Разработка инструмента по управлению и контролю информационной безопасности организаций отраслевым требованиям

Источник (п. 2.1)Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Использование систем шифрования трафикада0,25213335-5-2001Использование спам-фильтров и защиты почтовых ящиковда0,15313335-5-2001Использование прокси-серверов для регламентирования доступа к сети Интернетда0,25413335-5-2001Использование средств мониторинга сетевой активностинет0,15513335-5-2001Разделение трафика на 2 потока с разделением степени защищенностинет0,2Таблица 4 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M3№ воп.Источник (п. 2.1)Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Назначение приказом уровня доступа специалиста к ресурсам сетида0,25213335-5-2001Ведение матриц разграничения доступада0,2313335-5-2001Использование ЭП при отправке заявок на предоставление доступада0,15413335-5-2001Соответствие требований к конфиденциальности, периодичности смены и сложности паролейДа0,15513335-5-2001Блокировка учетной записи пользователя в период его отсутствиянет0,25Таблица 5 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M4№ воп.Источник (п. 2.1)Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Определение перечня защищаемых помещенийда0,2213335-5-2001Определение списка специалистов, допущенных в защищаемые помещенияда0,2313335-5-2001Использование touch-ключей или электронных замков в защищаемых помещенияхда0,2413335-5-2001Наличие системы охранной и пожарной сигнализацииДа0,15513335-5-2001Наличие систем видеонаблюденияДа0,25Таблица 6 - Пример формирования таблицы вопросов для оценки соответствия ИБ по критерию M5№ воп.Источник (п. 2.1)Вопросы к критерию М1Обязательность (да/нет)Коэф. значимости113335-5-2001Определение приказом ответственных за резервное копирование и хранение резервных копийда0,3213335-5-2001Хранение резервных копий отдельно от объектов копирования да0,15313335-5-2001Наличие утвержденного регламента резервного копирования (объектов копирования, периодичности)да0,15413335-5-2001Наличие приказа об ответственных за эвакуацию резервных копий в случае ЧС с указанием места эвакуацииДа0,15513335-5-2001Проведение ежегодной инвентаризации резервных копий с составлением актаДа0,25Коэффициенты значимости пронормированы, далее проведем реализацию программного продукта по оценке степени защищенности информационных ресурсов НИМЦ ИМ.МЕШАЛКИНА.Для каждого из критериев М1-М5 установим одинаковые коэффициенты важности.5. Программная реализацияНа рисунке 2 показан фрагмент программного продукта по расчету рейтинга защищенности информационной системы НИМЦ ИМ.МЕШАЛКИНА.Рисунок 2 - фрагмент программного продукта по расчету рейтинга защищенности информационной системы НИМЦ ИМ.МЕШАЛКИНАВ поля оценок доступнавозможность ввода значений в столбцы вероятности как 0 или 1. При этом при попытке ввода некорректного значения выдается сообщение:Рисунок 3 - Сообщение об ошибке ввода данныхПри попытке введения на какую-либо из позиций двух вероятностей программа не проведет вычисления итогового рейтинга, также выдав сообщение об ошибке ввода (рисунок 3).По результатам аудита защищенности информационной системы НИМЦ ИМ.МЕШАЛКИНА было полученозначение общего рейтинга около 0,76, что в целом соответствует необходимому уровню систему защиты информации.Совершенствование защищенности системы защиты информации в условиях НИМЦ ИМ.МЕШАЛКИНА предполагает: необходимость ограничения прав пользователей на конечных рабочих станциях;блокировку пользовательских учетных записей на период их отсутствия;разработку приказа по организации хранения и эвакуации носителей резервных копий информационных ресурсов, обеспечивающих их защиту от краж и утери.ЗаключениеВ рамках данной работы проведён анализ проблематики обеспечения информационной безопасности в условиях медицинского учреждения. По итогам рассмотрения законодательных актов в области защиты информации было показано, что специфика работы НИМЦ им. Мешалкина предполагает необходимость исполнения как общих требований федеральных законов в области информационной безопасности, так и отраслевых нормативных актов, регламентирующих вопросы соблюдения требований к конфиденциальности сведений, связанных с лечебным процессом, обеспечением функциональности медицинских информационных систем и программируемого оборудования.В рамках анализа предметной области был сформулирован набор критериев оценивания уровня защищённости информационной системы медицинского учреждения, проведён расчет состояния защиты информации по состоянию на текущий момент в соответствии с выбранными стандартами, определены недостатки организации системы защиты информации, разработан комплекс мер по повышению. уровня защищенности.Анализ ИТ-инфраструктуры медицинского учреждения показал необходимость внедрения системы разграничения доступа на уровне рабочих станций пользователей с исключением возможности использования прав локального администратора. Также было показано, что в НИМЦ им.Мешалкина отсутствует система контроля активности учетных записей пользователей на момент их отсутствия на рабочих местах, что создает уязвимости, связанные с вероятностью получения доступа к информационным ресурсам через учетные данные отсутствующих специалистов.Также показана необходимость организации хранения и эвакуации носителей резервных копий информационных ресурсов, обеспечивающих их защиту от краж и утери. Таким образом, принятие указанных мер позволит повысить уровень защищенности информационных ресурсов медицинского учреждения, исключить вероятность санкций при проверках состояния защиты информации со стороны контролирующих органов. Список использованных источниковВасильева И. Н.  Криптографические методы защиты информации : учебник и практикум для вузов / И. Н. Васильева. — Москва : Издательство Юрайт, 2022. — 349 с. Внуков А. А.  Защита информации : учебное пособие для вузов / А. А. Внуков. — 3-е изд., перераб. и доп. — Москва : Издательство Юрайт, 2022. — 161 с.Запечников С. В.  Криптографические методы защиты информации : учебник для вузов / С. В. Запечников, О. В. Казарин, А. А. Тарасов. — Москва : Издательство Юрайт, 2022. — 309 с.Зенков А. В.  Информационная безопасность и защита информации : учебное пособие для вузов / А. В. Зенков. — Москва : Издательство Юрайт, 2022. — 104 с. Казарин, О. В.  Программно-аппаратные средства защиты информации. Защита программного обеспечения : учебник и практикум для вузов / О. В. Казарин, А. С. Забабурин. — Москва : Издательство Юрайт, 2022. — 312 с. Суворова Г. М.  Информационная безопасность : учебное пособие для вузов / Г. М. Суворова. — Москва : Издательство Юрайт, 2022. — 253 с. Фомичёв, В. М  Криптографические методы защиты информации в 2 ч. Часть 1. Математические аспекты : учебник для вузов / В. М. Фомичёв, Д. А. Мельников ; под редакцией В. М. Фомичёва. — Москва : Издательство Юрайт, 2022. — 209 с.Чернова Е. В.  Информационная безопасность человека: учебное пособие для вузов / Е. В. Чернова. — 2-е изд., испр. и доп. — Москва: Издательство Юрайт, 2022. — 243 с.Щеглов А. Ю.  Защита информации: основы теории : учебник для вузов / А. Ю. Щеглов, К. А. Щеглов. — Москва: Издательство Юрайт, 2022. — 309 с. Организационное и правовое обеспечение информационной безопасности: учебник и практикум / Т. А. Полякова, А. А. Стрельцов, С. Г. Чубукова, В. А. Ниесов ; ответственные редакторы Т. А. Полякова, А. А. Стрельцов. — Москва : Издательство Юрайт, 2022. — 325 с.