Отчет по практике в поликлинике

 

2. Информационная безопасность необходима, когда мероприятия направленные на достижение информационной безопасности нацелены на обеспечение бесперебойной работы элементов информационных систем.
3. Информационная безопасность и информационные системы нуждаются в сопровождении квалифицированным персоналом.

 

Так же проверяли оснащенность каждого рабочего места источником бесперебойного питания, оценивали расположение системного блока. Системный блок должен располагаться вдали от обогревательных приборов.

 

Итак, с какой же целью проводили такую оценку?

Ответ очень прост: все  это необходимо в целях безопасности. Безопасности прежде всего самой аппаратуры (компьютера, системного блока), ведь если системный блок находится близ обогревательных приборов, то это опасно, а если же бесперебойное питание отсутствует, то при отключении света могут произойти сбои и вся информация может затеряться, вернее даже может она не сохраниться. Вот для чего необходима оценка.

 

Следующей задачей было изучение рабочих групп. У нас возникали вопросы, уместно ли использование сетевой модели «рабочая группа» в сети представленного размера (под размером понимается больница №12)? Особенно с точки зрения безопасности? А также с точки зрения управления сетью? Даст ли улучшенная управляемость сетью лучшую безопасность сети?

Отвечая на эти вопросы  можно рассмотреть одну из ключевых моментов концепции доменных служб Active Directory к которой относят обеспечение авторизации принципалов безопасности для получения доступа к имеющимся сетевым ресурсам. Несмотря на то, что весь доступ к сетевым ресурсам основан на учетных записях отдельных пользователей, компьютеров или служб, со временем они могут меняться.

В средних и крупных  компаниях управление существующими  пользователями требует большой  административной нагрузки. Стоит учесть, что пользователи, выполняющие в  компании конкретную роль, могут меняться, но сама роль должна оставаться без  каких-либо изменений. Если назначать  доступ к сетевым ресурсами индивидуально для каждого отдельного пользователя, то списки контроля доступа ACL вскоре станут неуправляемыми и при изменении отдела пользователем нужно будет учесть все возможные разрешения доступа. Так как этот процесс может легко выйти из-под контроля, задачи, связанные с управлением должны быть привязаны к объектам групп.

 

Чаще всего группы используются для идентификации ролей пользователей  и компьютеров, фильтрации групповой  политики, назначения уникальных политик  паролей, прав, разрешений доступа, приложений электронной почты и многое другое. Сами по себе, группы представляют собой принципалы безопасности с уникальными SID, которые могут содержать в атрибуте member такие принципалы безопасности, как пользователи, компьютеры, группы и контакты.

Перед тем как создавать  группы следует знать, какие существуют разновидности групп. Так как  структура доменных служб предназначена  для поддержки сложных и крупных  распределительных сред, Active Directory включает в себя два типа групп домена с тремя областями действия в каждой из них, а также локальную группу безопасности.

 

Становится понятно, что  рабочие группы они не столь безопасны, тем более для больницы.

Далее изучали:

Идентификацию пользователей:

1) В рабочей группе;

2) В доменной модели сети (сети Microsoft Windows).

 

Это было для нас отдельным  заданием, сначала в виде изучения материалов, а потом уже в виде индивидуального задания. То есть уже  сами самостоятельно внедряли доменную сетевую модель (далее подробно описывается). Часть компьютеров имеют кириллические имена, либо имеют неосмысленные названия. С точки зрения сопровождения компьютерной сети, такая картина удручает. С точки зрения правил именования компьютеров в сети, использование кириллицы, ранее, вообще не допускалось. В настоящее время, возможно, но, лучше не стоит, во избежание возможных проблем совместимости. Изменяли имена компьютеров на латинские в формате <name>.

 

Разграничение прав пользователей:

1) Active Directory (доменная модель);

2) Применение на практике на примере Больницы № 12.

Выполнение индивидуального  задания. Внедрение доменной сетевой  модели в больнице (описывается выше).

 

Систему сетевых коммуникаций:

1) IP адресация, классы сетей, маршрутизация;

2) Технологию построения VPN;

3) Как это реализовано в Больнице № 12.

 

Программно – аппаратные средства защиты информации:

1) Технологии NAT, PAT, proxy;

2) Как это реализовано в Больнице № 12.

 

Инженерно – технические средства защиты информации:

1) Сигнализация, видеонаблюдение, контроль доступа - читать: охранные системы на предприятии.

 

Криптографические средства защиты информации:

1) Алгоритмы защиты;

2) Прикладные продукты: CryptoPro, VIPNET Clien, деловая почта на базе Больницы № 12.

 

Но в данной больнице все эти технологии защиты только начали внедряться и недостаточно развиты.

Следующим и очень большим  шагом было для нас внедрение  доменной сетевой модели.

Для начала изучали, почему же вместо модели «рабочие группы» мы должны внедрять модель «домен (Active Directory)» с точки зрения информационной безопасности, управления сетью.

Работа эта оказалась  несложной, но потребовала внимательности, терпения. У нас чтобы настроить компьютеры занимало по минут 30, возможно даже больше (смотря конечно какая ОС стояла на компьютере).

 

В период с 8 апреля 2013 года по 5 мая 2013 года проходили второй этап практики. Самый ответственный и  короткий период – преддипломная  практика.

Преддипломная практика как  часть основной образовательной  программы является завершающим  этапом обучения и проводится после  освоения студентами программы теоретического и практического обучения.

Целью преддипломной практики является выполнение практических работ, а также сбор и обработка материалов для дипломного проектирования (ДП). Она достигается посредством изучения предметной области, обобщения данных литературы по теме ДП, формулирования проблемы, обзора и сравнения методов решения поставленных задач, формулирования ожидаемых результатов и возможного применения разработок ДП, грамотного оформления отчета по практике.

 

В соответствии с задачами практики для выполнения руководитель практики перед нами поставил следующие виды задач:

• подобрать и проработать монографическую и периодическую литературу, техническую документацию и патенты, необходимые по теме дипломного проекта;
• произвести:
• оценку угроз информации на предприятии согласно требованиям стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007;
• анализ и оценку рисков информационной безопасности предприятия;
• выбор защитных мер (организационных и технических);
• описание организационных (административных) мероприятий по защите информации;
• описание мероприятий по программно-аппаратной, криптографической и инженерно-технической защитам;
• анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты;
• участвовать в обследовании объектов защиты, их аттестации и категорировании.
• провести сравнительный анализ возможных путей решения поставленной в дипломном проекте задачи;
• выполнить технико-экономическое обоснование разрабатываемой в дипломном проекте системы защиты.

Самый начальный этап начался  с инструктажа по прохождению практики и правилам безопасности работы.

Суть инструктажа состоит  в следующем: техники по специальности 090108 «Информационная безопасность» должны обладать фундаментальной подготовкой, позволяющей им освоить основной вид профессиональной деятельности по защите информации, по обслуживанию и эксплуатации систем и средств обеспечения информационной безопасности в качестве техника в организациях (на предприятиях) различной отраслевой направленности независимо от их организационно – правовых форм.

Следующий этап ознакомление с организацией работы на предприятии или в структурном подразделении, ознакомление с должностными и функциональными обязанностями.

Самый важный и самый интересный момент это ознакомление с техническим парком СВТ и существующей системой сетевых телекоммуникаций, а также ознакомление и описание работы имеющихся на предприятии программно – аппаратных, инженерно – технических, криптографических средств защиты информации.

Так как наш объект больница и она не столь большая, эта  задача была для нас легко преодолимой. Во время прохождения производственной практики нами были уже затронуты  эти виды средств защиты информации.

Далее проводили тестирование различных систем защиты информации.

Под тестированием понимается внедрение доменной сетевой модели в больницу №12, внедрение и контроль ее дальнейшего приживания в структуре  больницы.

 

  

2 Проектная часть

2.1 Комплекс организационных  мер обеспечения ИБ и ЗИ  предприятия

Объект защиты - Поликлиника МБУЗ Горбольниц № 12 г.Уфы свою деятельность осуществляет в соответствии с Уставом больницы. Некоторые правовые стороны, отрывок из устава больницы:

1.3 Учреждение является некоммерческой организацией, созданной для оказания услуг в целях осуществления предусмотренных законодательством Российской Федерации полномочий органов государственной власти в сфере здравоохранения.

1.4 Учреждение осуществляет  свою деятельность в соответствии  с предметом и целями деятельности, определенными законодательством Российской Федерации, Республики Башкортостан и настоящим Уставом.

2.2 Целью деятельности учреждения является охрана здоровья граждан.

К сожалению, в больнице нет  специалистов, которые бы занимались защитой информации. Но компания, в  которой мы проходим практику занимается небольшой частью по защите информации в медицинских учреждениях.

Касаясь правового обеспечения  защиты информации, выше приведены отрывки с Устава больницы №12. Так же больница осуществляет свою деятельность в соответствии с нормативными и правовыми актами по персональных данных в медицинских учреждениях.

Отрывок из статьи о ФЗ «О персональных данных», в котором  затрагивается тема о защите персональных данных в медицинских учреждениях:

«Через три года после принятия Федерального закона №152 «О персональных данных» (ФЗ-152) понимание того, что он касается, в том числе, и медицинских учреждений, постепенно приходит к главным врачам, заведующим поликлиниками и владельцам частных клиник. Компьютеры, установленные в регистратуре, лаборатории или кабинете врача, куда заносятся сведения о пациентах - это части информационной системы персональных данных, которые требуют обязательной защиты, а защита стоит денег, и денег немалых. Справедливости ради стоит отметить, что возлагая на операторов персональных данных (именно так в терминах ФЗ-152 именуются организации, обрабатывающие персональные данные и определяющие цель такой обработки, к категории которых относятся больницы, поликлиники, амбулатории, диспансеры и прочая, и прочая) обязанности по принятию организационных и технических мер защиты, государство не сообщило, откуда должны появиться средства на эти мероприятия, в том числе у медицинских учреждений, финансируемых из государственного или местного бюджета и не зарабатывающих денег в принципе».

 

 

2.2 Программно-аппаратные  средства ЗИ

{Структура программно-аппаратного  комплекса ИБ и ЗИ предприятия}

 

2.3 Разработка модели угроз  и уязвимостей

(разработка политики  безопасности, мер по обеспечению  безопасности 

Заключение

В ходе прохождения практики по профилю специальности обеспечили реализацию технологических процессов сборки, настройки технических средств защиты информации в соответствии с технической документацией, осуществили техническое обслуживание и настройку средств защиты и их функциональных устройств, научились выбирать оптимальные решения при выполнении работ в условиях нестандартных ситуаций.

За весь период практики мною были получены достаточный уровень знаний и навыков, которые будут необходимы мне в дальнейшем. Главное, что теперь мне есть на что опираться в дальнейшем изучении вышеназванных технологий.