Разработка и внедрение комплекса мер по защите персональных данных в государственном казенном учреждении здравоохранения - Дипломная работа

РОССИЙСКАЯ ФЕДЕРАЦИЯ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Кафедра информационной безопасности Допустить к защите в ГАКПо законодательству Российской Федерации основным документом по обеспечению защиты персональных данных является ФЗ-152 от 27.07.2006 «О персональных данных», согласно которому любая организация-оператор должна защищать информацию о своих работниках и клиентах. В соответствии с требованиями законодательства необходимо проводить разработку комплекта организационно-распорядительной, технической и аттестационной документации, соответствующего нормативно-правовым актам Российской Федерации в области обеспечения защиты персональных данных. В данной дипломной работе будет произведена разработка и внедрение комплекса мер по защите ПДН на примере государственного казенного учреждения здравоохранения «Ямало-Ненецкого окружного специализированного Дома ребенка» (далее ГКУЗ «ЯНОСДР»). Ранее организация заказывала работу по проведению аттестации информационной системы персональных данных (ИСПДН) и разработке документации. Но со временем организация расширила парк рабочих мест, и следовательно, потребовались повторные мероприятия по защите ПДН, которые будут осуществляться в соответствии в новым Приказом № 21.Федеральный закон «О персональных данных» №152-ФЗ вступил в действие 27 июля 2006г. с целью привести Российское законодательство в соответствие с Конвенцией «О защите физических лиц при автоматизированной обработке персональных данных», принятой Советом Европы в 1981г. Любые действия (операции) связанные с персональными данными представляют обработку ПДН, которая включает в себя сбор данных, а также их классификацию, сбор и сохранность, корректировку (изменение, в том числе обновление), распространение (передачу), использование, нивелирование, ограничение использования ПДН, уничтожение. Вместе с тем оператор обязуется предоставить все имеющиеся у него сведения о субъекте персональных данных, целях, условиях обработки персональных данных, способах защиты персональных данных, по просьбе субъекта. Данное постановление отменило Постановление Правительства «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2008г. Постановление определяет актуальные угрозы безопасности персональных данных представляющие собой совокупность факторов и условий, которые создают актуальную опасность несанкционированного доступа, также доступа случайного к персональным данным при их обработке в информационной системе, в результате которого персональные даннные могут быть уничтожены, изменены, блокированы, копированы, переданы злоумышленнику, или иные подобные неправомерные действия.Общее число персонала и совокупность средств автоматизации ГКУЗ «ЯНОСДР», представленная информационными системами персональных данных представляет объект защиты. На первом шаге исследования (осмотра) общего состояния защищенности информации в учреждении проводится обследование информационных систем персональных данных, состоящее из: 1. комплексный анализ процесса обработки информации направлен на обнаружение всех информационных систем и баз данных, хранящих и обрабатывающих персональные данные, а также объемов и категорий этих данных;Первым шагом требуется провести анализ организации безопасности ПДН. Предназначение этого шага заключается в обнаружении «слабых мест» в процессе обработки ПДН. Были выявлены следующие нарушения не соответствующие требованиям нормативных правовых актов Российской Федерации и методических документов ФСТЭК и ФСБ России, которые были разделены на две группы: По состоянию Ответственные должностные лица за обеспечение безопасности персональных данных и за непосредственное выполнение работ по защите персональных данных при их обработке в информационных системах не назначены. Правила, определяющие порядок разбирательства по фактам несоблюдения условий хранения носителей ПДН, использования средств защиты информации, которые могут привести к нарушению уровня конфиденциальности ПДН или другим нарушениям, приводящим к снижению уровня защищенности ПДН, не предоставлены.«Кадровый учет» Без автоматизации Сотрудник составляет трудовые договоры С автоматизацией Сотрудник ведет кадровый учет в программе «Microsoft Office профессиональный 2010». «Бухгалтерский учет» Без автоматизации Сотрудники ведут бухгалтерский учет. С автоматизацией Сотрудники ведут бухгалтерский учет в программе "ПАРУС ПРЕДПРИЯТИЕ 8", начисляют заработную плату, отправляют реестры заработной платы в банк. С автоматизацией Сотрудник ведет реестры медицинских работников в программе «Медицинский персонал».Ключевым назначением имеющейся ЛВС является ведение реестра пациентов (детей - инвалидов), ведение бухгалтерского и кадрового учета, отправка реестров в страховые компании.

Содержание

Введение

1. Нормативно-методическая база

2. Обследование автоматизированных рабочих мест и общего состояния организации защиты информации в ИСПДН

2.1 Пред проектное обследование информационных систем

2.2 Анализ организации безопасности ПДН

2.3 Анализ обрабатываемых ПДН

2.4 Анализ сети

2.5 Сведения об ИСПДН

2.6 Классификация ИСПДН

2.7 План помещений

2.8 Частная модель угроз безопасности персональных данных

2.9 Выводы по пред проектному обследованию

3. Разработка комплекта организационно-распорядительной документации для ИСПДН

4. Техническое проектирование

4.1 Техническое задание

4.2 Проектное решение

4.3 Внедрение средств защиты информации

5. Аттестация информационных систем персональных данных

Заключение

Список литературы

Аннотация

Сокращенные обозначения