в предложениях группы КОДАСИЛ (KODASYL). Данная модель показана на рисунке 2.3.


Рисунок 2.3 - Представление связей в сетевой модели


Для описания схемы сетевой БД используется две группы типов: «запись» и «связь». Тип «связь» определяется для двух типов «запись»: предка и потомка Переменные типа «связь» являются экземплярами связей.

Сетевая БД состоит из набора записей и набора соответствующих связей. На формирование связи особых ограничений не накладывается. Если в иерархических структурах запись-потомок могла иметь только одну запись-предка, то в сетевой модели данных запись-потомок может иметь произвольное число записей-предков (сводных родителей)[6].

Пример схемы простейшей сетевой БД показан на рисунке 2.4.


Рисунок 2.4 - Пример схемы сетевой БД


Типы связей здесь обозначены надписями на соединяющих типы записей линиях.

Достоинством сетевой модели данных является возможность эффективной реализации по показателям затрат памяти и оперативности. В сравнении с иерархической моделью сетевая модель предоставляет

Недостатком сетевой модели данных является высокая сложность и жесткость схемы БД, построенной на ее основе, а также сложность для понимания и выполнения обработки информации в БД обычным пользователем. Кроме того, в сетевой модели данных ослаблен контроль целостности связей вследствие допустимости установления произвольных связей между записями.

Системы на основе сетевой модели не получили широкого распространения на практике. Наиболее известными сетевыми СУБД являются следующие: IDMS, db_VistaiII, СЕТЬ, СЕТОР и КОМПАС.

Реляционная модель данных предложена сотрудником фирмы IBM Эдгаром Коддом и основывается на понятии отношение (relation).

Наглядной формой представления отношения является привычная для человеческого восприятия двумерная таблица.

Таблица имеет строки (записи) и столбцы (колонки). Каждая строка таблицы имеет одинаковую структуру и состоит из нолей. Строкам таблицы соответствуют кортежи, а столбцам - атрибуты отношения[6].

С помощью одной таблицы удобно описывать простейший вид связей между данными, а именно деление одного объекта (явления, сущности, системы и пр.), информация о котором хранится в таблице, на множество подобъектов, каждому из которых соответствует строка или запись таблицы. При этом каждый из подобъектов имеет одинаковую структуру или свойства, описываемые соответствующими значениями полей записей. Например, таблица может содержать сведения о группе обучаемых, о каждом из которых известны следующие характеристики: фамилия, имя и отчество, пол, возраст и образование. Поскольку в рамках одной таблицы не удается описать более сложные логические структуры данных из предметной области, применяют связывание таблиц.

Физическое размещение данных в реляционных базах на внешних носителях легко осуществляется с помощью обычных файлов.

Достоинство реляционной модели данных заключается в простоте, понятности и удобстве физической реализации на ЭВМ. Именно простота и понятность для пользователя явились основной причиной их широкого использования. Проблемы же эффективности обработки данных этого типа оказались технически вполне разрешимыми.

Основными недостатками реляционной модели являются следующие: отсутствие стандартных средств идентификации отдельных записей и сложность описания иерархических и сетевых связей.

Примерами зарубежных реляционных СУБД для ПЭВМ являются следующие: dBase III Plus и dBase IV (фирма Ashton-Tate), DB2 (IBM), R:BASE (Microrim), FoxPro ранних версий и FoxBase(Fox Software), Paradox и dBase: for Windows (Borland), FoxPro более поздних версий, Visual FoxPro и Access (Microsoft), Clarion (Clarion Software), Ingres (ASK Computer Systems) и Oracle (Oracle).

К отечественным СУБД реляционного типа относятся системы: ПАЛЬМА (ИК АН УССР), а также система HyTech (МИФИ).

Заметим, что последние версии реляционных СУБД имеют некоторые свойства объектно-ориентированных систем. Такие СУБД часто называют объектно-реляционными. Примером такой системы можно считать продукты Oracle 8.x. Системы предыдущих версий вплоть до Oracle 7.x считаются «чисто» реляционными[6].

Постреляционная модель данных представляет собой расширенную реляционную модель, снимающую ограничение неделимости данных, хранящихся в записях таблиц. Постреляционная модель данных допускает многозначные поля - поля, значения которых состоят из подзначений. Набор значений многозначных полей считается самостоятельной таблицей, встроенной в основную таблицу.

Помимо обеспечения вложенности полей постреляционная модель поддерживает ассоциированные многозначные поля (множественные группы). Совокупность ассоциированных полей называется ассоциацией. При этом в строке первое значение одного столбца ассоциации соответствует первым значениям всех других столбцов ассоциации. Аналогичным образом связаны все вторые значения столбцов и т.д.

На длину полей и количество полей в записях таблицы не накладывается требование постоянства. Это означает, что структура данных и таблиц имеет большую гибкость.

Поскольку постреляционная модель допускает хранение в таблицах ненормализованных данных, возникает проблема обеспечения целостности и непротиворечивости данных. Эта проблема решается включением в СУБД механизмов, подобных хранимым процедурам в клиент-серверных системах.

Для описания функций контроля значений в полях имеется возможность создавать процедуры (коды конверсии и коды корреляции), автоматически вызываемые до или после обращения к данным. Коды корреляции выполняются сразу после чтения данных, перед их обработкой. Коды конверсии, наоборот, выполняются после обработки данных.

Достоинством постреляционной модели является возможность представления совокупности связанных реляционных таблиц одной постреляционной таблицей. Это обеспечивает высокую наглядность представления информации и повышение эффективности ее обработки.

Недостатком постреляционной модели является сложность решения проблемы обеспечения целостности и непротиворечивости хранимых данных.

Рассмотренная нами постреляционная модель данных поддерживается СУБД uniVers. К числу других СУБД, основанных на постреляциониой модели данных, относятся также системы Bubba и Dasdb[6].

Многомерные СУБД (МСУБД) являются узкоспециализированными СУБД, предназначенными для интерактивной аналитической обработки информации. Основные понятия, используемые в этих СУБД: агрегируемость, историчность и прогнозируемость данных.

Агрегируемость данных означает рассмотрение информации на различных уровнях ее обобщения. В информационных системах степень детальности представления информации для пользователя зависит от его уровня: аналитик, пользователь-оператор, управляющий, руководитель.

Историчность данных предполагает обеспечение высокого уровня статичности (неизменности) собственно данных и их взаимосвязей, а также обязательность привязки данных ко времени.

Статичность данных позволяет использовать при их обработке специализированные методы загрузки, хранения, индексации и выборки.

Временная привязка данных необходима для частого выполнения запросов, имеющих значения времени и даты в составе выборки. Необходимость упорядочения данных по времени в процессе обработки и представления данных пользователю накладывает требования на механизмы хранения и доступа к информации. Так, для уменьшения времени обработки запросов желательно, чтобы данные всегда были отсортированы в том порядке, в котором они наиболее часто запрашиваются.

Прогнозируемость данных подразумевает задание функций прогнозирования и применение их к различным временным интервалам.

Многомерность модели данных означает не многомерность визуализации цифровых данных, а многомерное логическое представление структуры информации при описании и в операциях манипулирования данными[6].

По сравнению с реляционной моделью многомерная организация данных обладает более высокой наглядностью и информативностью. Для иллюстрации в таблице 2.1 и таблице 2.2 приведены реляционное и многомерное представления одних и тех же данных об объемах продаж автомобилей.

Таблица 2.1 - Реляционная модель данных

Ф.И.ОВрачКоличество посещенийНиколаева Н.Н.венеролог12Николаева Н.Н.дерматолог24Николаева Н.Н.гинеколог5Иванов И.И.венеролог2Иванов И.Идерматолог18Петров П.П.дерматолог19

Таблица 2.2 - Многомерная модель данных

Ф.И.ОВенерологДерматологГинекологНиколаева Н.Н.12245Иванов И.И.218NULLПетров П.П.NULL19NULL

Если речь идет о многомерной модели с мерностью больше двух, то не обязательно визуально информация представляется в виде многомерных объектов (трех-, четырех- и более мерных гиперкубов). Пользователю и в этих случаях более удобно иметь дело с двухмерными таблицами или графиками. Данные при этом представляют собой «вырезки» (точнее, «срезы») из многомерного хранилища данных, выполненные с разной степенью детализации.

Рассмотрим основные понятия многомерных моделей данных, к числу которых относятся измерение и ячейка.

Измерение (Dimension) - это множество однотипных данных, образующих одну из граней гиперкуба. Примерами наиболее часто используемых временных измерений являются: дни, месяцы, кварталы и годы. В качестве географических измерений широко употребляются: города, районы, регионы и страны. В многомерной модели данных измерения играют роль индексов, служащих для идентификации конкретных значений в ячейках гиперкуба[6].

Ячейка (Cell) или показатель - это поле, значение которого однозначно определяется фиксированным набором измерений. Тип поля чаще всего определен как цифровой. В зависимости от того, как формируются значения некоторой ячейки, обычно она может быть переменной (значения изменяются и могут быть загружены из внешнего источника данных или сформированы программно) либо формулой (значения, подобно формульным ячейкам электронных таблиц, вычисляются по заранее заданным формулам).

В примере на рисунке 2.5, в каждое значение ячейки «Объем продаж» однозначно определяется комбинацией временного измерения (Месяц продаж) и модели автомобиля. На практике зачастую требуется большее количество измерений.


Рисунок 2.5 - Пример трёхмерной модели данных


В существующих МСУБД используются два основных варианта (схемы) организации данных: гиперкубическая и поликубическая.

В поликубической схеме предполагается, что в БД может быть определено несколько гиперкубов с различной размерностью и с различными измерениями в качестве граней. Примером системы, поддерживающей поликубический вариант БД, является сервер Oracle Express Server[6].

В случае гиперкубической схемы предполагается, что все показатели определяются одним и тем же набором измерений. Это означает, что при наличии нескольких гиперкубов БД все они имеют одинаковую размерность и совпадающие измерения. Очевидно, в некоторых случаях информация в БД может быть избыточной (если требовать обязательное заполнение ячеек).

В случае многомерной модели данных применяется ряд специальных операций, к которым относятся: формирование «среза», «вращение», агрегация и детализация.

Срез (Slice) представляет собой подмножество гиперкуба, полученное в результате фиксации одного или нескольких измерений. Формирование «срезов» выполняется для ограничения используемых пользователем значений, так как все значения гиперкуба практически никогда одновременно не используются. Например, если ограничить значения измерения Модель автомобиля в гиперкубе (рис. 2.9) маркой «Жигули», то получится двухмерная таблица продаж этой марки автомобиля различными менеджерами по годам.

Операция «вращение» (Rotate) применяется при двухмерном представлении данных. Суть ее заключается в изменении порядка измерений при визуальном представлении данных. Так, «вращение» двухмерной таблицы, показанной на рис. 2.86, приведет к изменению ее вида таким образом, что по оси X будет марка автомобиля, а по оси Y - время.

Операцию «вращение» можно обобщить и на многомерный случай, если под ней понимать процедуру изменения порядка следования измерений. В простейшем случае, например, это может быть взаимная перестановка двух произвольных измерений.

Операции «агрегация» (Drill Up) и «детализация» (Drill Down) означают соответственно переход к более общему и к более детальному представлению информации пользователю из гиперкуба.

Для иллюстрации смысла операции «агрегация» предположим, что у нас имеется гиперкуб, в котором помимо измерений гиперкуба, имеются еще измерения: подразделение, регион, фирма, страна. Заметим, что в этом случае в гиперкубе существует иерархия (снизу вверх) отношений между измерениями: менеджер, подразделение, регион, фирма, страна[6].

Пусть в описанном гиперкубе определено, насколько успешно в 1995 году менеджер Петров продавал автомобили «Жигули» и «Волга». Тогда, поднимаясь на уровень выше по иерархии, с помощью операции «агрегация» можно выяснить, как выглядит соотношение продаж этих же моделей на уровне подразделения, где работает Петров.

Основным достоинством многомерной модели данных является удобство и эффективность аналитической обработки больших объемов данных, связанных со временем. При организации обработки аналогичных данных на основе реляционной модели происходит нелинейный рост трудоемкости операций в зависимости от размерности БД и существенное увеличение затрат оперативной памяти на индексацию.

Недостатком многомерной модели данных является ее громоздкость для простейших задач обычной оперативной обработки информации.

Примерами систем, поддерживающих многомерные модели данных, являются Essbase (Arbor Software), Media Multi-matrix (Speedware), Oracle Express Server

(Oracle) и Cache (InterSystems). Некоторые программные продукты, например Media/M R (Speedware), позволяют одновременно работать с многомерными и с реляционными БД. В СУБД Cache, в которой внутренней моделью данных является многомерная модель, реализованы три способа доступа к данным: прямой (на уровне узлов многомерных массивов), объектный и реляционный.

В объектно-ориентированной модели при представлении данных имеется возможность идентифицировать отдельные записи базы. Между записями базы данных и функциями их обработки устанавливаются взаимосвязи с помощью механизмов, подобных соответствующим средствам в объектно-ориентированных языках программирования[6].

Стандартизованная объектно-ориентированной модель описана в рекомендациях стандарта ODMG-93 (Object Database Management Group - группа управления объектно-ориентированными базами данных). Реализовать в полном объеме рекомендации ODMG-93 пока не удается. Для иллюстрации ключевых идей рассмотрим несколько упрощенную модель объектно-ориентированной БД.

Структура объектно-ориентированной БД графически представима в виде дерева, узлами которого являются объекты. Свойства объектов описываются некоторым стандартным типом (например, строковым - string) или типом, конструируемым пользователем (определяется как class).

Значением свойства типа string является строка символов. Значение свойства типа class есть объект, являющийся экземпляром соответствующего класса. Каждый объект-экземпляр класса считается потомком объекта, в котором он определен как свойство. Объект-экземпляр класса принадлежит своему классу и имеет одного родителя. Родовые отношения в БД образуют связную иерархию объектов[6].

Пример логической структуры объектно-ориентированной БД библиотечного дела приведен на рисунке. 2.6.


Рисунок 2.6 - Пример объектно-ориентированной БД


Здесь объект типа БИБЛИОТЕКА является родительским для объектов-экземпляров классов АБОНЕНТ, КАТАЛОГ и ВЫДАЧА. Различные объекты типа КНИГА могут иметь одного или разных родителей. Объекты типа КНИГА, имеющие одного и того же родителя, должны различаться по крайней мере инвентарным номером (уникален для каждого экземпляра книги), но имеют одинаковые значения свойств isbn, удк, название и автор.

Логическая структура объектно-ориентированной БД внешне похожа на структуру иерархической БД. Основное отличие между ними состоит в методах манипулирования данными.

Для выполнения действий над данными в рассматриваемой модели БД применяются логические операции, усиленные объектно-ориентированными механизмами инкапсуляции, наследования и полиморфизма. Ограниченно могут применяться операции, подобные командам SQL (например, для создания БД).

Создание и модификация БД сопровождается автоматическим формированием и последующей корректировкой индексов (индексных таблиц), содержащих информацию для быстрого поиска данных.

Рассмотрим кратко понятия инкапсуляции, наследования и полиморфизма применительно к объектно-ориентированной модели БД.

Инкапсуляция ограничивает область видимости имени свойства пределами того объекта, в котором оно определено. Так, если в объект тина КАТАЛОГ добавить свойство, задающее телефон автора книги и имеющее название телефон, то мы получим одноименные свойства у объектов АБОНЕНТ и КАТАЛОГ. Смысл такого свойства будет определяться тем объектом, в который оно инкапсулировано[6].

Наследование, наоборот, распространяет область видимости свойства на всех потомков объекта. Так, всем объектам типа КНИГА, являющимся потомками объекта типа КАТАЛОГ, можно приписать свойства объекта-родителя: isbn, удк, название и автор. Если необходимо расширить действие механизма наследования на объекты, не являющиеся непосредственными родственниками (например, между двумя потомками одного родителя), то в их общем предке определяется абстрактное свойство типа abs.

Полиморфизм в объектно-ориентированных языках программирования означает способность одного и того же программного кода работать с разнотипными данными. Другими словами, он означает допустимость в объектах разных типов иметь методы (процедуры или функции) с одинаковыми именами. Во время выполнения объектной программы одни и те же методы оперируют с разными объектами в зависимости от типа аргумента. Применительно к нашей объектно-ориентированной БД полиморфизм означает, что объекты класса КНИГА, имеющие разных родителей из класса КАТАЛОГ, могут иметь разный набор свойств. Следовательно, программы работы с объектами класса

Основным достоинством объектно-ориентированной модели данных в сравнении с реляционной является возможность отображения информации о сложных взаимосвязях объектов. Объектно-ориентированная модель данных позволяет идентифицировать отдельную запись базы данных и определять функции их обработки.

Недостатками объектно-ориентированной модели являются высокая понятийная сложность, неудобство обработки данных и низкая скорость выполнения запросов.

В 90-е годы существовали экспериментальные прототипы объектно-ориентированных систем управления базами данных. В настоящее время такие системы получили широкое распространение, в частности, к ним относятся следующие СУБД: РОЕТ (РОЕТ Software), Jasmine (Computer Associates), Versant (Versant Technologies), 02 (Ardent Software), ODB-Jupiter (научно-производственный центр «Интелтек Плюс»), а также Iris, Orion и Postgres[6].


2.2 База персональных данных


Рассмотрев различные модели представления данных, перейдём к детальному описанию БД ПДн. В медицинской организации можно выделить два основных подразделения обрабатывающих информацию, в которую включены ПДн:

Лечебное (состоит из сбора, обработки, хранения, уточнения, модификации, уничтожения персональных данных пациентов);

Бухгалтерия и кадры (обработка персональных данных сотрудников и контрагентов)

Прочие источники, содержащие преимущественно обезличение ПДн и ПД для неограниченного круга лиц (почтовые клиенты, интернет сайты и прочее ПО).

Каждое из подразделений формируют свою БД, отвечающей их специфики деятельности. В зависимости от требований нормативных и руководящих документов, а также внутренних приказов и распоряжений, база может варьироваться. Чаще всего, главную роль в создании БД оказывает ПО, имеющееся в наличии, например, СУБД MS Access, поставляющееся в комплекте MS Office, позволяет в короткие сроки создать БД. Рассмотрим примеры БД каждого из вышеуказанных подразделений.

БД лечебного подразделения создаются для:

повышение производительности труда;

формирование и сдачи отчётности в вышестоящие организации;

ведение статистики заболеваемости и качества работы учреждения;

В медицинском учреждении БД храниться на бумажных носителях (база карт пациентов) и на серверах БД (в роли сервера может выступить любая ПЭВМ, как отдельно стоящая, в случае локальной БД, так и включённая в сеть, в случае использовании клиент-серверной технологии).

Рассмотрим БД бумажных носителей на примере карты пациента. Она включает:

фамилия;

имя;

отчество;

номер карты;

дата рождения (число, месяц, год);

домашний адрес;

номер телефона;

место работы;

сведения о здоровье (включает в себя разнообразную информации о диагнозе, характере лечения, процедурах, направления на госпитализацию и прочие сведения, относящиеся к понятию «история болезни»)[7].

Организация карт может отличаться в различных учреждениях, и для ускорения поиска используется индексацию по номеру карты, либо по фамилии. Также возможны вложенные виды индексаций, например, по заболеванию и номеру карты, либо по месту жительства и фамилии.

БД, хранящиеся в ЭВМ, могут весьма разнообразны, поскольку требуется наиболее детально осветить различные аспекты деятельности предприятия. Существенным отличием от бумажного аналога является скорость доступа и объём сведений получаемым при автоматизированной обработке БД. Поэтому для защиты информации в БД, а также уменьшения занимаемого места на диске, используют:

Сегментацию. Физическая или логическая сегментация БД в ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в которых происходит автоматизированная обработка персональных данных. Иллюстрация приведена на рисунке 2.7.


Рисунок 2.7 - Сегментация БД

Обезличивание. Введение в процесс обработки персональных данных процедуры обезличивания существенно упростит задачи по защите персональных данных. Обезличивание можно провести путем нормализации баз данных, либо кодированием, либо шифрованием (рисунок 2.8).


IDФамилияИмяОтчествоДата рожденияПол1ИвановИванИванович01.01.2011м

IDФамилияИмяОтчествоДата рожденияПол1ВнвиаоАивнИванович01.01.2011мРисунок 2.8 - Обезличивание таблицы путём шифрования.


Разделение ПДн на части. В этом случае возможно уменьшение количества субъектов ПДн, обрабатываемых в системе. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных.

Абстрагирование ПДн. Зачастую на некоторых участках обработки или сегментах сети персональные данные можно сделать менее точными, например, путем группирования общих характеристик[1].


IDФамилияИмяОтчествоДата рожденияПол1ИвановИванИванович01.01.2011м2ПетровИванИванович02.02.2010м

IDФамилияИмяОтчествоВозрастПол1ИвановИванИвановичменьше 18м2ПетровИванИвановичменьше 18мРисунок 2.9 - Абстрагирование ПДн


БД лечебного учреждения создаются и используются несколькими типами программ:Office Access 2003, либо Microsoft Office Access 2007 (данные хранятся в формате mdb, реже accdb);Office Excel 2003, либо Microsoft Office Excel 2007 (данные хранятся в формате xls);

Программы предоставляемые ПК МИАЦ («Регистратура», «Статистика», «Стационар» клиенты к СУБД, использующие ядро BDE с навигационным доступом, данные хранятся в формате dbf);

Достоинства данных СУБД:

быстрота разработки;

совместимость с большинством ПЭВМ под управлением ОС Windows

Недостатки:

отсутствие защиты, либо низкая защита данных;

проблемы с многопользовательским доступом (для xls, dbf более 2, для mdb более 5 пользователей);

низкая скорость работы с большим объёмом данных;

циркуляция большого объёма данных в сети при многопользовательском доступе;

Рассмотрим пример, БД, созданная в MS Access, c 12 полями и 10000 записями занимает дискового пространства около 111 МБ. Данная БД храниться на сервере и 3 пользователя начинают работать с ней одновременно. При каждом выполненном действии, пользователю направляется копия БД с изменениями других пользователей. В итоге получается циркуляция в сети трафика на 333 МБ и, если оборудование не справляется, возникает «отказ в обслуживании» санкционированных пользователей. Иллюстрация приведена на рисунке 2.10.

Рисунок 2.10 - Проблемы доступа к БД с помощью MS Access, BDE


Где чёрная стрелка означает выполнение действия с БД (открытие базы, вставка, сортировка, удаление и т.д.), красная - пересылка всей БД с изменениями.

Рассмотрев БД лечебного подразделения, перейдём к бухгалтерии и кадрам. ПДн в данном подразделении можно разделить на два типа: ПДн сотрудников и контрагентов, взаимодействующих с предприятием по договорам. Основными сведениями о работниках предприятия, подлежащими защите являются:

фамилия, имя, отчество;

место, год и дата рождения;

адрес по прописке;

паспортные данные (серия, номер паспорта, кем и когда выдан);

информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

информация о трудовой деятельности до приема на работу;

информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

адрес проживания (реальный);

телефонный номер (домашний, рабочий, мобильный);

семейное положение и состав семьи (муж/жена, дети);

информация о знании иностранных языков;

форма допуска;

оклад;

данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

ИНН;

данные об аттестации работников;

данные о повышении квалификации;

данные о наградах, медалях, поощрениях, почетных званиях;

информация о приеме на работу, перемещении по должности, увольнении;

информация об отпусках;

информация о командировках;

информация о болезнях;

информация о негосударственном пенсионном обеспечении[1].

Сведения о контрагентах включают:

фамилия, имя, отчество;

место, год и дата рождения;

юридический и фактический адрес;

паспортные данные (серия, номер паспорта, кем и когда выдан), либо регистрационный номер предприятия, код по классификатору и пр.;

ИНН;

номер счёта в банке;

телефон контактного лица.

Обычно данные поля хранятся в одном месте и изменить формат БД невозможно, либо затруднительно, поскольку имеющиеся в наличии программное обеспечение (ПО), не позволяет этого сделать, либо больше не поддерживается автором (многие учреждения работаю на программах более 10-летней давности, а обновления больше не выходят). Например, популярная бухгалтерская программа «1С Предприятие» хранит все сведения в одном файле (начиная с версии 8.0).


2.3 Устройство и угрозы ЛВС предприятия


Медицинские учреждения, в зависимости от размера, состоят из:

. Лаборатории;

. Поликлиники;

. Управления;

. Отделения косметологии;

. Стационара;

. Кафедры, либо учебной комнаты ВГМУ.

Например, «Краевой клинический кожно-венерологический диспансер» включает в себя пункты 1-6, «Приморский краевой противотуберкулёзный диспансер» состоит из пунктов 1-3,5,6, «Поликлиника №8» включает отделения 1-3 и 6.

Локальная сеть типового медицинского учреждения представляет собой односегментную сеть с топологией «звезда», в построении которой применяется технология Fast Ethernet, которая представлена на рисунке 2.11.


Рисунок 2.11 - ЛВС медицинского учреждения (1 - угрозы НСД к информации, 2 - угрозы утечки информации)


Контролер домена отсутствует и, как следствие, отсутствует разграничение прав доступа на АРМ пользователей, а также сервер используют как интернет шлюз и файловое хранилище. Как видно из рисунка 2.11, АРМ ВГМУ, даже если они имеются, в сеть учреждения, не включаются, для уменьшения источников угроз.

Для связи с вышестоящими организациями (ФОМС, Крайздрав) используется доверенный курьер со съёмным носителем информации. Данный метод передачи не эффективен по нескольким причинам:

низкая скорость передачи данных;

высокая вероятность кражи, потери, модификации данных во время доставки;

необходимость отвлечения сотрудника от основных его обязанностей.

В данном медицинском учреждении используются не сертифицированные средства защиты, в частности:

антивирус Avira Free Antivirus;

встроенный в Windows Server 2003 R2 МСЭ.

Перечисленные средства защиты обеспечивают незначительную защиту от узкого спектра угроз (простые вредоносные программы, защиту от НСД внешних не подготовленных нарушителей).

Исходя из данного устройства ЛВС, можно выделить основные угрозы:

угрозы утечки информации по техническим каналам;

угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте.

Угрозы утечки информации по техническим каналам включают в себя:

угрозы утечки акустической (речевой) информации;

угрозы утечки видовой информации;

угрозы утечки информации по каналу ПЭМИН.

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, возможно при наличием функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средства обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора.

Угрозы НСД к АРМ связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в АРМ могут быть аппаратные закладки и отчуждаемые носители вредоносных программ. Угрозы НСД в ИСПДн связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Угрозы НСД в ИСПДн, связанные с действиями нарушителей включают:

угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование,

перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);

угрозы внедрения вредоносных программ.

Угрозы из внешних сетей включают в себя:

угрозы «Анализа сетевого трафика» с перехватом передаваемой во

угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации;

угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.;

угрозы выявления паролей;

угрозы получения НСД путем подмены доверенного объекта;

угрозы типа «Отказ в обслуживании»;

угрозы удаленного запуска приложений;

угрозы внедрения по сети вредоносных программ.

Угрозы заражения ЭВМ возникают из-за распространения вредоносного ПО через:

съёмные носители;

заражённые Web-страницы;

вложения в электронную почту;

дыры в сетевой безопасности;

заражённые файлы и документы.


Рисунок 2.12 - Каналы распространения вредоносного ПО

Угрозы НСД к ПДн возникают из-за отсутствия:

разграничения прав доступа;

защиты данных передаче по каналам связи;

идентификации и аутентификации к объектам ПДн;

утечки по техническим каналам.

Угрозы типа «отказ в обслуживании» возникают из-за:

ошибок ПО;

не соответствие мощности ПЭВМ возложенным на неё задачам (рисунок 2.11);

флуд (flood).

Угрозы перехвата и подмены данных возникают из-за:

уязвимости стека протоколов TCP/IP;

отсутствия шифрования каналов передачи информации.

компрометации криптоключей;

Угрозы хищения съёмных носителей возникают из-за:

отсутствия защищённых мест хранения информации;

отсутствия выделенных помещений для обработки данных.

Угрозы съёма информации возникают из-за особенностей процессов, протекаемых в линиях связи, обородовании.


2.4 Средства защиты информации


Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Аппаратные средства - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объём и масса, высокая стоимость[12].

К основным аппаратным средствам защиты информации относятся:

устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

устройства для шифрования информации (например, АКПШ «Континент»);

устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

устройства уничтожения информации на носителях;

устройства сигнализации о попытках несанкционированных действий пользователей компьютерной системы и др[13].

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств)[12].

К программным средства относят:

встроенные в ОС средства защиты информации (механизмы идентификации и аутентификации, разграничение доступа, аудит и пр);

антивирусная программа (антивирус) - программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики - предотвращения заражения файлов или операционной системы вредоносным кодом (наиболее известные антивирусы ESET NOD32, Kaspersky Antivirus, Dr. Web, Panda Antivirus, Avira Antivirus);

криптографические методы защиты информации - это методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Криптографические программы делятся на встраиваемые в операционную систему (cryptographic services provider (CSP) - криптопровайдер) и выполненные в виде отдельных приложений. Самыми распростаранёными являются Microsoft Base Cryptographic Provider, КриптоПро CSP, ViPNet CSP, Shipka CSP;

Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика. Пример расположения межсетевого экрана (МСЭ) представлена на рисунке 2.13.


Рисунок 2.13 - Место межсетевого экрана в сети

сервер (от англ. proxy - «представитель, уполномоченный») - служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента. Наиболее распространенными являются 3proxy, Kerio Control, Squid, UserGate. Иллюстрация proxy-сервера приведена на рисунке 2.14 [12];

Рисунок 2.14 - Пример proxy-сервера

называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных (см. рисунок 2.15) [15].


Рисунок 2.15 - Конфигурация пользовательской VPN


Наиболее распространёнными программами для создания VPN являются: OpenVPN, CiscoWork VPN, ViPNeT Custom, CSP VPN, StoneGate SSL VPN.

Системы обнаружения вторжений (IDS) - программное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Классификация IDS может быть выполнена:

по способу реагирования;

способу выявления атаки;

способу сбора информации об атаке.

По способу реагирования различают пассивные и активные IDS. Пассивные IDS просто фиксируют факт атаки, записывают данные в файл журнала и выдают предупреждения. Активные IDS пытаются противодействовать атаке, например, путем реконфигурации МЭ или генерации списков доступа маршрутизатора.

По способу выявления атаки системы IDS принято делить на две категории:

обнаружение аномального поведения (anomaly-based);

обнаружение злоупотреблений (misuse detection или signature-based).

Классификация по способу сбора информации об атаке:

обнаружение атак на уровне сети (network-based)

обнаружение атак на уровне хоста (host-based)

обнаружение атак на уровне приложения (application-based).

Программно-аппартные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства[12].

Данные средства, как правило, состоят из нескольких частей:

аппаратный ключ, обеспечивающий идентификацию и аутентификацию пользователя (например iButton, eToken, Rutoken);

считыватель;

плата PCI для интеграции механизмов защиты в ПЭВМ.

Наиболее известные средствами являются Secret Net, ПАК «Соболь», Криптон-Замок, МДЗ-Эшелон.

2.5 Организационные меры защиты


Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в АС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности) [22].

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.

Основные функции службы заключаются в следующем [22]:

формирование требований к системе защиты в процессе создания АС;

участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

распределение между пользователями необходимых реквизитов защиты;

наблюдение за функционированием системы защиты и ее элементов;

организация проверок надежности функционирования системы защиты;

обучение пользователей и персонала АС правилам безопасной обработки информации;

контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием АС;

сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;

службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Все эти задачи не под силу одному человеку, особенно если организация довольно велика. Более того, службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии).

Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема АС имеет своего сотрудника группы безопасности.

Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий.

Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах АС (при децентрализованном управлении).

Существуют различные варианты детально разработанного штатного расписания такой группы, включающие перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование такой группы и детально разработанные обязанности ее сотрудников совершенно необходимы [31].

Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты

Они включают:

разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

периодически проводимые (через определенное время) мероприятия;

постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

К разовым мероприятиям относят:

общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов АС и действиям в случае возникновения кризисных ситуаций;

оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

мероприятия по созданию системы защиты АС и созданию инфраструктуры;

мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

организацию надежного пропускного режима;

определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

К периодически проводимым мероприятиям относят:

распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

Постоянно проводимые мероприятия включают:

мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

явный и скрытый контроль за работой персонала системы;

контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:

документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);

документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

План защиты информации в АС должен содержать следующие сведения:

описание защищаемой системы (основные характеристики защищаемого объекта): назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в АС и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.; цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;

перечень значимых угроз безопасности АС, от которых требуется защита и наиболее вероятных путей нанесения ущерба;

основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации ;

требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС).

План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы системы.

Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:

разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

определение порядка разрешения споров в случае возникновения конфликтов.


2.6 Цикл обработки персональных данных


Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т.п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.

Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».

Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 - это 75 лет (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи - 3 года (Постановление Правительства № 538)[17].

В основе деятельности по созданию и использованию ИТ (ИСПДн является частным его звеном) лежит понятие жизненный цикл (ЖЦ), которое является одним из базовых понятий методологии проектирования САПР и многих других ИС. В настоящее время существует ряд общих методологий разработки ИС. Главное в них - единая дисциплина работы на всех этапах жизненного цикла системы, учет критических задач и контроль их решения, применение развитых инструментальных средств поддержки процессов анализа, проектирования и реализации ИС.

В общем случае под термином жизненный цикл системы (System Life Cycle ) понимается определенная эволюция, период времени и совокупность работ, меняющих состояние системы от появления замысла и начала ее разработки до окончания эксплуатации. Обычно разбивается на отдельные стадии - анализ требований, проектирование, реализация (конструирование), верификация и эксплуатация. Стадии ЖЦ системы могут повторяться итерационным образом в связи с постепенным уточнением требований к системе и/или с необходимостью ее адаптации к тем изменениям, которые возникают в предметной области системы.

Понятие ЖЦ системы позволяет определить понятие жизненный цикл ИС (ЖЦ ИС) - это модель создания и использования (эволюция) ИС, отражающая ее различные состояния, начиная с момента возникновения необходимости в данном комплексе средств создания и обмена информацией, и заканчивая моментом ее полного выхода из употребления у пользователей.

ЖЦ ИС - это период времени и совокупность работ, от момента возникновения и обоснования необходимости создания до момента нецелесообразности дальнейшей ее эксплуатации, т.е. это совокупность взаимосвязанных процессов создания и последовательного изменения состояния ИС, меняющих состояние системы, от формирования исходных требований к ней до окончания эксплуатации и утилизации комплекса средств автоматизации ИС. Обычно разбивается на отдельные стадии - анализ требований, проектирование, реализация (конструирование), верификация и эксплуатация. Стадии жизненного цикла системы могут повторяться итерационным образом в связи с постепенным уточнением требований к системе и/или с необходимостью ее адаптации к тем изменениям, которые возникают в предметной области системы. Такой цикл проходят все технические, технологические и иные информационные системы и в каждом случае они должны быть экономически обоснованы и привязаны к конкретным условиям производства[18].

Применительно к ПДн, жизненный цикл представляет собой этапы от возникновения их в ИС до полного уничтожения. Представим жизненный цикл ПДн в виде блок схемы.

Пример. Пациент, нуждающийся в медицинской помощи, приходит в лечебное учреждение. В регистратуре его спрашивают номер карты, либо Ф.И.О. После сообщения идентифицирующей информации, работники регистратуры ищут по БД карту данного пациента. Если карта не заведена, то её заводят, затем регистрируют посещение и отправляют на приём к врачу пациента, если карта уже была заведена, то пациент отправляется к врачу сражу же после регистрации посещения. У врача пациент проходит снова этапы 1,2 и 4. Повторное посещение - этап 3, его проходят пациенты в случае изменения своих ПДн, например, фамилии или полиса. Дальше ПДн обрабатываются методическом отделе, где собирается статистика заболеваемости и качества медицинской помощи. Уничтожение ПДн происходит только после достижение цели их обработки, которые регламентируются Приказом от 30 мая 1974 года № 493 «О введении в действие перечня документов со сроками хранения Министерства здравоохранения СССР, органов, учреждений, организаций, предприятий системы здравоохранения». Согласно данному приказу, амбулаторные карты хранятся в течении 5 лет, карты больных стационара - 25 лет.

Если вместо поликлиники рассмотреть другой отдел, то изменятся только названия мест и должности лиц, ответственных за обработку ПДн, например, отдел кадров и начальник делопроизводства, или бухгалтерия и бухгалтер.

Таким образом, в данной главе рассмотрены основные компоненты для построения защищённой ИС. Подробно рассмотрены организация хранения ПДн в БД, классификация программного и аппаратного обеспечения и основные средства защиты ЛВС, приведены организационные меры защиты. Особое внимание было уделено общей схеме циркуляции ПДн в ИС, что отображено в виде блок-схемы.

3. РАЗРАБОТКА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ


.1 Мероприятия по защите ЛВС и БД


Для защиты ЛВС требуется разделить её на 4 сегмента:

общий медицинский (хранит только общую информацию о Ф.И.О., дате рождения, пол, домашний адрес, номер карты, серия и номер полиса);

специальный медицинский (хранит сведения о состоянии здоровья, лабораторных исследованиях и прочие ПДн, относящиеся к специальной категории);

бухгалтерия и кадры (хранит сведения о сотрудниках);

общий (располагаются все оставшиеся абоненты сети).

Спроектированная сеть представлена на рисунке 3.1.


Рисунок 3.1 - ЛВС повышенной защищённости

Вслед за изменением организации сети, изменится организация БД, которая будет состоять из нескольких распределённых частей.

На файловом сервере (SRV2), помимо его основного назначения (хранить различные файлы пользователей), будет создана БД, состоящая из таблиц, не имеющих связи между собой и хранящих справочную информацию. В данную БД буду помещены:

Справочники фамилий, имён, отчеств;

Справочники субъёктов РФ, населённых пунктов, административно-територриальных единиц субъектов, улиц;

Справочники диагнозов по международной классификации болезней (МКБ);

Справочники страховых компаний (содержит в себе название страховой компании и серию полисов, которую она выдаёт).

Таким образом, в данной БД содержаться только обезличенная информация (связи между таблицами отсутствуют).

На сервере, хранящем общемедицинские сведения, (SRV4) будут содержаться следующие данные:

Номер карты;

Дата рождения;

Пол;

Индекс фамилии, имени, отчества, место жительства;

Индекс серии полиса, номер полиса;

Место работы;

Телефон;

Прочая информация необходимая для медицинской деятельности, но не относящаяся ПДн.

Все индексы берутся из справочников SRV2, что в итоге даёт уменьшение объёма ПДн, без ущерба для работы учреждения. Связь между таблицами устанавливается на основе «ПДн + номер карты», где ПДн - пункты 2-8 перечисленные выше.

На сервере, хранящем специальные медицинские сведения, (SRV5) будут содержаться следующие данные:

Номер карты;

Индекс диагноза МКБ;

Сведения о состоянии здоровья (История болезни);

Прочая информация необходимая для медицинской деятельности, относящаяся специальной категории ПДн.

Все индексы также берутся из справочников SRV2. Связь между таблицами устанавливается на основе «ПДн + номер карты», где ПДн - пункты 2-4 перечисленные выше.

БД бухгалтерии и отдела кадров включает всю совокупность сведений о работниках, поскольку используется программное обеспечение с определённой внутренней структурой, например, «1С Предприятие». О данном ПО речь пойдёт в следующем пункте.

По отдельности БД на SRV2, SRV4 и SRV5 являются обезличенными, что в итоге позволит понизить класс ИСПДн. Подробная схема организации распределённой БД приведена в приложении.

Спроектированная сеть состоит из множества оборудования, которое выполняет различные функции для обеспечение работоспособности и защиты сети.

Сервера SRV2, SRV4,SRV5 управляются операционной системы Debian GNU/Linux 5.0. Данная операционная система основывается на ядре Linux, является стабильной и гибконастраиваемой операционной системой, поддерживает большое количество архитектур и распространяется по лицензии General Public License(GPL).

В качестве СУБД используется MySQL 5.5. MySQL обладает многими преимуществами, в том числе:

Высокая производительность. MySQL без сомнений работает очень быстро. Результаты сравнительных тестов производительности, выполненных фирмой-изготовителем, можно посмотреть на странице #"justify">Низкая стоимость. Пакет MySQL доступен бесплатно в соответствии с лицензией на программное обеспечение с открытым исходным кодом или, если это необходимо для приложения, за небольшую сумму можно приобрести коммерческую лицензию.

Простота использования. В большинстве современных баз данных используется SQL. Установка MySQL настолько проста, что позволяет установить и запустить сервер за 10 минут.

Переносимость. MySQL может использоваться в среде многих различных систем UNIX, а также в среде Microsoft Windows.

Поддержка SSL. SSL - криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP, причём для шифрования используется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используется два ключа, причем любой из них может использоваться для шифрования сообщения. Тем самым, если используется один ключ для шифрования, то соответственно для расшифровки нужно использовать другой ключ. В такой ситуации можно получать защищённые сообщения, публикуя открытый ключ, и храня в тайне секретный ключ.

Протокол SSL состоит из двух подпротоколов: протокол SSL записи и рукопожатия. Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом, во время установления первого соединения. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.предоставляет канал, имеющий 3 основных свойства:

Аутентификация. Сервер всегда аутентифицируется, в то время как клиент аутентифицируется в зависимости от алгоритма.

Целостность. Обмен сообщениями включает в себя проверку целостности.

Частность канала. Шифрование используется после установления соединения и используется для всех последующих сообщений.поддерживает 3 типа аутентификации:

аутентификация обеих сторон (клиент - сервер),

аутентификация сервера с неаутентифицированным клиентом

полная анонимность.

Всякий раз, когда сервер аутентифицируется, канал безопасен против попытки перехвата данных между веб-сервером и браузером, но полностью анонимная сессия по своей сути уязвима к такой атаке. Анонимный сервер не может аутентифицировать клиента. Если сервер аутентифицирован, то его сообщение сертификации должно обеспечить верную сертификационную цепочку, ведущую к приемлемому центру сертификации. Проще говоря, аутентифицированный клиент должен предоставить допустимый сертификат серверу. Каждая сторона отвечает за проверку того, что сертификат другой стороны еще не истек и не был отменен. Главная цель процесса обмена ключами - это создание секрета клиента (pre_master_secret), известного только клиенту и серверу. Секрет (pre_master_secret) используется для создания общего секрета (master_secret). Общий секрет необходим для того чтобы создать сообщение для проверки сертификата, ключей шифрования, секрета MAC (message authentication code) и сообщения «finished». При посылке верного сообщения «finished», тем самым стороны докажут что они знают верный секрет (pre_master_secret)[20].

Наиболее популярным решением для защиты трафика от перехвата является шифрование соединения с использованием SSL. Кросс-платформенный продукт OpenSSL интегрируется во множество критических программ, таких как СУБД MySQL, Web-сервер Apache. Для обеспечения совместимости с российским законодательством (по умолчанию OpenSSL реализует только иностранные алгоритмы шифрования DES/3DES, RC4, Blowfish, IDEA, AES, MD5, SHA/SHA-1, RSA, DSA и другие) требуется включить поддержку отечественных стандартов шифрования. В OpenSSL версии 1.0.0 использование российских алгоритмов не требует модификации библиотек OpenSSL. В состав дистрибутива OpenSSL включен пример реализации модуля поддержки российских алгоритмов (каталог engines/ccgost), разработанный специалистами фирмы Криптоком[21].

Для централизованной аутентификации пользователей в сети создается домен при использовании средств SAMBA и OpenLDAP - открытой реализации протокола LDAP. Samba - программа, которая позволяет обращаться к сетевым дискам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Является свободным программным обеспечением, выпущена под лицензией GPL. Начиная с третьей версии, Samba предоставляет службы файлов и печати для различных клиентов Microsoft Windows и может интегрироваться с операционной системой Windows Server, либо как основной контроллер домена, либо как резервный контроллер домена, либо как член домена. Она также может быть частью домена Active Directory. LDAP - это клиент-серверный сетевой протокол для доступа к службе каталогов. Изначально он использовался как надстройка над X.500, но он также может быть использован с автономными и прочими видами служб каталогов.

В качестве межсетевого экрана выбран ViPNet Office Firewall (представлен версиями для Windows и Linux). Он является сертифицированным ФСБ межсетевым экраном (по 3 классу) с пакетной фильтрацией. В межсетевых экранах с пактной фильтрацией доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном. Основными возможностями является регламентация доступа пользователей к различным сетевым ресурсам, контроль IP-трафика, проходящий через каждый сетевой интерфейс сервера.

Основной функцией ViPNet Office Firewall является перехват и фильтрация (пропуск или блокирование) любых IP-пакетов, проходящих через каждый интерфейс (сетевой адаптер) сервера. Настройка ViPNet Office Firewall Linux заключается в выборе для каждого адаптера типового правила фильтрации (называемого режимом безопасности) и модификации его с помощью дополнительных фильтров для конкретных протоколов, адресов и портов. Кроме того, ViPNet Office Firewall поддерживает трансляцию сетевых адресов (NAT).

Для хранения ПДн о сотрудниках используется сервер под управлением сертифицированной Windows Server 2008 с терминальным доступом. На нём установлена 1C Предприятие 8.2 с конфигурацией «Бухгалтерия», «Зарплата и управление персоналом». Для защиты терминальных сессий используется шифрование канала с помощью SSL на основе российских стандартов шифрования. Использование «1С Предприятия» обусловлено его широким распространением и на территории РФ, данное ПО является стандартом в области учёта бизнес-процессов. По сравнению с предыдущими версиями в 8.2 реализованы механизмы идентификации и аутентификации, аудита, а также защита данных.

Для обнаружения сетевых атак целесообразно развернуть систему обнаружения вторжений(NIDS). Они функционируют на сетевом уровне по модели OSI и проводят контроль устанавливаемых соединений, анализ структуры и содержимого сетевых пакетов. Система NIDS анализирует весь проходящий трафик, как на отдельном компьютере, так и на выделенном сервере (шлюз, маршрутизатор).

В качестве системы обнаружения вторжений используется Honeypot Manager. Honeypot Manager имитирует систему хранения данных (СУБД Oracle или файловый сервер) с помощью специальных ловушек (сенсоров), отслеживает активность на ней и уведомляет о фактах НСД к этим данным (рисунок 3.2).


Рисунок 3.2 - Принцип работы IDS Honeypot Manager


дминистратор безопасности владеет информацией о том, кто пытается получить доступ к системе и пытается в настоящее время, а также может определить, перепутал ли сотрудник имя реального сервера и случайно попал на ловушку или действовал преднамеренно и в сети действительно есть нарушители, пытающиеся найти сервера или службы, работающие с данными, представляющими ценность для компании.

Основными функциями продукта являются:

имитация реальных систем хранения данных;

обнаружение и регистрация фактов НСД к данным, имитируемым системой;

оповещение заинтересованных лиц о попытках НСД к этим данным;

возможность восстановления модифицированной нарушителем системы к исходному состоянию;

генерация отчетов о работе системы за определенные периоды времени;

централизованное управление несколькими ловушками (сенсорами);

авторизация и контроль доступа к управлению системой;

механизм контроля работоспособности (диагностика);

гибкая настройка правил реагирования на попытки НСД;

генерация имитационных данных, которые выглядят как реальные;

периодическая смена IP-адресов ловушек (сенсоров). [19].

Для повышения надежности защиты необходимо контролировать всю архитектуру сети, размещая зонды (компьютеры с NIDS) в каждом сегменте сети. Эти компьютеры необязательно должны быть серверами, система NIDS может быть установлена на обычной рабочей станции.

Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.

Зонды 2,3,4 анализируют трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим и потому следует уделять большее внимание сообщениям зондов [19].


3.2 Программные и аппаратные средства защиты ПЭВМ


Для обмена информацией с вышестоящими организациями будет использоваться ViPNet Client, для доступа к защищённой сети медицинских учреждений. ViPNet Client - это программный комплекс для ОС семейства Windows, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. Выбор данного средства защиты обусловлен приказом ФОМС, на базе сети которого создаётся защищённая сеть медицинских учреждений.

Клиент состоит из набора взаимосвязанных программных модулей: [Монитор] - совместно с низкоуровневым драйвером шифрования и фильтрации трафика отвечает за реализацию функций:

Персонального сетевого экрана - надежно защищает рабочую станцию/сервер от возможных сетевых атак, как из глобальной (Интернет), так и из локальной сети. При этом:

Осуществляется фильтрация защищенного и открытого трафиков по множеству параметров («белый» и «черный» списки IP-адресов, порты, протоколы);

Реализуется режим «stealth» (режим инициативных соединений), позволяющий сделать невидимым компьютер защищенной сети из открытой сети;

Обеспечивается обнаружение и блокировка типичных сетевых атак (элементы IDS).

Шифратора IP-трафика - обеспечивает защиту (конфиденциальность, подлинность и целостность) любого вида трафика (приложений, систем управления и служебного трафика ОС), передаваемого между любыми объектами защищенной сети, будь то рабочие станции, файловые серверы, серверы приложений.

Высокая производительность шифрующего драйвера, поддерживающего современные многоядерные процессоры, позволяет в реальном времени защищать трафик служб голосовой и видеосвязи в сетях TCP/IP и обеспечивать одновременную работу множества пользовательских сессий.

Поддерживается прозрачная работа через устройства статической и динамической NAT/PAT маршрутизации при любых способах подключения к сети.

Чат-клиента - позволяет пользоваться услугами встроенного сервиса обмена защищенными сообщениями и организации чат-конференций между объектами защищенной сети ViPNet, на которых установлены ViPNet Client или ViPNet Coordinator (Windows).

Клиента службы обмена файлами - позволяет обмениваться между объектами защищенной сети ViPNet любыми файлами без установки дополнительного ПО (например, FTP-сервера/клиента) или использования функций ОС по общему доступу к файлам через сеть.

Обмен файлами производится через защищенную транспортную сеть ViPNet с гарантированной доставкой и «докачкой» файлов при обрыве связи. [Контроль приложений] - программа, которая позволяет контролировать сетевую активность приложений и компонент операционной системы.

При этом можно формировать «черный» и «белый» списки приложений, которым запрещено или разрешено работать в сети, а также задавать реакцию на сетевую активность неизвестных приложений.

В большинстве случаев это позволяет предотвратить несанкционированную сетевую активность вредоносного ПО, например, программ-«троянов». [Деловая Почта] - программа, которая выполняет функции почтового клиента защищенной почтовой службы, функционирующей в рамках защищенной сети ViPNet, и позволяет:

формировать и отсылать письма адресатам защищенной сети через простой графический интерфейс пользователя;

осуществлять многоадресную рассылку;

использовать встроенные механизмы ЭЦП для подписи, в том числе множественной, текста письма и его вложений;

контролировать все этапы «жизни» письма благодаря встроенному механизму обязательного квитирования писем;

встроенная функция аудита к истории удаления писем;

архивы писем;

автоматическая обработка входящих сообщений;

Любой отправитель корреспонденции может быть однозначно идентифицирован. Поэтому этот сервис ViPNet является идеальным решением для внутрикорпоративного обмена документами и письмами. MFTP - программа, выполняющая функции обмена служебной информацией между узлами защищенной сети (обновления ключей шифрования, связей узлов, программного обеспечения) и конвертами с письмами «Деловой Почты» и конвертами «Файлового Обмена».

Криптопровайдер ViPNet CSP - ViPNet Client содержит встроенный криптопровайдер, реализующий стандартный для разработчиков прикладных систем под ОС Windows интерфейс Microsoft CryptoAPI 2.0.


Рисунок 3.3 - Главное окно ViPNet Client


Для защиты клиентских машин от вирусных атак должно быть использовано антивирусное программное обеспечение. На основе сравнения нескольки антивирусов (рисунок 3.4) выбор антивируса был сделан в пользу ESET NOD32 Antivirus, который помимо высокой эффективности, обладает кроссплатформенностью и может использоваться на компьютерах как под управлением Windows, так и Linux. NOD32 прошёл сертификацию ФСТЭК и подходит для защиты ИСПДн до 1 класса включительно.


Рисунок 3.4 - Сравнительная характеристика антивирусов


Для контроля доступа к критически важным ресурсам предполагается использовать аппаратно-программную систему защиты информации «МДЗ-Эшелон».

Модуль доверенной загрузки «МДЗ-Эшелон» является единственным в своем роде программным средством защиты от несанкционированного доступа, обеспечивающим контроль целостности, идентификацию и аутентификацию до передачи управления операционной системе.

В отличие от распространенных аппаратно-программных модулей доверенной загрузки, «МДЗ-Эшелон» не подвержен атакам на модификацию BIOS.

Технические характеристики:

поддержка аппаратной платформы семейства Intel x86 c BIOS PnP фирм «Phoenix-AWARD» и «AMI» с установленным жестким диском стандартов PATA, SATA и/или SCSI и CD-ROM стандартов PATA, SATA и др.;

поддержка любых ОС, установленных на отдельный раздел жесткого диска:Windows, QNX, Linux, WinCE c boot-сектором, FreeBSD и др. ;

объем, занимаемый на жестком диске: около 24 Мб;

требуемый объем в микросхеме FLASH BIOS - около 6 Кб;

первичная авторизация пользователя до загрузки ОС;

при успешной авторизации - контроль целостности среды путем вычисления контрольных сумм элементов файловой системы, связанных с пользователем и последующим сравнением с эталонными значениями;

поддержка BIOS с ядрами AWARD-Phoenix 4.5,6.0 и AMIBIOS 7.0, 8.0;

поддержка виртуальных машин VMWare, Bochs, VirtualPC.

Полученный сертификат соответствия ФСТЭК России № 1872 от 10.07.2009 г. позволяет использовать модуль доверенной загрузки «МДЗ-Эшелон» как в системах защиты персональных данных, так и для защиты сведений, составляющих государственную тайну, до грифа «совершенно секретно» включительно.

Кроме того, модуль доверенной загрузки «МДЗ-Эшелон» имеет сертификат Минобороны России № 815 на соответствие Приказу МО РФ, в том числе:

требованиям руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», 1999 г. - по второму уровню контроля;

требованиям руководящего документа Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г. - по 3 классу (в части требований «идентификации и аутентификации» подсистемы управления доступом и «целостность КСЗ» подсистемы обеспечения целостности);

криптографическим и инженерно-криптографическим требованиям ВС РФ;

требованиям по соответствию реальных и декларируемых в документации функциональных возможностей (ТУ);

на соответствие заданию по безопасности ИЦ-ЭШ.586.

Обоснованность выбора данного средства защиты приведена в таблице 3.1.


Таблица 3.1 - Сравнение аппаратно-программных средств защиты

Название«МДЗ-Эшелон»АПМДЗ «КРИПТОН-ЗАМОК»ПАК «Соболь»Поддерживаемые ОСпозволяет загружать любую ОС, установленную на отдельный раздел жесткого диска, включая МСВС и Windows (QNX, Linux, WinCE c boot-сектором, FreeBSD)Windows 95/98/NT 4.0/2000/XP/2003Windows начиная с 2000; FreeBSD версии 5.3, 6.2, 6.3 или 7.2; Trustverse Linux XP Desktop 2008 Secure Edition; МСВС 3.0Поддержка файловых системNTFS, FAT 32, FAT 16, UFS, EXT3, EXT2FAT12, FAT16, FAT32 и NTFSNTFS, FAT 32, FAT 16, UFS, EXT3, EXT2Стоимость4400 руб.5500 руб.7850 руб.3.3 Базовая политика безопасности


На основе особенностей устройства сети, программно-аппаратного обеспечения, средств защиты и теоретических данных, сформирована общая политика безопасности для администраторов и пользователей сети.

Политика безопасности регламентирует:

порядок доступа к конфиденциальной информации (персональные данные);

работа с криптографическими системами;

физическая безопасность (доступ в помещения);

разграничение прав доступа;

работа в глобальной сети Интернет;

дублирование, резервирование и раздельное хранение конфиденциальной информации.

Порядок доступа к конфиденциальной информации

В целях обеспечения защиты информации в медицинском учреждении, устанавливается следующий порядок допуска к работе с конфиденциальными источниками:

Решение о доступе работника к определенному разделу конфиденциальной информации принимается руководством ЛПУ.

Ответственные лица, из числа штатных программистов, обеспечивают защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому.

Доступ к компьютерной сети ЛПУ осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. Имя пользователя и пароль на вход в БД с ПДн должны быть отличны от имени пользователя и пароля в общую компьютерную сеть ЛПУ.

Категорически запрещается снимать несанкционированные копии с носителей банковской информации, знакомить с содержанием электронной информации лиц, не допущенных к этому.

Работа с криптографическими системами.

К работе с криптографическими системами допускаются только сотрудники Банка, имеющие соответствующее разрешение от руководства Банка.

Секретные ключи электронно-цифровых подписей и шифрования должны храниться в сейфах под ответственностью лиц на то уполномоченных. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть исключен.

Категорически запрещается:

выводить секретные ключи и шифрования на дисплей компьютера или принтер;

устанавливать в дисковод компьютера носитель секретных ключей и шифрования в непредусмотренных режимах функционирования;

записывать на носитель секретных ключей и шифрования постороннюю информацию.

При компрометации секретных ключей, шифрования и прочей электронной информации ответственными лицами принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения руководства ЛПУ.

Физическая безопасность.

Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных, телефонная станция, основной маршрутизатор, файервол) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства ЛПУ.

Вход в помещение осуществляется через металлическую дверь, оснащенную замками (не менее двух).

Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Вход в помещение контролируется системой видео наблюдения с выходом на мониторы охраны.

Ключевые дискеты, пароли и прочая конфиденциальная информация хранится в сейфах.

Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находится в помещении только в присутствии работников, имеющих право находится в помещении в связи с выполнением своих должностных обязанностей.

Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с письменного разрешения главного врача ЛПУ или его заместителей.

Разграничение прав доступа к программному обеспечению и системам хранения данных.

Для входа в компьютерную сеть ЛПУ сотрудник должен ввести имя и пароль. Не допускается режимы безпарольного (гостевого) доступа к какой-либо информации.

В целях защиты конфиденциальной информации Банка организационно и технически разделяются подразделения ЛПУ, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности, секретности и смысловой направленности). Данная задача решается с использованием сетевой операционной системы, где в целях обеспечения защиты данных доступ и права пользователей ограничивается персональными каталогами. Права назначаются в соответствии с производственной необходимостью, определяемой начальником подразделения.

Параметры входа в сеть, имя и пароль, пользователем не разглашаются. Копии на бумажном носителе держатся в недоступном для посторонних месте. В случае компрометации пароля пользователь должен незамедлительно обратиться в программистам с заявкой о замене.

При работе с БД ПДн имя пользователя и пароль должны быть отличны от имени пользователя и пароля в при входе общую компьютерную сеть ЛПУ. Пароль должен быть не менее пяти символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с БД ПДн протоколируются. Журнал операций храниться не менее шести месяцев.

Работа в глобальной сети Интернет

К работе с ресурсами сетью Интернет и электронной почтой допускаются сотрудники, получившие соответствующее разрешение от руководства ЛПУ (достаточна устная форма).

При работе с сетью Интернет сотрудникам запрещено:

Скачивать и устанавливать на компьютер программное обеспечение;

Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям;

Осуществлять подписку на рассылку информации непроизводственного характера;

Сообщать адрес электронной почты в непроизводственных целях;

Пользоваться различными Интернет-пейджерами;

Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет;

Дублирование, резервирование и раздельное хранение конфиденциальной информации.

В целях защиты конфиденциальной информации от преднамеренного или же непреднамеренного ее уничтожения, фальсификации или разглашения обеспечить

ежедневное обязательное резервирование всей информации, имеющей конфиденциальный характер;

дублирование информации с использованием различных физических и аппаратных носителей.

Ответственность за хранение и резервирование информации в электронном виде возложить на штатных прогаммистов.

Таким образом, в данной главе были рассмотрены меры по созданию защищенной ЛВС медицинского учреждения, были предложены программные и аппаратные средства защиты. Также была предложена базовая политика безопасности для защиты от НСД к важным ресурсам.

4. ЭКОНОМИЧЕСКИЙ РАСЧЁТ ПРОЕКТА


Расчёт стоимости включает в себя закупку оборудования и ПО. Настройку и последующее обслуживание предполагается осуществить силами персонала ЛПУ. Таким образом, затраты на создание системы защиты будут состоять из единовременных затрат. В таблицах 4.1 и 4.2 приведён расчёт стоимости средств защиты для 20 ПЭВМ, из которых 16 будут иметь доступ к ПДн.


Таблица 4.1 - Затраты на покупку ПЭВМ

НазваниеКоличество, шт.Стоимость, руб.Сумма, руб.ЭВМ для МСЭ4874334972ЭВМ для IDS4954638184Серверы ПДн3979429382Терминальный сервер для 1С11023010230Итого112768

Таблица 4.2 - Затраты на покупку средств защиты

НазваниеКоличество, шт.Стоимость, руб.Сумма, руб.Лицензии для антивируса Eset Nod32251126,8528171,25Лицензии ViPNet Office Firewall41450058000Honeypot Manager438000152000ViPNet Client170807080МДЗ-Эшелон20440088000Итого446019,25

Итого, 558787,25 рублей требуется на ввод в эксплуатацию средств защиты ЛВС. Расходы на защиту 1 АРМ приведены в таблице 4.3.

Таблица 4.3 - Расход средств на 1 АРМ

НазваниеСтоимость, рубЛицензии для антивируса Eset Nod321126,85МДЗ-Эшелон4400Итого5526,85

Если данный АРМ будет использоваться для связи с ФОМС, то стоимость его увеличиться на 7080 рублей и будет составлять 12606,85 рублей. Для снижения нагрузки на бюджет, закупку оборудования и ПО целесообразно совершать при создании сегмента сети. Объём требуемых средств, для выделения сегмента сети представлен в таблице 4.4.


Таблица 4.4 - Расход средств на выделение сегмента сети

НазваниеКоличество, шт.Стоимость, руб.Сумма, руб.ЭВМ для МСЭ187438743Лицензии ViPNet Office Firewall11450014500Honeypot Manager13800038000Сервер ПДн197949794Итого71037

Таким образом, в данной главе рассмотрен расчёт стоимости защиты сети. В силу специфики финансирования медицинского учреждения, даны рекомендации по уменьшению нагрузки на бюджет.

ЗАКЛЮЧЕНИЕ


В ходе данной работы рассмотрены основные нормативные документы, регулирующие правовые отношения в области защиты персональных данных, приведены сведения о возможных угрозах безопасности информационной системе персональных данных, в том числе подробно приведена и рассмотрена характеристика угроз несанкционированного доступа. При рассмотрении угроз, особое внимание уделялось классификации нарушителей безопасности, поскольку они выполняют доминирующую роль в нарушении безопасности информационной системе.

Особое внимание уделено основным компонентам для построения защищённой информационной системы. Подробно рассмотрены организация хранения персональных данных в базе данных, классификация программного и аппаратного обеспечения и основные средства защиты локальной сети, приведены организационные меры защиты. Особое внимание было уделено общей схеме циркуляции персональных данных в информационной системе, что отображено в виде блок-схемы.

Также были рассмотрены меры по созданию защищенной локальной сети медицинского учреждения, по которой в защищённых каналах циркулирует информация относящаяся к персональным данным, предложены программные и аппаратные средства защиты. Также была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам.

В дипломной работе приведён расчёт стоимости для построения защищённой инфраструктуры по обработке персональных данных. В силу специфики финансирования медицинского учреждения, даны рекомендации по уменьшению нагрузки на бюджет.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ


1.Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Москва, 2009.

2.Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

.ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).

.В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД «ФОРУМ» - ИНФРА-М, 2008 г.

.Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г.).

.Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных; Учебник для высших учебных заведений / Под ред. проф. А.Д. Хомоненко. - 4-е изд., доп. и перераб. - СПб.: КОРОНА принт, 2004. - 736 с. ISBN 5-7931-0284-1.

.Медицинская документация, форма № 025/у-87 утверждена Минздравом СССР № 1338 1987 г.

.ФСТЭК. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (выписка).

.Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. Волгоград: Изд-во ВолГУ, 2002. - 122с. - (Серия «Информационная безопасность»). ISBN 5-85534-640-4.

.ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения.

.Гагарина Л.Г., Кокорева Е.В., Виснадул Б.Д. Технология разработки программного обеспечения. - М.: ИД «ФОРУМ»; ИНФРА-М, 2008. - ISBN 978-5-8199-0342-1.

.Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с. - ISBN 978-5-8041-0378-2.

.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2004. - 544 с. ISBN 5-8291-0408-3.

.Скляров Д.В. Искусство защиты и взлома информации. - СПб.: БХВ-Петербург, 2004. - 288 с: ил. ISBN 5-94157-331-6.

.Э. Мэйволд - Безопасность сетей [Электронный ресурс] - Режим доступа: <#"justify">.Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г.).

.Информационный бюллетень Jet Info №5 (192)/2009.

.Братищенко В.В. Проектирование информационных систем. - Иркутск: Изд-во БГУЭП, 2004. - 84 с.

.Обнаружение сетевых атак [Электронный ресурс] - Режим доступа: #"justify">.Введение в SSL [Электронный ресурс] - Режим доступа: <https://developer.mozilla.org/en/Introduction_to_SSL>

.Защита информации в Интернет [Электронный ресурс] - Режим доступа: <#"justify">.Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с.



Похожие материалы:

«Сказки для детей изрядного возраста»

Некоторые сказки выпускались подпольно из за запретов цензуры. Так и было использовано ставшее афористически известным заглавие. Возможно не все сказки в равной мере являются шедеврами щедринского пера. Иногда заметно однообразие даже. Да исполненные едкой убийственной сатиры сказки оказались более востребованными в насыщенную революционной борьбой эпоху которая приняла Щедрина как своего. Отыщи ты мне маленькое русское дитя раствори ты передо мной его сердце чистое и схорони меня в нем Авось он меня неповинный младенец приютит и выхолит авось. Из ставшего классическим цикла щедринских сказок.

Чарлз Герберт Бест

Для подготовки данной работы были использованы материалы с сайта http bio.freehostia.com В Бесту который тогда работал вместе с Ф.Бантингом.

Колонна ректификации для разделения смеси "Этиловый спирт-ацетон"

. Средние концентрации НКК в жидкости. Средние мольные массы и плотности пара. Определение скорости пара в колонне. Расчет удельных диаметров фланцев. РАСЧЕТ МАТЕРИАЛЬНОГО БАЛАНСА

Теплопроводность в сплошных средах и двухфазных, продуваемых и непродуваемых телах (слоях)

Основной закон теплопроводности. Физический смысл коэффициента теплопроводности. Модель теплопроводности зернистого слоя не учитывающая передачу теплоты. Теплопроводность в зернистом слое с движущейся газовой жидкой фазой теплопроводность твердого материала элементов слоя которая характеризуется коэффициентом теплопроводности материала lт Проверил

Вентиляция: виды и назначение

Во всех зданиях предусмотрены центральные вентиляционные стояки ответвлением на каждом этаже через которые организуются. Классификация систем вентиляции По способу создания давления для перемещения воздуха Приточная вентиляция Воздух в помещениях важный фактор влияющий на.