CC BY
105
ла (10 мбит/с). В качестве основного сервера резервного копирования будет использоваться компьютер администратора при условии замены HDD винчестера на SDD, в частности на SSD PCI-E 100GB OCZ RevoDrive X2 OCZSSDPX-1RVDX0100 MLC, 740/690MB/s. В качестве дублирующего бэкап сервера использовать компьютер идентичной конфигурации. Для автоматизации процесса резервирования данных принято решение использовать программу Handy Backup. Сервер Handy Backup (Handy Backup Server) необходимо установить на машине администратора, что позволит управлять операциями резервного копирования, синхронизации и восстановления данных на самом сервере и рабочих станциях сети. Клиент Handy Backup (Backup Network Workstation) необходимо установить на каждый пользовательский компьютер на
предприятии, а серверную часть на компьютер администратора [3].
На основе проведенного анализа угроз ИБ предприятия и оценке возможных рисков и расходов на ликвидацию их последствий сумма составила 878758 руб. В тоже время затраты на установку системы защиты информации составляют 167800 руб. В связи с этим можно считать разработанные меры вполне эффективными и экономически оправданными.
Литература
1. АлладинРД [Электронный ресурс]. URL: http ://www. aladdin-rd.ru
2. Лаборатория Касперского [Электронный ресурс]. URL: http://www.kaspersky.ru
3. Сайт издателя Handy Backup [электронный ресурс]. URL: http://www.handybackup.ru
УДК 004.056.5
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИИ ЗДРАВООХРАНЕНИЯ
А.А. Викторов, И.А. Зауголков
В работе приведен анализ существующей информационной системы персональных данных в учреждении здравоохранения и разработан комплекс мер по ее совершенствованию.
Ключевые слова: персональные данные, конфиденциальная информация, несанкционированный доступ, средства защиты информации.
Необходимость обеспечения безопасности персональных данных в наше время -объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту [1].
Необходимость принятия мер по защите персональных данных вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых
в отношении него технических устройств сбора и технологий обработки данных о людях [2].
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области персональных данных основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ (ред. от 25.07.2011) «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов [3].
Целью исследования является предпро-ектное обследование учреждения здраво-
2. Тенденции и особенности развития систем информационной безопасности
охранения для разработки мер по защите персональных данных.
Для достижения поставленной цели был решен ряд задач:
1) оценена необходимость защиты информации в учреждении здравоохранения;
2) проанализированы процессы обработки персональных данных, использующиеся средства защиты информации в учреждении;
3) разработана модель объекта защиты, злоумышленника, технических каналов утечки информации;
4) разработан комплекс мер по защите информации;
5) оценена экономическая эффективность комплекса мер защиты информации.
Практическая значимость работы определяется тем, что разработанный комплекс мер по защите информации позволит организовать систему защиты информационной системы персональных данных в соответствии с требованиями нормативных документов.
В работе дана характеристика объекта защиты, проведена оценка необходимости защиты информации на основе анкетного метода [4] (она равна 103,6; полученная оценка больше показателя достаточности защиты информации равного 50, следовательно, проведение мероприятий по защите информации является обязательным). Были проанализированы основные внутренние нормативные документы учреждения: устав учреждения, положение об отделах, инструкция по использованию электронной почты и интернета в учреждении и др. Проанализированы используемые в учреждении методы и средства защиты информации (система мониторинга и архивирования электронной почты «Дозор-Джет»; антивирус KasperskylntemetSecurity 2011; межсетевой экран ViPNet Personal Firewall 3.1 и др.).
Собранный материал позволил сделать вывод, что учреждение располагает достаточно большим объемом конфиденциальной информации, нуждающейся в защите.
Далее была разработана модель объекта защиты, в частности определены источники защищаемой информации, описано их пространственное расположение. Определен уровень исходной защищенности информационной системы ОГБУЗ «Тамбовская детская кли-
ническая больница», зависящий от ее технических и эксплуатационных характеристик. Уровень исходной защищенности информационной системы персональных данных - средний.
Определены актуальные угрозы персональных данных в информационной системе работников и пациентов ОГБУЗ «ТДКБ»:
- угрозы утечки видовой информации;
- угрозы локального внедрения вредоносных программ;
- угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации;
- угрозы сканирования, направленные на выявление открытых портов и служб, открытых соединений и др.;
- угрозы типа «Отказ в обслуживании»;
- угрозы выявления паролей;
- угрозы внедрения по сети вредоносных программ.
Также в работе по итогам оценки уровня исходной защищенности и вероятности реализации угрозы рассчитан коэффициент реализуемости угрозы и определена возможность реализации угрозы.
На основе имеющихся данных получены результаты оценки риска на основе трех базовых угроз и рисков невыполнения стандарта управления информационной безопасности ГОСТ Р ИСО/МЭК 17799-2005.
Общий уровень угроз по ресурсу равен
0,647. Риск ресурса в денежных единицах равен 1 605 000 руб.; в процентах равен 40 %.
Данные показатели являются высокими, что говорит о неэффективности принятых средств защиты информации в учреждении. В целях профилактики следует уделять внимание созданию контрмер [4].
Предложены меры и средства по защите персональных данных в учреждении. С целью снижения рисков нарушения информационной безопасности были разработаны:
- должностные инструкции для администратора ИСПДн, администратора безопасности ИСПДн, оператора ИСПДн;
- порядок резервирования и восстановления работоспособности технический систем и программного обеспечения, баз данных и средств защиты информации;
- инструкции по организации парольной и антивирусной защиты информационных систем персональных данных;
- «Положение о порядке организации и проведении работ по обеспечению безопасности персональных данных при их обработке в ИСПДн», настоящее положение разработано в соответствии с руководящими документами ФСТЭК России.
Из инженерно-технических средств предложены: генератор шума ГШ-2500,
предназначенный для маскировки информативных побочных электромагнитных излучений и наводок персональных компьютеров; устройство для защиты линий электропитания, заземления от утечки информации Соната-РС2, арочный металлодетектор «Dualscan-85600».
Из программно-аппаратных средств защиты предложены системы защиты информации от несанкционированного доступа Страж Ж 3.0; СЗИ SecretNet 6.
Все предложенные средства имеют сертификаты ФСТЭК.
На заключительном этапе произведена переоценка риска с учетом предложенных мер по защите информации, рассчитана экономическая эффективность комплекса мер по защите информации (она получилась равной 344 360 руб.), которая показала, что затраты на обеспечение защиты не пре-
вышают величины ущерба (величина ущерба равна 1 086 250 руб.).
Переоценка рисков показала, что предложенные меры и разработанные должностные инструкции, положения позволяют снизить процент невыполнения рисков стандарта управления информационной безопасностью ГОСТ Р ИСО/МЭК 17799-2005, что соответственно благоприятно скажется на работе всей информационной системы учреждения здравоохранения.
Литература
1. Об информации, информационных технологиях и о защите информации: федер. закон Российской Федерации от 27 июля 2006 года № 149-ФЗ [Электронный ресурс]. URL: http:// base.consultant.ru
2. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ [Электронный ресурс]. URL: http://base.garant.ru
3. Методические рекомендации для органи-
зации защиты информации при обработке персональных данных в учреждениях здравоохранения [Электронный ресурс]. URL: http://www.min-
zdravsoc.ru
4. Зауголков И.А., Михайлова Е.М. Повышение качества подготовки специалистов в области информационной безопасности // Вестник Тамбовского университета. Сер.: Естественные и технические науки. Тамбов, 2009. Т. 14, вып. 5. С. 914.
УДК 004.056.52
ЗАЩИТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С ПОМОЩЬЮ ЭЛЕКТРОННЫХ КЛЮЧЕЙ
А.Ю. Глухов, Д.В. Лопатин
В статье рассмотрены электронные ключи, принцип их действия, технология защиты с помощью электронных ключей, рассмотрен электронный идентификатор ruToken, представлен алгоритм программы, создающей электронно-цифровую подпись с помощью электронного ключа ruToken, использованного для хранения ключей и ее структура.
Ключевые слова: электронный ключ, электронно-цифровая подпись, ruToken.
Электронный ключ (также аппаратный ключ) - аппаратное средство, предназначенное для защиты программного обеспечения (ПО) и данных от копирования, нелегального использования и несанкционированного распространения [1]. Основой данной технологии является специализированная микросхема либо защищенный от считывания микроконтроллер, имеющие уникальные для каждого ключа алгоритмы работы. Аппаратные
ключи также имеют защищенную энергонезависимую память небольшого объема, более сложные устройства могут иметь встроенный криптопроцессор (для аппаратной реализации шифрующих алгоритмов), часы реального времени. Аппаратные ключи могут иметь различные форм-факторы и интерфейсы подсоединения к компьютеру, в последнее время чаще всего используется порт ^В. Существуют специальные ключи, спо-
