Загрузка данных

Принято: ваш вариант — №8. Аптека.

Ниже представлено готовое Руководство по защите информации для аптечной организации (например, частная или муниципальная аптека, работающая с персональными данными, рецептурными сведениями и контролируемыми лекарственными средствами). Оформлено строго по разделам из методического задания.

---

РУКОВОДСТВО ПО ЗАЩИТЕ ИНФОРМАЦИИ

для аптечной организации ООО «Здоровье+»

1. Общие положения

1.1. Настоящее Руководство определяет цели, задачи, порядок и организацию защиты информации в аптеке.

1.2. Объект информатизации относится к категории объектов с умеренной степенью конфиденциальности (обрабатываются персональные данные клиентов, сведения о рецептурных лекарствах, данные о движении сильнодействующих и психотропных веществ).

1.3. Ответственным за выполнение требований Руководства является заведующий аптекой. Непосредственный контроль — назначенный специалист по информационной безопасности (ИБ) или ответственный за защиту информации.

1.4. Финансирование мероприятий осуществляется из текущих расходов организации.

1.5. Лицензия на техническую защиту информации не требуется, но используются сертифицированные средства защиты информации (СЗИ): антивирус Kaspersky, средство контроля съемных носителей DeviceLock, межсетевой экран.

---

2. Охраняемые сведения об объекте

2.1. Цель защиты информации — предотвратить утечку, уничтожение, искажение и несанкционированный доступ к охраняемым сведениям.

2.2. Перечень охраняемых сведений:

· персональные данные клиентов (ФИО, адрес, дата рождения, полис ОМС);
· сведения о назначенных и отпущенных рецептурных лекарствах;
· сведения об остатках сильнодействующих и психотропных веществ;
· логины и пароли к аптечной информационной системе;
· данные о маршрутах и времени инкассации;
· результаты внутренних проверок.

---

3. Демаскирующие признаки объекта и технические каналы утечки информации

3.1. Демаскирующие признаки:

· расположение компьютеров кассиров-провизоров;
· работа переговорных устройств и гарнитур;
· наличие системы видеонаблюдения;
· документооборот с рецептами на бумажных носителях.

3.2. Технические каналы утечки:

· акустический (разговоры в зале и подсобных помещениях);
· визуальный (просмотр информации с мониторов через камеры или посторонними);
· канал утечки через съемные носители (флешки, диски);
· несанкционированный доступ к АРМ;
· утечка через незащищенные сетевые соединения.

---

4. Оценка возможностей иностранных технических разведок и других источников угроз

4.1. Для оценки используется упрощенная Модель нарушителя.

4.2. Основные источники угроз:

· посторонние лица в зоне обслуживания;
· недобросовестный персонал;
· технические средства разведки низкой сложности (диктофоны, скрытые камеры);
· вредоносное ПО.

4.3. Оценка возможностей:

· перехват речи — высокая вероятность;
· НСД к компьютерам — средняя;
· действия иностранной технической разведки — маловероятны.

---

5. Организационные и технические мероприятия по защите информации

5.1. Организационные:

· назначение ответственного за ИБ;
· проведение инструктажей для персонала (под подпись);
· ограничение физического доступа в помещения с компьютерами и документацией;
· порядок уничтожения черновиков и рецептов.

5.2. Технические:

· установка антивируса и DLP-системы;
· блокировка USB-портов (кроме разрешенных устройств);
· экранирование кабелей локальной сети;
· использование парольной защиты на всех рабочих местах;
· регулярное резервное копирование базы данных.

5.3. Если в здании есть арендаторы — в договор включается пункт о соблюдении режима защиты информации.

---

6. Оповещение о ведении разведки

6.1. Признаки: подозрительные лица с техникой, попытки проникновения, нештатные работы с кабелями, необычный интерес к документации.

6.2. Порядок оповещения:
Сотрудник → заведующий аптекой → ответственный за ИБ → руководитель организации (при необходимости → территориальный орган ФСБ).

6.3. Схема оповещения: внутренняя телефонная связь, СМС, личное сообщение.

---

7. Обязанности и права должностных лиц

7.1. Заведующий аптекой:

· организует выполнение Руководства;
· утверждает планы мероприятий.

7.2. Ответственный за ИБ:

· проводит проверки и инструктажи;
· контролирует установку и работу СЗИ;
· вносит предложения по усилению защиты.

7.3. Сотрудники аптеки:

· соблюдают парольную политику;
· не сообщают охраняемые сведения посторонним;
· немедленно сообщают о нарушениях.

---

8. Планирование работ по защите информации и контролю

8.1. Планирование осуществляется на основе приказов руководителя организации и перечня типовых угроз.

8.2. Планы содержат:

· мероприятия;
· сроки;
· ответственных;
· ожидаемый результат.

8.3. Периодичность контроля: ежеквартально. Отчетность — до 10 числа следующего месяца.

---

9. Контроль состояния защиты информации

9.1. Виды контроля: плановый, внеплановый, оперативный.

9.2. Контролирующие органы: руководитель организации, ответственный за ИБ, при необходимости — контрольно-ревизионная комиссия.

9.3. Результаты оформляются актом. Устранение нарушений в срок до 10 рабочих дней.

---

10. Аттестование рабочих мест

10.1. Аттестации подлежат любые АРМ, на которых обрабатываются персональные данные клиентов.

10.2. Ответственный — специалист по ИБ.

10.3. Форма документирования — акт аттестации. Переаттестация при изменении условий обработки или каждые 3 года.

---

11. Взаимодействие с другими предприятиями, учреждениями, организациями

11.1. При совместной работе (аренда, IT-обслуживание, инкассация) в договоры включаются разделы о защите информации.

11.2. Структурная схема взаимодействия:
Аптека ↔ IT-подрядчик ↔ Поставщики лекарств ↔ Инкассаторская служба.

11.3. Ответственность сторон — согласно договору и законодательству.

---

12. Приложения к Руководству

· Перечень АРМ, подлежащих аттестации.
· План аптеки с расположением компьютеров и касс.
· Перечень сведений, подлежащих защите (с грифом).
· Структура системы защиты информации.
· Перечень нормативных документов (ФЗ-152, ФЗ-98, приказы Минздрава).
· Инструкция действий при угрозе разведки.

---

Вывод по практической работе

Разработано руководство по защите информации для аптечной организации в соответствии с заданием (вариант 8). Учтены отраслевые особенности: обращение рецептурных препаратов, персональные данные клиентов, открытость зоны обслуживания. Структура полностью соответствует требованиям разделов из методических указаний. Полученное руководство может быть использовано как основа для внутреннего нормативного документа.

Если хотите — могу также:

· оформить это в виде файла (например, .docx);
· сделать краткую презентацию с защитой;
· написать ответы на контрольные вопросы отдельно.