close

Вход

Забыли?

вход по аккаунту

Денисова Ольга Евгеньевна. Организация системы аудита информационных систем бюджетных организаций здравоохранения

код для вставки
2
3
4
АННОТАЦИЯ
на выпускную квалификационную работу Денисовой Ольги
Евгеньевны на тему: «Организация системы аудита информационных систем
бюджетных организаций здравоохранения».
Выпускная квалификационная работа изложена на 90 страницах,
включает 4 таблицы, 25 рисунков. Для ее написания использовано 40
источников.
Перечень ключевых слов: безопасность информационных систем,
аудиторская деятельность, угрозы безопасности, система экономического
аудита информационной безопасности, ценообразование.
Цель выпускной квалификационной работы: разработка комплекса мер
по оптимизации системы экономического аудита информационной
безопасности для предприятия БУЗ "Поликлиника №3".
В ходе исследования использовались следующие методы: сбор и
группировка
статистических
данных;
анализ
рядов
динамики;
горизонтальный и вертикальный анализ финансовой отчетности, метод
ранжирования и экспертной оценки; современные методы стратегического
финансового менеджмента и финансового анализа.
Работа состоит из введения, трех глав и заключения.
В первой главе «Информационные системы и их безопасность.
Содержание аудиторской деятельности» раскрываются теоретические
аспекты исследуемой проблемы: дано всестороннее определение аудита;
цели и задачи аудита обрисованы в общих чертах, подробно описаны
определения информационных систем, их назначения и классификации,
представлены информационная политика безопасности и технические типы
угроз информационных систем.
Вторая глава «Анализ ИС БУЗ "Поликлиника №3" г. Орла,
потенциальных угроз безопасности персональных данных и стоимости
аудита» посвящена последовательному анализу системы безопасности
информации «Интрамед», созданной для БУЗ «Поликлиника №3»; здесь
также представлена модель угрозы для данной информационной системы,
рассчитана стоимость аудита безопасности информации о персональных
данных для БУЗ «Поликлиники №3», что привело к оценке
информационного аудита безопасности.
В третьей главе «Рекомендации по разработке экономической системы
аудита информационной безопасности для БУЗ "Поликлиника №3"»
разработаны предложения, нацеленные на уменьшение расходов по
увеличению эффективности системы аудита информационной безопасности,
которая, как ожидается, позволит спасать бюджетные фонды БУЗ «
Поликлиника №3»; даются рекомендации на подготовку
проведения
открытой конкуренции, рассматриваются возможности уменьшения
стоимости аудита информационной системы на каждой стадии, оценивается
экономическая
эффективность
результатов,
полученных
в
ходе
вышеупомянутых действий.
5
Содержание
Введение ............................................................................................................ 6
1. Информационные системы и их безопасность. Содержание аудиторской
деятельности ...................................................................................................... 8
1.1 Аудит, цели и задачи аудиторской деятельности ...................................... 8
1.2
Информационные
системы.
История
появления,
определение,
назначение ....................................................................................................... 18
1.3 Классификация информационных систем ............................................... 23
1.4 Безопасность информационных систем ................................................... 35
Глава II. Анализ ИС БУЗ "Поликлиника №3", потенциальных угроз
безопасности персональных данных и стоимости аудита ............................ 40
2.1 Анализ ИСБУЗ "Поликлиника №3" ......................................................... 40
2.2 Модуль угроз безопасности персональных данных МИС «ИнтраМед» в
БУЗ "Поликлиника №3" .................................................................................. 50
2.3 Расчет стоимости аудита персональных данных для БУЗ "Поликлиника
№3" г. Орла ...................................................................................................... 57
Глава 3. Рекомендации по разработке экономичной системы аудита
информационной безопасности для БУЗ "Поликлиника №3" города Орла 65
3.1. Ценообразование аудита персональных данных МИС для БУЗ
"Поликлиника №3".......................................................................................... 65
3.2 Выборочный подход к проведению аудита безопасности персональных
данных для БУЗ "Поликлиника №3" .............................................................. 72
3.3 Выбор оптимальных компонентов аудита в соотношении цена/качество
для БУЗ "Поликлиника №3" . ......................................................................... 75
Заключение ...................................................................................................... 85
Списоклитературы .......................................................................................... 87
6
Введение
В конце 20 века в России стал развиваться новый вид деятельности «аудит», который в настоящее время широко распространяется. Аудиторские
проверки, в основном, проводятся в интересах бухгалтерского учета и
финансовой
(бухгалтерской)
отчетности
организаций,
а
так
же
индивидуальных предпринимателей, персонала организаций. Однако, с
ростом
информатизации
нашего
общества,
растет
и
количество
информационных систем внедряемых в различных сферах деятельности. В
связи с этим возникает потребность проверок таких систем на предмет
качества их работы, оптимизации затрат их создания и поддержки,
безопасности используемых системами данных и т.д.
Целью
данной
магистерской
диссертации
является
аудит
информационной безопасности для предприятия БУЗ "Поликлиника №3".
Аудит информационной безопасности – это процесс, в ходе которого
возможно получить объективную количественную и качественную оценку о
текущем состоянии информационной безопасности компании (организации,
предприятия)
согласно
определенным
критериями
и
показателями
безопасности.
Актуальность выполненной работы можно обусловить тем, что
обеспечение
информационной
безопасности
является
непрерывным
процессом, в связи с тем, что в постоянно изменяющихся условиях,
появлении новых угроз относительно конфиденциальной информации, а
также развитии новых средств в сфере информационных технологий,
которые служат для реализации этих угроз, поэтому нужно постоянно
контролировать надежность системы защиты конфиденциальных данных.
Аудит информационной безопасности призван выполнять эту функцию.
Исходя из этого возникают вопросы об эффективности и экономичности
7
проведения процедуры аудита, которые будут раскрыты и изучены в данной
работе.
Объектом
исследования,
проведенного
в
рамках
магистерской
диссертации, стала медицинская информационная система «Интрамед»,
установленная на предприятии БУЗ "Поликлиника №3", а его задачей –
подготовка
и
проведение
аудита
информационной
безопасности
максимально эффективно и экономично. Упор был сделан на поэтапное
рассмотрение процедуры аудита.
Целью исследования, в том числе и магистерской диссертации,
является выработка мер, направленных на удешевление процесса аудита и
наиболее эффективному использованию результатов аудита для улучшения
системы защиты информации предприятия на основе выявленных типов
угроз, а также определение наиболее приоритетных направлений развития
этого процесса, в основе чего лежит анализ надежности полученной системы
защиты.
В работе используются различные методы работы с инфрмацией:
анализ, описание, прогнозирование, сравнение, математические методы.
В работе использованы различные источники информации. При
написании работы были изучены нормативные акты, журнальные статьи,
учебники и учебные пособия по дисциплине. Список использованных
источников содержит 40 наименований.
Магистерская работа состоит из введения, основной части, состоящей
из трех глав, заключения, списка использованной литературы.
В работе
используется 4 таблицы и 25рисунков. Общий объем работы – 91страница.
Практическая
значимость
работы
заключается
во
внедрении
выработанных мер по оптимизации процесса аудита информационной
безопасности в БУЗ "Поликлиника №3".
8
1. Информационные системы и их безопасность. Содержание
аудиторской деятельности
1.1 Аудит, цели и задачи аудиторской деятельности
«Аудитор – латинское слово, имеющее весьма древние корни и
означающее собственно слушатель, выслушивающий» [36:5]. «Аудиторами в
Германии называли молодых специалистов, которые присутствовали при
производстве судебных дел, но не имели права голоса. Во Франции во время
Второй Империи аудиторы присутствовали на заседаниях Госсовета с Целью
подготовки из них чиновников высокого ранга. В духовных училищах и в
ряде
светских
учебных
заведений
аудиторами
называли
учеников,
назначенных учителем для выслушивания уроков своих товарищей. В ряде
государств аудиторами звали заседателей судов. Но чаще всего аудиторами
называли лиц, занимающих военно-судебные должности. Так в России это
звание было по примеру Польши введено Петром I в 1716 году» [36:5]. В
воинском уставе и табеле о рангах аудиторы были причислены к воинским
чинам и до введения военно-судебной реформы 1867 года образовывали
собой высшие ревизионные военные суды в России. Начиная с 1867 года,
слово аудитор в этом понимании стало исчезать. Но примерно в это же время
экономические преобразования, происходившие в ряде стран и, в первую
очередь, в Великобритании, вложили в него новое содержание. С этого
времени менялись лишь некоторые подходы к трактовке данного термина, но
общее его понятие оставалось неизменным. В настоящее время также
существуют различные трактовки определения аудита.
Рассмотрим эволюцию определения аудита в зарубежных странах в
таблице 1.
9
Таблица 1 – Эволюция определения понятия «аудит» за рубежом
Так, созданный в 1971 году Комитет американской бухгалтерской
ассоциации по основным концепциям учета (American Accounting Association
– AAA – Committeeоn Basic Auditing Concepts) дал следующее определение:
«Аудит – это системный процесс получения и оценки объективных данных
об экономических действиях и событиях, устанавливающий уровень их
соответствия определенному критерию и представляющий результаты
заинтересованным пользователям» [36:5].
Американские авторы Аренс А. и Лоббек Дж. определяют понятие
аудита так: «Аудит – это процесс, посредством которого компетентный
независимый
работник
накапливает
и
оценивает
свидетельства
об
информации, поддающейся количественной оценке и относящейся к
специфической хозяйственной системе, чтобы определить и выразить в своем
заключении
степень
соответствия
этой
информации
установленным
критериям» [20:7].
Комитет по аудиторской практике США (АРС) дает более простое
определение аудита – «независимое рассмотрение специально назначенным
10
аудитором финансовых отчетов предприятия и выражение мнения и них при
соблюдении правил, установленных законом» [18:13].
Различное трактование понятия аудита свидетельствует о том, что
стадия его становления еще не окончена. Однако, изучив все выше
перечисленные определения, используемые в странах, откуда аудит берет
корни, можно сказать, что основная суть аудита сводится к представлению
обществу информации о степени возможного доверия к той или иной
бухгалтерской отчетности организаций.
В России на даваемые определения аудита большое влияние оказало
наличие исторически сложившихся ревизорских проверок предприятий.
«Аудит – специализированная форма финансового контроля за
деятельностью предприятий, фирм, организаций в форме независимой
ревизии бухгалтерской отчетности, проводимых по желанию клиента»
[24:13]. Такое определение аудита не раскрывает все задачи аудита и,
конечно же, не учитывает ситуации, когда проведение аудита является
обязательным для экономического субъекта.
Согласно Временных правил аудиторской деятельности в Российской
Федерации аудит как «предпринимательскую деятельность аудиторов
(аудиторских фирм) по осуществлению независимых вневедомственных
проверок бухгалтерской (финансовой) отчетности, платежно-расчетной
документации, налоговых деклараций и других финансовых обязательств и
других финансовых обязательств и требований экономических субъектов, а
также оказанию иных аудиторских услуг»[6].
Данное
определение
аудита
позволяет
на
практике
раскрыть
положительные и отрицательные стороны аудита. К положительным
сторонам можно отнести указание на предпринимательский характер
аудиторской деятельности. Это означает, что все отношения, возникающие
между аудиторскими организациями и их клиентами, регулируются
Гражданским
кодексом
РФ.
Определение
содержания
аудиторской
деятельности термином «проверка» не нуждается в дополнительных
11
разъяснениях в отличие от таких, например, как «ревизия», «контроль»,
«экспертиза» и т.п.
Большой вопрос в настоящее время вызывает равенство понятий
бухгалтерской и финансовой отчетности. Многие уравнивают эти понятия
между собой, но такого быть не может. Понятие бухгалтерской отчетности
закреплено законодательно в Федеральном законе «О бухгалтерском учете»,
содержание и структура бухгалтерской отчетности также регулируется
Министерством
финансов
Российской
Федерации.
Однако
понятие
финансовой отчетности в настоящее время не раскрывается ни в одном
правовом акте. Существует статистическая отчетность, налоговая и прочие
виды отчетности, включает ли понятие финансовой отчетности, какие-либо
другие виды отчетности остается вопросом.
Действительно, на международном уровне термин бухгалтерская
отчетность
часто
заменяют
термином
финансовой
отчетности
для
следующих документов: баланс, отчет о прибылях и убытках, отчет о
движении денежных потоков. Термин финансовая отчетность позволяет
выйти на международную арену, чтобы четче понимать отчетность
предприятий в экономической практике.
Следует разграничивать экономическую действительность в России и
за рубежом. В нашей стране часто термины бухгалтерская и финансовая
отчетности совпадают, потому что данные отрасли выполняют похожую,
практически одинаковую работу. Однако с точки зрения практической
стороны применение финансовой отчетности на международном уровне и в
России разграничивается. Говоря об использовании термина финансовая
отчетность, можно предположить наличие другой формы отчетности,
которая объединяет бухгалтерский и финансовый аспекты.
Учитывая, что Законом «О бухгалтерском учете» бухгалтерская
отчетность определена в очень широком смысле как «единая система данных
об имущественном и фактическом положении организации и о результатах ее
хозяйственной деятельности» представляется не верным предположение, что
12
эта единая система данных содержит не полную необходимую информацию
об организации, и требуется еще некая финансовая отчетность, дополняющая
бухгалтерскую.
Таким образом, мы можем представить себе весь тот комплекс проблем
и неопределенностей российского законодательства в области аудита,
которые существовали вплоть до второй половины 2001 года. Налицо была
необходимость
принятия
Федерального
закона,
который
бы
четко
регулировал все взаимоотношения между экономическими субъектами,
возникающие в ходе проведения аудита. И вот, 7 августа 2001 года
Государственной Думой РФ был принят Федеральный закон № 119-ФЗ «Об
аудиторской деятельности».
В
соответствии
деятельностью
с
вышеуказанным
понимается
законом
предпринимательская
под
аудиторской
деятельность
по
независимой проверке бухгалтерского учета и финансовой (бухгалтерской)
отчетности организаций и индивидуальных предпринимателей.
В законе также дано определение аудитора – это физическое лицо,
отвечающее
квалификационным
требованиям,
установленным
уполномоченным федеральным органом, и имеющее квалификационный
аттестат аудитора. Закон «Об аудиторской деятельности» систематизировал
ту разрозненную правовую базу в области аудита, существовавшую с 1993
года. Закон установил четкие параметры аудиторской деятельности,
правовой
статус,
права
и
обязанности
аудиторских
организаций,
законодательно закрепил стандарты (правила) аудиторской деятельности, а
также определил критерии и обстоятельства, при которых экономический
субъект обязан подвергнуться аудиторской проверке.
Говоря об объектах аудиторской проверки, стоит отметить, что он во
многом зависит от типа проверки – обязательной, предусмотренной законом,
либо проводимый по желанию организации.
В случае проведения обязательной аудиторской проверки объектом
будет выступать установление достоверности бухгалтерской отчетности. В
13
случае аудита по желанию компании объект будет определяться договором
между компанией – инициатором и аудиторской организацией.
Обязательный аудит устанавливается на законодательном уровне.
Законом «Об аудиторской деятельности» установлены четкие критерии
отнесения хозяйствующих субъектов к группе организаций, подлежащих
обязательному аудиту.
Основной
бухгалтерской
целью
аудита
(финансовой)
является
установление
отчетности
достоверности
экономических
субъектов
и
соответствия совершенных ими финансовых и хозяйственных операций
нормативным актам. Цель аудита определяется законодательством, системой
нормативного регулирования
аудиторской
деятельности,
договорными
обязательствами аудитора и клиента.
Целями аудита бухгалтерской отчетности, как это определено в
правиле (стандарте) РФ «Цели и основные принципы, связанные с аудитом
бухгалтерской отчетности» [13], являются формирование и выражение
мнения аудиторской организации о достоверности бухгалтерской отчетности
экономического субъекта во всех существенных отношениях.
В ходе аудита бухгалтерской отчетности должны быть получены
достаточные
и
уместные
аудиторские
доказательства,
позволяющие
аудиторской организации с приемлемой уверенностью сделать выводы
относительно:
а)
правильности
бухгалтерского
учета
организации,
согласно
требований закона и нормативных актов, которые регулирует порядок
ведения бухгалтерского учета и подготовки бухгалтерской отчетности в
Российской Федерации;
б) соответствия бухгалтерской отчетности экономического субъекта
тем
сведениям,
которыми
располагает
аудиторская
организация
о
деятельности экономического субъекта.
Заключение аудиторской организации может способствовать большему
доверию к отчетности организации со стороны инвесторов и других
14
пользователей, которые заинтересованы данной организацией. Но при этом,
стоит отметить, что заключение аудиторской организации не должно
рассматриваться пользователями отчетности как полную гарантию будущей
жизнеспособности
экономического
субъекта
либо
эффективности
деятельности его руководства.
Аудиторское
заключение,
содержащее
мнение
аудиторской
организации о степени достоверности бухгалтерской отчетности, не должно
трактоваться как гарантия аудиторской организации в том, что не
существуют
какие-либо
иные
(помимо
изложенных
в
аудиторском
заключении) обстоятельства, влияющие или способные повлиять на
бухгалтерскую отчетность экономического субъекта.
Цель проверки финансовых отчетов:
подтверждение
-
достоверности
отчетов
или
констанция
их
недостоверности;
-
контроль
за
соблюдением
законодательства
и
нормативных
документов, регулирующих правила ведения учета и составления отчетности,
методологии оценки активов, обязательств и собственного капитала;
- проверка полноты, достоверности и точности отражения в учете и
отчетности затрат, доходов и финансовых результатов деятельности
предприятия за проверяемый период;
- выявление резервов лучшего использования собственных основных и
оборотных средств, финансовых резервов и заемных средств.
Договором с компанией-инициатором проверки основная цель может
дополняться
задачами
выявления
финансовых
ресурсов,
анализом
разработкой
мероприятий
по
резервов
лучшего
правильности
улучшению
использования
исчисления
финансового
налогов,
положения
предприятия, оптимизации затрат и результатов деятельности, доходов и
расходов.
15
Для того, чтобы аудитор мог достичь основной цели аудиторской
проверки и составить заключение, по результатам проверки, ему необходимо
дать ответы на несколько ключевых вопросов:

соответствует ли отчетность требованиям, предъявленным к ней,
имеются ли противоречивой данные в ней?

имеются ли основания для включения в отчетность сумм,
указанных в ней?

включены ли в отчетность все необходимые суммы, которые
должны быть там отражены? Все ли активы и пассивы принадлежат
компании?

есть ли основания относить сумму на тот счет, на который она
отнесена?

соответствуют
ли
суммы
отдельных
операций
данным,
приведенным в книгах и журналах аналитического учета, правильно ли они
просуммированы, соответствуют ли итоговые суммы данным, приведенным
в Главной книге?

все ли статьи занесены в финансовую отчетность и правильно
описаны в самих отчетах и приложениях к ним?
Для ответа на поставленные перед аудитором вопросы он может
использовать различные инструменты сбора, накопления и обработки
информации.
По мимо основной цели и задач, аудиторы также могут оказывать
своим клиентам услуги, тесно связанные с аудиторскими услугам. Аудиторы
могут:
- консультировать в плане организации бухгалтерского учета;
- оказывать содействие в налоговом планировании и расчете налогов;
- проводить оценку и анализировать финансово-хозяйственную
деятельность предприятия;
- консультировать по различным вопросам в сфере финансов и права;
- заниматься разработкой учредительных документов;
16
- прочие услуги.
Таким образом, процесс аудита можно изобразить в виде схемы,
представленной на рисунке 1.
17
Процесс аудита бухгалтерской финансовой отчетности
Цель аудита - формирование и выражение мнения аудиторской организации о
достоверности бухгалтерской отчетности экономического субъекта во всех
существенных отношениях.
Нормативные документы, регулирующие аудит бухгалтерской финансовой
отчетности
Источники
аудита
бухгалтеской
финансовой
отчетности:
первичная
документация; учетные регистры, распорядительные документы, отчетность
экономического субъекта
Этапы процесса аудита:
1. Подготовтельный (организационный) - подтверждение договоренности об
аудите, ознакомление с бизнесом , определение основных направлений аудита.
2. Промежуточный - оценка системы бухгалтерского учета и внутреннего
контроля, риск существенного искажения , планирования отчетности.
3. Физическая проверка - инвентаризация.
4. Аудит отчетности - документальная проверка статей отчетности, проведение
аналитических процедур.
5. Заключительный - составление аудиторского отчета.
Процедуры аудита: проверка, инспектирование, наблюдения, запрос,
аналитические процедуры, подтверждение, пересчет, повторное выполнение и
аналитические процедуры.
Рисунок 1 – Процесс аудита бухгалтерской финансовой отчетности
18
1.2 Информационные системы. История появления, определение,
назначение
Первые информационные системы начали появляться в середине 20
века. В этот период основной задачей информационных систем была
обработка счетов и расчет заработной платы. Работа с информационной
системой проходила
на
электромеханических бухгалтерских счетных
машинах. В результате этого происходило ускорение подготовки документов
и сокращение затрат.
Изменение отношения к информационным системам произошло в
шестидесятые годы 20 века.В этот период информация, полученная из них,
стала применяться для периодической отчетности по различным параметрам.
В связи с этим организациям было нужно компьютерное оборудование
широкого назначения, которое могло обрабатывать множество функций, а не
только считать зарплату, как было ранее.
В качестве средства управленческого контроля информационные
системы начинают использоваться в 70-х – 80-х годах 20 века. Благодаря
этому возросла скорость принятия решений. В этот период зародилась
концепция систем поддержки принятия решений. Такие системы создавались
для обеспечения менеджеров специализированной поддержкой процессов
принятия
решений
в
условиях
быстроменяющейся
экономической
обстановке.
В следующее десятилетие вновь происходит изменение отношения к
информационным системам. В связи с увеличением мощности компьютеров,
развитием телекоммуникационных сетей и пакетов прикладных программ
появился
феномен
конечного
пользователя
(endusercomputing).
Они
становятся стратегическим источником информации и используются на всех
уровнях организации любого профиля. Информационные системы этого
периода, предоставляя вовремя нужную информацию, помогают организации
достичь успеха в своей деятельности, создавать новые товары и услуги,
19
находить новые рынки сбыта, обеспечивать себе достойных партнеров,
организовывать выпуск продукции по низкой цене и многое другое.
Представим эволюцию информационных систем графически в таблице
2.
Таблица 2 – Этапы становления информационных систем
«Информационные
системы,
предназначенные
для
обеспечения
менеджеров информацией для поддержки принятия эффективных решений,
называются
управленческими
информационными
системами
(managementinformationsystems – MIS)» [27].
Информационная
система
представляет
собой
совокупность
технического, программного и организационного обеспечения и персонала.
Предназначение информационной системы – своевременное обеспечение
необходимой информацией ее пользователя.
Информационные
системы
являются
объектом
исследования
одноименного направления информатики. Информационные системы – это
хранилища информации, которые снабжены процедурами ввода, поиска и
представления
информации.
В
истоках
этого
направления
лежат
исследования в области документалистики и анализа научно-технической
информации, которые проводились еще до появления компьютеров. После
20
появления
компьютеров
и
их
быстрого
повсеместного
внедрения,
информационные системы достигли истинного развития. В настоящее время
в рамках этого направления решаются следующие задачи:
- осуществлять прогнозы различной информации, распространяемой в
обществе;
- анализировать полученную информацию;
- исследовать разные документы, чтобы их приспособить к видимой
обработки на персональных компьютерах и уменьшить в объеме, создать
единый стандарт;
-
изучить
специфику информации,
которая
предоставляется
в
телевизионных программах, в журналах и других печатных изданиях;
- охарактеризовать и проанализировать влияние данной информации на
научно-исследовательский и научно-технические прогрессы, протекающие в
обществе.
При том факте, когда исследуется большой объем информации, ее
обработка и способы хранения, кодировка, создание аннотаций для больших
документов и их изложения, когда формируются специальные приемы
сжатия информации и создаются особые языки для понимания информации
различных видов, то можно говорить о развитии направлений по работе с
банками данных большого формата. Эти банки данных могут хранить
информацию разного рода знаний, которая может быть приемлема для
вычислительных машин.
Существуют
определенные
технические
средства
и
всяческие
процедуры, направленные на автоматизацию процесса отбора информации из
документальных материалов, которые не приемлемы для вычислительных
машин, но направлены на человеческий фактор. Отсюда возникает проблема
выявления содержания таких документов, их ввода в банки данных и иные
хранилища
информационного
(машинным) фактором.
характера,
связанные
с
компьютерным
21
Для таких типовых систем разработаны специальные запросы и особые
поисковые информационные системы, которые могут считывать запросы к
хранилищам информационного характера, представленные на обычном языке
человека.
Сюда относятся обработка и передача информации, ячейки хранения,
терминалы, центры связи, средства обработки, банки данных с различными
типами информации.
Одно из наиболее широких определений ИС дал М.Р. Когаловский:
«информационной
вычислительное
системой
и
называется
коммуникационное
комплекс,
включающий
оборудование,
программное
обеспечение, лингвистические средства и информационные ресурсы, а также
системный
персонал
информационной
и
модели
обеспечивающий
некоторой
поддержку
части
динамической
реального
мира
для
удовлетворения информационных потребностей пользователей» [27].
Автоматизированная
вычислительного
средств,
и
информационная
коммуникационного
лингвистических
и
система
–
совокупность
оборудования,
программных
информационных
ресурсов,
персонала,
обеспечиваю поддержку динамической информационной модели части
реального мира.
Стандарт
ISO/IEC2382-1
дает
следующее
определение:
«Информационная система – система обработки информации, работающая
совместно с организационными ресурсами, такими как люди, технические
средства и финансовые ресурсы, которые обеспечивают и распределяют
информацию»[15].
Российский ГОСТ РВ 51987 определяет информационную систему как
«автоматизированную систему, результатом функционирования которой
является
представление
выходной
информации
для
последующего
использования» [16].
Часть
реального
мира,
которая
моделируется
системой, называется ее предметной областью.
информационной
22
Основной
задачей
ИС
является
удовлетворение
конкретных
информационных потребностей в рамках конкретной предметной области.
Современные ИС де-факто немыслимы без использования баз данных и
СУБД, поэтому термин «информационная система» на практике сливается по
смыслу с термином «система баз данных».
В идеале в рамках предприятия должна функционировать единая
корпоративная
информационная
система,
удовлетворяющая
все
существующие информационные потребности всех сотрудников, служб и
подразделений. Однако на практике создание такой всеобъемлющей ИС
слишком затруднено или даже невозможно, вследствие чего на предприятии
обычно функционируют несколько различных ИС, решающих отдельные
группы
задач:
деятельность
и
управление
т.д.
Часть
производством
задач
бывает
финансово-хозяйственная
«покрыта»
одновременно
несколькими ИС, часть задач – вовсе не автоматизирована. Такая ситуация
получила название «лоскутной автоматизации» и является довольно
типичной для многих предприятий.
Рассмотрим
методологию работы информационной системы на
рисунке 2.
Автоматизированная информационная система
Сбор данных
Обработка
данных
Ввод данных
Хранение,
обновление,
поддержка данных
Поиск информации
Формирование
форм
Анализ
данных
выходных
полученных
Принятие решений
Рисунок 2 – Методология работы информационной системы
23
1.3 Классификация информационных систем
Возможности использования компьютерных информационных систем
для принятия решений определяются следующими параметрами:
1.
Структурированность решаемых управленческих задач;
2.
Уровень иерархии управления фирмой, на которой решение
должно быть принято;
3.
Принадлежность решаемой задачи к той или иной
функциональной сфере бизнеса;
4.
При
Вид используемой информационной технологии.
создании
информационных
систем
неизбежно
возникают
проблемы, связанные с формальным описанием решаемых задач. От степени
формализации зависит эффективность работы всей системы, а также уровень
автоматизации, который определяется степенью участия человека в процессе
принятия решений на основе получаемой информации.
Чем точнее математическое описание задач, тем выше возможности
компьютерной обработки данных и тем меньше степень участия человека в
процессе ее решения. Это и определяет степень автоматизации задачи.
Различают три типа задач, для которых создаются информационные системы,
рассмотрим их на рисунке 3:
24
Информационные
системы
Для структурированных задач
(автоматизация решения)
Для частично структурированных и
неструктурированных задач
Создающие
альтернативы решений
Создающие
управленческие отчеты
Экспертные
Модельные
Рисунок
3
–
Информационные
системы
в
зависимости
от
структурированности решаемых управленческих задач
Если известны все элементы задачи, а также взаимосвязи между ними,
тогда такая задача называется структурированной (формализуемой).
В
неструктурированной
невозможно
выделить
(неформализуемой)
элементы
и
установить
задаче
между
наоборот,
ними
связи.
Структурированную задачу можно выразить через математическую модель,
которая имеет точный алгоритм решения. Такие задачи обычно носят
рутинный характер, т.к. их приходится решать неоднократно. Целью
использования информационной системы для решения структурированных
задач является полная автоматизация их решения, т.е. сведение роли
человека к нулю. Решение неструктурированных задач из-за невозможности
создания математического описания и разработки алгоритма связано с
большими трудностями. Возможности использования здесь информационной
системы невелики. Решение в таких случаях принимается человеком из
эвристических соображений на основе своего опыта и, возможно, косвенной
информации из разных источников.
25
Стоит
отметить,
что
в
организациях
очень
мало
полностью
структурированных или неструктурированных задач. В большинстве случаев
известна часть элементов задач и взаимосвязей между ними. В таком случае
задачи называются частично или плохо структурированными. В этих
условиях можно создать информационную систему. Получаемая в ней
информация анализируется человеком, который будет играть определяющую
роль. Такие информационные системы являются автоматизированными, так
как в их функционировании принимает участие человек.
В свою очередь, такие информационные системы можно разделить на
два вида:
1)
Информационные системы, ориентированные на обработку
данных.Их функционал заключается в поиске, сортировке, агрегированию и
фильтрации данных.Данные системы составляют отчеты, на основе которых
лицо принимающее решение делает заключение.
2)
Информационные
системы,
которые
разрабатывают
альтернативные варианты решения проблемы. В этом случае лицо
принимающее решение выбирает одно из предложенных альтернативных
решений.
Виды поддержки для лица принимающего решения рассмотрим на
рисунке 4.
26
Поддержка ИС для решения плохо
структурированных задач
ИС создающие
альтернативные
решения
ИС для обработки
данных
Модельная
Информационная
Экспертная
Рисунок 4 – Виды поддержки ЛПР информационными системами
Информационная поддержка обеспечивает доступ пользователя к
информации и ее частичную обработку.
Функции информационной поддержки сводятся
пользователя
первичными
данными
и
данными
к обеспечению
различной
степени
сжатия.автоматическое отслеживание качества потока информации для
наполнения баз данных.
На основе модельной поддержки, реализуемой через построение
модели проблемной ситуации, пользователь может получить недостающую
ему для принятия решения информацию путем установления диалога с
моделью в процессе ее исследования. Модельная поддержка связана с
предоставлением
пользователю
математических,
статистических,
финансовых и других моделей, 3 использование которых облегчает
выработку и оценку альтернатив решения.
Экспертная поддержка также обеспечивает выработку и оценку
возможных альтернатив, но не за счет использования моделей, а за счет
создания экспертных систем, связанных с обработкой знаний. Экспертная
поддержка реализуется на двух уровнях.
27
Функциональная
экономических
задач,
подсистема
характерных
ИС
для
представляет
структурных
комплекс
подразделений
экономической системы и (или) функций управления и обладающих высокой
степенью информационных обменов между задачами [27].
При этом под задачей будем понимать некоторый процесс обработки
информации с четко определенным множеством входной и выходной
информации (например, начисление сдельной заработной платы, учет
прихода материалов, оформление заказа на закупку и т.д.).
Состав
функциональных
подсистем
во
многом
определяется
особенностями экономической системы, ее отраслевой принадлежностью,
формой собственности, размером, характером деятельности предприятия.
На рисунке 5рассмотрим информационные системы в зависимости от
принадлежности к определенной сфере бизнеса.
28
Рисунок
5
–
Информационные
системы
в
зависимости
от
принадлежности к определенной сфере бизнеса
Одним из критериев классификации информационных систем является
их разделение по уровням управления. Классификация информационных
систем в зависимости от уровня управления представлена на рисунке 6.
29
Системы
менеджеров
высшего звена
Стратегический
Системы специалистов
Системы
менеджеров
среднего звена
Функциональный
Системы исполнителей,
менеджеров
низшего
звена
Оперативный
Рисунок 6 – Информационные системы с учетом уровня иерархии
управления фирмой, на которой решение должно быть принято
Из рисунка видно, что от уровня управления зависит объем работ,
выполняемых менеджером или специалистом в информационной системе,
чем выше уровень, тем меньше работ. Стоит отметить, что при этом
возрастают сложность и интеллектуальные возможности информационной
системы и ее роль в принятии менеджером решений. Любой уровень
управления нуждается в информации из всех функциональных систем, но в
разных объемах и с разной степенью обобщения. Основание пирамиды
составляют информационные системы, с помощью которых сотрудникиисполнители занимаются операционной обработкой данных, а менеджеры
низшего звена – оперативным управлением. Наверху пирамиды на уровне
стратегического управления информационные системы изменяют свою роль
и становятся стратегическими, поддерживающими деятельность менеджеров
высшего
звена
по
принятию
решений
в
условиях
плохой
структурированности поставленных задач.
Специфика оперативного контроля заключается в рутинности, на этом
уровне работа происходит с постоянно повторяющимися операциями. Эти
30
работы выполняются работниками низшего уровня, они предварительно
регламентированы и выполняются по правилам. Решения, принимаемые на
уровне 6 оперативного контроля, покрывают короткий промежуток времени.
Благодаря
оперативному
контролю,
обеспечивается
уверенность
руководства, что все специфические задачи и процедуры выполняются
эффективно.
Задачи, цели и источники информации на оперативном уровне заранее
определены
и
в
высокой
степени
структурированы.
Решение
запрограммировано в соответствии с заданным алгоритмом. На уровне
оперативного контроля решаются следующие задачи обработки данных:

обработка данных об операциях, производимой фирмой

создание периодических отчетов о состоянии дел (для контроля);

подготовка ответов на всевозможные запросы.
Информационная система оперативного уровня обрабатывает данные о
сделках и событиях (счета, накладные, зарплата, кредиты, поток сырья и
материалов). Назначение ИС на этом уровне – отвечать на запросы о
текущем состоянии и отслеживать поток сделок в фирме, что соответствует
оперативному управлению. Чтобы с этим справляться , информационная
система
должна
быть
легкодоступной,
непрерывно
действующей
и
представлять точную информацию.
Информационная система оперативного уровня является связующим
звеном между фирмой и внешней средой. Если система работает плохо, то
организация либо не получает информации извне, либо не выдает
информацию. Кроме того, система – это основной поставщик информации
для остальных типов информационных систем в организации, так как
содержит и оперативную, и архивную информацию. Отключение этой ИС
привело бы к необратимым негативным последствиям.
Информационные
системы
функционального
уровня
включают
информационные системы специалистов и информационные системы
менеджеров среднего уровня.
31
В
помощь
информационные
сотрудникам,
системы
обрабатывающих данные,
специалистов.
Они
существуют
также
повышают
производительность и продуктивность труда проектировщиков и инженеров.
Основная задача таких информационных систем – интеграция новых
сведений в организацию и упрощение процесса обработки бумажных
документов. С переходом от индустриального общества к информационному,
возрастает зависимость производительности экономики от уровня развития
информационных систем специалистов. Такие системы, особенно в виде
офисных систем, наиболее быстро развиваются сегодня в бизнесе.
Рассмотрим подробнее системы специалистов на рисунке 7.
Информационные
системы
специалистов
Информационные системы автоматизации
офисного труда
за счет своей простоты и многозадачности
используются практически всеми
сотрудниками организации. Наиболее часто
их применяют работники средней
квалификации: бухгалтеры, секретари,
банковские служащие. Такие
информационные системы позволяют
упростить канцелярский труд. Основная
функция заключается в обработке данных.
Информационные системы офисной
автоматизации связывают воедино
работников информационной сферы в
разных регионах и помогают поддерживать
связь с покупателями, заказчиками и
другими организациями. Их деятельность в
основном охватывает управление
документацией, коммуникации,
составление расписаний и т.д.
Информационные системы обработки
знаний
содержат знания, необходимые инженерам,
юристам, ученым при разработке или
создании нового продукта. Их работа
заключается в создании новой информации
и нового знания
Рисунок 7 – Информационные системы специалистов
32
Менеджерами среднего звена информационные системы в основном
используются для контроля, администрирования, мониторинга и принятия
решений. Основные функции этих информационных систем: сравнение
текущих показателей с прошлыми; составление периодических отчетов за
определенное время, а не выдача отчетов по текущим событиям, как на
оперативном уровне; обеспечение доступа к архивной информации и т.д. На
рисунке 8 рассмотрим структуру информационных систем, используемых
менеджерами среднего звена.
Рисунок 8 – Информационные системы, используемые менеджерами
среднего звена
33
Успешность компании во многом зависит от принятой в ней стратегии
развития. Стратегия – это набор средств и методов решения долгосрочных
задач. Сегодня в условиях рыночных отношений вопросу стратегии развития
и поведения фирмы стали уделять большее внимание, что способствовало
коренному изменению во взглядах на информационные системы. Они стали
расцениваться как стратегически важные системы, которые влияют на
изменение выбора целей фирмы, ее задач, методов, продуктов, услуг,
позволяя
опередить
конкурентов,
а
также
наладить
более
тесное
взаимодействие с потребителями и поставщиками. Появился новый тип
информационных систем – стратегический.
Стратегическая
информационная
система
–
компьютерная
информационная система, обеспечивающая поддержку принятия решений по
реализации стратегических перспективных целей развития организации.
Рассмотрим
качество
информационной
системы
как
стратегического
средства деятельности.
Для того, чтобы понять значимость стратегических информационных
систем необходимо изучить внешние факторы, влияющие на развитие
компании.
Основными внешними факторами, влияющими на любую компанию,
являются:

конкуренты, которые проводят свою политику на рынке;

покупатели, которые обладают различными возможностями по
приобретению товаров и услуг;

контрагенты и поставщики, проводящие свою ценовую политику.
Для того чтобы обеспечить конкурентное преимущество компаниям
необходимо учитывать перечисленные внешние факторы и в зависимости от
их влияния придерживаться определенных стратегий.
Для устойчивой позиции на рынке компания может:

создавать и разрабатывать новые товары и услуги, отличающиеся
от аналогов на рынке;
34

диверсифицировать рынки сбыта;

создавать зависимость покупателей и поставщиков за компанией,
путем создания таких связей, которые делают невыгодным обращение в
другую компанию;

уменьшать стоимость товаров, не снижая его качества.
Информационные системы стратегического уровня помогают высшему
звену
управленцев
решать
неструктурированные
задачи,
подобные
описанным выше, осуществлять долгосрочное планирование. Основная
задача – сравнение изменений во внешнем окружении с существующим
потенциалом фирмы. Они призваны создать общую среду компьютерной и
телекоммуникационной поддержки решений в неожиданно возникающих
ситуациях. Используя самые совершенные программы, эти системы
способны в любой момент предоставить информацию из многих источников.
Для
некоторых
аналитические
стратегических
возможности.
На
систем
данном
характерны
ограниченные
организованном
уровне
информационные системы играют вспомогательную роль и используются как
средство оперативного предоставления менеджеру необходимой информации
для принятия решений. В настоящее время еще не выработана общая
концепция построения стратегических информационных систем вследствие
многоплановости их использования не только по целям, но и по функциям.
Относительно применения стратегических информационных систем
можно выделить
две точки зрения. Некоторые склоняются к тому, что
информационную систему необходимо подстраивать под уже поставленные
цели и стратегии, другие наоборот, считают что информационные системы
стратегического
характера
необходимо
использовать
при
постановке
стратегических целей и задач.
Мы же считаем, что для компании рациональным был бы синтез этих
мнений.
35
1.4 Безопасность информационных систем
«Информационная безопасность – это комплекс мер по обеспечению
безопасности информационных активов предприятия» [29:123].Из этого
определения
следует,
что
информационная
безопасность
понятие
комплексное и решение отдельных задач этого комплекса, не решит
проблему
информационной
безопасности
в
целом.
Современные
руководители не понимают этот принцип из-за чего возникают пробелы в
информационной безопасности компаний.
«Стратегия – средство достижения желаемых результатов. Комбинация
из запланированных действий и быстрых решений по адаптации фирмы к
новым возможностям получения конкурентных преимуществ и новым
угрозам ослабления ее конкурентных позиций»[32:15].То есть стратегию
информационной безопасности (СИБ) нужно определить с учетом быстрого
реагирования на новые угрозы и возможности.
Информационная
безопасность
должна
обеспечивать
конфиденциальность, целостность и пригодность информации.
«Конфиденциальность – обеспечение информацией только тех людей,
которые уполномочены для получения такого доступа. Хранение и просмотр
ценной информации только теми людьми, кто по своим служебным
обязанностям и полномочиям предназначен для этого»[32:16].
«Целостность – поддержание целостности ценной и секретной
информации
означает,
что
она
защищена
от
неправомочной
модификации»[32:16]. Существует множество типов информации, которые
имеют ценность только тогда, когда мы можем гарантировать, что они
правильные. Главная цель информационной политики безопасности должна
гарантировать, что информация не была повреждена, разрушена или
изменена любым способом.
Пригодность – это постоянная доступность информационной системы,
готовность к эксплуатации при любом запросе пользователя. В этом случае,
36
основная цель информационной политики безопасности должна быть
гарантия, что информация всегда доступна и поддерживается в пригодном
состоянии.
В
России
в
большинстве
компаний
вопрос
информационной
безопасности развит плохо. Различные исследования и опросы специалистов
подтверждают данное утверждение.
Множество компаний регулярно терпят убытки из-за нарушения
информационной безопасности, к тому же многие предприятия не способны
самостоятельно оценить ущерб или выявить многие из этих нарушений. Тем
более не идет речь о реализации в современных российских организациях
полноценной
процедуры
управления
рисками
ИБ.
Большинство
специалистов-практиков даже не берутся за эту «непосильную» задачу,
предпочитая руководствоваться при решении проблем ИБ исключительно
собственным опытом и интуицией. Ущерб от нарушений информационной
безопасности проявляется в утечке коммерческой тайны и персональных
данных, потере рабочего времени на восстановление данных, ликвидацию
последствий вирусных атак, кражи баз данных по клиентам и т.п. Убытки
могут также выражаться и вполне конкретными «круглыми суммами»,
например, когда речь идет о мошенничестве в финансовой сфере.
В основе организационных мер защиты информации лежат политики
безопасности.
Успешность
любых
мероприятий
по
обеспечению
информационной безопасности в наибольшей степени зависит от политики
безопасности.
Как и многие другие понятия, термин «политика безопасности»
рассматривается в широком и узком смыслах.
В широком смысле слова,
под политикой безопасности понимают
систему документированных управленческих решений по обеспечению
информационной безопасности организации.
В узком смысле, политика безопасности – это локальный нормативный
документ, который определяет требования безопасности, систему мер, либо
37
порядок действий, а также ответственность сотрудников организации и
механизмы
контроля
информационной
определенной
безопасности.
специализированных
предпочтительней
для
нормативных
создания
«Общего
области
обеспечения
Использование
документов
нескольких
обычно
руководства
по
является
обеспечению
информационной безопасности организации».
Эффективные ПБ определяют необходимый и достаточный набор
требований безопасности, позволяющих уменьшить риски ИБ до приемлемой
величины. Они оказывают минимальное влияние на производительность
труда,
учитывают
особенности
бизнес-процессов
организации,
поддерживаются руководством, позитивно воспринимаются и исполняются
сотрудниками организации.
При разработке ПБ, которая «не рухнет под своим собственным
весом», следует учитывать факторы, влияющие на успешность применения
мер обеспечения безопасности.
«Меры
безопасности
накладывают
ограничения
на
действия
пользователей и администраторов ИС и в общем случае приводят к
снижению производительности труда. Безопасность является затратной
статьей для организации, как и любая другая форма страхования рисков»
[32:30].
Человеческая природа всегда порождает желание получения большого
количества информации, упрощения доступа к ней и уменьшения времени
реакции системы. Любые меры безопасности в определенной степени
препятствуют осуществлению этих естественных желаний.
Каждый пользователь ИС обладает ограниченным запасом терпения, в
отношении следования правилам политики безопасности, достигнув которого
он перестает эти правила выполнять, решив, что это явно не в его интересах
(не в интересах дела).
Политики, не учитывающие влияния, которое они оказывают на
производительность труда пользователей и на бизнес-процессы, в лучшем
38
случае могут привести к ложному чувству защищенности. В худшем случае
такие политики создают дополнительные бреши в системе защиты, когда
«кто-то начинает двигаться на красный свет».
Следует
учитывать
и
минимизировать
влияние
ПБ
на
производственный процесс, соблюдая принцип разумной достаточности.
Навыки безопасного поведения приобретаются в процессе обучения.
В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не
является инстинктивным поведением. Это функции более высокого уровня,
требующие обучения и периодического поддержания.
Процедуры
обеспечения
безопасности
обычно
не
являются
интуитивными. Без соответствующего обучения пользователи ИС могут и не
осознавать
возможного
ценность
ущерба.
информационных
Пользователь,
не
ресурсов,
имеющий
риски
и
размеры
представления
о
критичности информационных ресурсов (или причинах, по которым их
следует защищать), скорее всего, будет считать соответствующую политику
неразумной. Даже некоторые навыки самосохранения требуют обучения.
(дети сначала не знают о том, что перед тем, как переходить через дорогу,
надо посмотреть сначала налево, а потом – направо). В отличии от
инстинктивного, это пример сознательного поведения.
Анализ типовых элементов информационно-телекоммуникационных
систем предприятия, подверженных воздействию различных источников
угроз, а также анализ причин, явлений и действий, которые приводят к
нарушению безопасности информации позволяет привести классификацию
всего многообразия угроз безопасности информации в ИТКС. При этом в
полной мере использовались, дополнялись и систематизировались уже
известные результаты классификации. Обобщенная классификация угроз
безопасности информации представлена на рисунке 9.
39
Угрозы
Пассивный (бесконтактный) НСД
Активный (контактный) НСД
Визуальное
Перехват
наблюдение за
РИОБИ
элементами
Перехват
Перехват
С использованием
информации в
несанкционированного
радиосетях
доступа
ПЭМИНОБИ
ОБИ
С использованием
открытых каналов
связиОБИ
побочных
непосредственное
воздействие на ИТКС в
остронаправленных
электромагнитных
воздействие на объект
целом
микрофонов
излучений
атаки
с помощью
воздействие на
побочных
воздействие на систему
программное
электронныхстетоскоп
электромагнитных
разрешения
обеспечение ИТКС
пов
наводок
с помощью
опосредованные
с помощью оптико-
паразитивных
электронной
модуляций
аппаратуры
высокочастотного
сигнала
воздействия
воздействие при
хранении информации
воздействие на
элементы ИТКС
воздействие на каналы
передачи данных
с помощью
дистанционного съёма
паразитивных
РИ с проводных линий
информационных
воздействие при
воздействие с
связи
токов и напряжений во
обработке информации
использованием
вспомогательных сетях
штатных средств
передачи информации
с помощью радиомикрофонных закладок
воздействие при
воздействие с
передаче информации
использованием
специально
разработанных средств
с помощью
(в том числе
телефонных закладок
программного
обеспечения)
с помощью
микрофонных закладок
с помощью
магнитофонов
(диктофонов)
Рисунок 9 – Виды угроз безопасности
40
2. Анализ ИС БУЗ "Поликлиника №3", потенциальных угроз
безопасности персональных данных и стоимости аудита
2.1 Анализ ИСБУЗ "Поликлиника №3"
Исследование проводилось в БУЗ "Поликлиника №3" города Орла.
Особенностью
данного
направленность.
Данное
предприятия
предприятие
является
его
представляет
социальная
широкий
спектр
медицинских услуг и отличается большим постоянным потоком пациентов. В
связи
с
данной
особенностью
организации,
стояла
задача
выбора
максимально быстрой и надежной ИС, обладающей широким медицинским
функционалом
и
документооборота
отвечающей
медицинских
всем
требованиям
учреждений.
Некоторое
и
стандартом
время
назад
руководство поликлиники решило произвести переход на достаточно
удобную
и
максимально
специализированную
для
медицинской
деятельности информационную систему «Интрамед».
Нашей целью было изучение данного программного комплекса,
потоков данных, определение его функций и сущностей, а так же аппаратной
основы, используемой информационной системы.
Данная информационная система была разработана фирмой «Инсофт».
«Интрамед» разработан на основе СУБД (Система управления базами
данных) Caché (Кашэ). СУБД, интегрированная с технологией разработки
веб-приложений. Единая архитектура данных Caché позволяет разработчикам
использовать объектный, реляционный и прямой доступ к одним и тем же
данным, хранение которых обеспечивается ориентированным на транзакции
многомерным ядром СУБД.
МИС «ИнтраМед» включает в себя несколько многофункциональных
модулей, которые могут функционировать как единый комплекс, так и
автономно:
1)
электронная регистратура – содержит всю необходимую
41
информацию о расписание приема врачей, их текущей занятости, типах
приема. Дает возможность выбрать время из графика приема. Содержит всю
необходимую информацию о пациенте
(верно для
пациентов,
уже
наблюдавшихся в данном ЛПУ), что позволяет автоматически формировать
талон приема. Интерфейс модуля состоит из удобных для чтения таблиц
расписания и множества сортировочных фильтров. Система электронного
расписания призвана полностью заменить живые очереди повремённой
записью на прием к врачу. Как и во всей системе, реализован
разграниченный доступ к функционалу.
2)
Поликлиника.
Данный
модуль
содержит
функционал
необходимый
для работы лечебного процесса поликлиники. Амбулаторная карта
пациента,
которая
трудоспособности
функциональные,
содержит:
первичный
(инвалидность),
лабораторные,
осмотр,
возможность
инструментальные
данные
о
потери
направления
исследования
на
и
консультации к врачам другого профиля, возможность назначения процедур,
ведение электронной истории болезни. В амбулаторной карте хранятся
данные о всех посещениях поликлиники. Также разработан функционал для
ведения листов временной нетрудоспособности (больничных листов).
Разработан механизм выгрузки данных в офисные программы MSOffice и
OpenOffice и печати «напрямую».
Подсистема «Поликлиника» включает следующие функциональные
компоненты, представленные на рисунке 10.
42
Параклини
ческие
службы
Лечебный
процесс
Регистратура
Бухгалтерия
Кадры
Рисунок 10 – Компоненты подсистемы «Поликлиника»
Такие компоненты, как «Кадры» и «Бухгалтерия», для подсистем
«Поликлиника» и «Стационар» являются общими.
Компонент «Регистратура» отвечает за регистрацию новых пациентов в
системе, а также осуществляет поиск карты в базе данных, если ранее
пациент уже находился на лечении в данном учреждении. Поиск
осуществляется при вводе нескольких букв фамилии, имени или отчества
43
пациента, по адресу регистрации, номер у страхового полиса и по номеру
ЭМК.
Цель компонента «Лечебный процесс» - это автоматизация работы
медицинского
персонала
лечебно-диагностических
подразделений
и
выполняет следующие задачи:

формирование ЭМК (Электронной Медицинской Карты);

формирование учетных документов (талонов посещения);

формирование счетов и персонифицированных реестров на
оплату за оказанные пациенту медицинские услуги.
Компонент
«Параклинические
службы»
автоматизирует
работу
лаборантов и диагностических отделений, а также позволяет формировать
унифицированные протоколы исследований.
Компонент «Кадры» формирует базу данных по всем сотрудникам
лечебного учреждения и выполняет следующие функции на автоматическом
уровне:

формирует кадровую документацию;

проведение кадрового статистического учета;

формирование
документации
по
приему
и
увольнению
сотрудников;

учет информации по внутреннему совместительству;

составление штатного расписания;

ведение графика работы сотрудников;

отражение
занимаемых
должностей,
ставок
относительно
каждого сотрудника;

создание реестра приказов.
Компонент
«Бухгалтерия»
формирует
счета
и
позволяет
персонифицировать акты оказанных услуг. На базе данного компонента
ведется учет оплаты счетов, благодаря чему пользователь может получать
44
информацию об услугах, которые не оплачены и не включены в счета, за
указанное время, контролировать оплату личными средствами пациента.
Администрация
Оперативная
информация о
деятельности ППУ
Подсистема “Поликлиника”
Параклинические службы
Направление на приём
Ведение
медицинской карты
Учёт деятельности
служб
Медицинская карта
Талон амбулаторного пациента
Счета на
оплату
ТФОМС
и СМО
Лечебно-диагностические
подразделения
Регистратура
Регистрация пациента
Оформление талона
Заведение/поиск
медицинской карты
амбулаторного
больного
Ведение медицинской
карты
Кадры
Бухгалтерия
Департамент
здравоохрания
Справка
Расписание приёма
Список пациентов на приём
Статистика
Справочник ППУ
Справочник СМО
Справочник ТФОМС
Справочник тарифов и услуг
Справочник отделений
Выходные
отчётные формы
Справочник врачей
Справочник участков
Приём вызовов
Рисунок 11 – Структура подсистемы «Поликлиника»
3) Подсистема
«Приемный
покой»,
«Бухгалтерия».
«Стационар» содержит следующие
«Лечебный
процесс»,
«Аптека»,
компоненты:
«Кадры»
и
45
В
компоненте
«Приемный
покой»
осуществляется
регистрация
поступившего пациента, формируется справка о наличии свободных койкоместах
в
учреждении,
отражается
размещение
пациента,
выводится
статистическая информация о числе поступивших пациентов за выбранный
пользователем промежуток времени.
Полную информацию обо всех отделениях в лечебном учреждении
пользователь может получить благодаря компоненту «Лечебный процесс
стационара». Здесь отображается информация о наличии свободных койкомест,
о
персонифицированном
проведенных
хирургических
размещении
вмешательствах.
пациентов
Здесь
по
же
койкам,
отражается
информация о размещении пациентов в стационаре, с детализацией по
отделениям, номера палаты и койко-места, проводимых лечебных процедур.
Помимо всего выше перечисленного, в данном компоненте осуществляется
учет прихода, расхода и остатков медицинских препаратов и инструментов в
отделении.
Назначение компонента «Аптека» - регулирование и контроль
движения медикаментов, изделий медицинского назначения, перевязочных
средств и пр. с последующим формированием соответствующих документов,
необходимых для поставщиков, отделений и самой аптеки. Также здесь
осуществляется
составление
отчетности
по
запасам
и
движению
медикаментов, которые подлежат учету. Пример форм компонента «Аптека»
приведен на рисунке 12.
46
Рисунок 12 – Пример формы компонента «Аптека»
Компонент
«Параклинические
службы»
автоматизирует
работу
лаборантов и диагностических отделений, а также позволяет формировать
унифицированные протоколы исследований
Компонент «Кадры» формирует базу данных по всем сотрудникам
лечебного учреждения и выполняет следующие функции на автоматическом
уровне:

формирует кадровую документацию;

проведение кадрового статистического учета;

формирование
документации
по
приему
и
увольнению
сотрудников;

учет информации по внутреннему совместительству;

составление штатного расписания;

ведение графика работы сотрудников;

отражение
занимаемых
каждого сотрудника;

создание реестра приказов.
должностей,
ставок
относительно
47
Компонент
«Бухгалтерия»
формирует
счета
и
позволяет
персонифицировать акты оказанных услуг. На базе данного компонента
ведется учет оплаты счетов, благодаря чему пользователь может получать
информацию об услугах, которые не оплачены и не включены в счета, за
указанное время, контролировать оплату личными средствами пациента.
Администрация
Оперативная
информация о
деятельности ППУ
Подсистема “Стационар”
Параклинические службы
Приёмный покой
Направление в
отделение
Ведение истории
болезни
Учёт деятельности
служб
Счета на
оплату
ТФОМС
и СМО
Сведения о
занятости
коек
Регистрация пациентов
Заведение истории
болезни стационарного
больного
Ведение медицинской карты
Оформление
листов
назначений и выполнений
Регистрация использования
коечного фонда
Учёт медикаментов
Лечебные подразделения
Отпус
к
Заказ
Аптека
Кадры
Бухгалтерия
Департамент
здравоохрания
Учёт
сотрудников
Статистика
Выходные
отчётные формы
Рисунок 13 – Структура подсистемы «Стационар»
48
Электронная медицинская карта пациента, используемая в МИС
«ИнтраМед», состоит из разделов, в которые заносится следующая
информация:

титульные листы форм «Медицинская карта амбулаторного
больного» и «Медицинская карта стационарного больного», записи в
приемном покое;

история жизни;

история болезни, где указывается лечение, проводимое ранее;

жалобы пациента, полученные в ходе осмотра;

результаты осмотра;

диагнозы;

направления пациента на необходимые исследования;

направления на консультации;

лечебные назначения (включая диетпитание);

результаты исследований и выводы по ним;

записи консультантов;

записи о проведенных операциях;

дневниковые (ежедневные записи);

этапные эпикризы;

отметки о выполнении (или невыполнении) назначений;

выписной эпикриз.
Благодаря таким средствам врач может получить при приеме всю
информацию о предыдущем лечении, наличии аллергии или операциях в
автоматическом режиме, что позволит сформировать полную картину
анамнеза и предположить различные варианты лечения, формировать
индивидуальный подход к пациенту.
Врач может просматривать всю ЭМК физические данные пациента,
данные о выполнении врачебных назначений, данные исследований и их
результаты.
49
МИС «ИнтраМед» формирует персональный счет пациента, в него
заносятся все данные об оказанных услугах. Расходы пациента на лечение
автоматически включаются в счет, ведется учет оплаты счетов, благодаря
чему пользователь может получать информацию об услугах, которые не
оплачены и не включены в счета, за указанное время, контролировать оплату
личными средствами пациента.
Все стандартизированные Госкомстатом и Минздравом РФ учетные и
отчетные формы реализованы в МИС «ИнтраМед». Пример приведен на
рисунке 14.
Рисунок 14 – Пример отчетных форм
В системе реализован экспорт отчетных форм в MicrosoftExcel.
4) в модуле Аптека собран весь функционал, необходимый для
управления складом лекарств ЛПУ, распределения лекарственных средств по
отделениям. Имеется удобный поиск по базе лекарственных средств. В
процессе работы можно использовать любые необходимые документы:
50
электронные бланки заявок для отделений, приходные и расходные ордера
для ведения строго учета на складе, квитанции и т.п. Все документы могут
быть выгружены в офисные пакеты или распечатаны напрямую из
программы.
5) учет услуг для ФОМС (фонд обязательного медицинского
страхования) – статистический модуль, позволяющий формировать большое
количество разнообразных отчетов по количеству оказанных медицинских
услуг по полисам ОМС. Отчеты формируются с использованием фильтров
отбора, в которых пользователь задает параметры отбора данных, например,
фильтры даты и времени приема, фильтр специальности врача, фильтр
категории заболевания, фильтр отделения и т.д. Все отчеты имеют
возможность печати и выгрузки в MS Word и MS Excel.
2.2
Модуль
угроз
безопасности
персональных
данных
МИС
использует
БУЗ
«ИнтраМед» в БУЗ "Поликлиника №3"
Как
мы
"Поликлиника
видим,
№3"
МИС
хранит
«Интрамед»,
и
которую
обрабатывает
большое
количество
персональных данных пациентов. Таким образом, возникает необходимость
проверки системы на защищенность от возможных угроз безопасности
конфиденциальных данных.
Исходя из целей и содержания обработки персональных данных
оператор
может
осуществить
обработку
персональных
данных
в
информационных системах различных типов.
По своей структуре информационные системы можно разделить на
автоматизированные рабочие места, локальные информационные системы и
распределенные информационные системы.
Также информационные системы можно разделить на системы
имеющие подключения и не имеющие. Критерием подразделения в данном
51
случае служит наличие подключения к сетям связи международного обмена
информацией и (или) сетям общего пользования.
В зависимости от режима обработки данных информационные системы
делятся на многопользовательские и однопользовательские.
В
зависимости
информационные
от
разграничения
прав
доступа
пользователей
системы подразделяются на системы с разграничением
прав доступа и без разграничения.
По местонахождению технических средств информационной системы
можно выделить системы, технические средства которых размещены на
территории Российской Федерации и системы, технические средства,
частично или полностью, которых размещены за пределами Российской
Федерации.
По технологиям, показателям технических средств и их составу, а
также уровня опасности угрозы безопасности персональных данных и
последствиям в результате случайного или несанкционированного доступа,
выделяют следующие типы систем:

автоматизированные
подключения
к
сетям
связи
рабочие
общего
места,
которые
пользования
и
не
имеют
(или)
сетям
международного информационного обмена;

автоматизированные рабочие места, которые имеют подключение
к сетям связи общего пользования и (или) сетям международного
информационного обмена;

локальные ИС, которые не имеют подключение к сетям связи
общего пользования и (или) сетям международного информационного
обмена;

локальные ИС, которые имеют подключение к сетям связи
общего пользования и (или) сетям международного информационного
обмена;
52

распределенные ИС, которые не имеют подключение к сетям
связи общего пользования и (или) сетям международного информационного
обмена;

распределенные ИС, которые имеют подключение к сетям связи
общего пользования и (или) сетям международного информационного
обмена.
По основным типам информационных систем создаются типовые
модели угроз безопасности персональных данных, которые характеризуют
наступление
различных
видов
последствий
в
результате
не
санкционированного либо случайного доступа и наступлении УБПДн.
Частные
модели
УБПДн,
применяемые
на
конкретных
информационных системах составляются операторами, заказчиками и
разработчиками ИС на этапах их создания и (или) эксплуатации.
Модель
угроз
информационной
безопасности
–
это
описание
существующих угроз ИБ, их актуальности, возможности реализации и
последствий.
Стандарт СТО БР ИББС – 1.0-2010 определяет модель угроз
информационной
безопасности
следующим
образом:
это
«описание
источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных
для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ;
типов возможных потерь (например, нарушение доступности, целостности
или
конфиденциальности
информационных
активов);
масштабов
потенциального ущерба».
Адекватные модели УБПДн повышают уровень информационной
безопасности и оптимизируют затраты на защиту информации за счет
выявления существующих угроз и разработки контрмер.
53
Рисунок 15 – Схема защиты от угроз ИБ
Спектр угроз может быть различным для разных информационных
систем и даже объектов одной информационной системы, что обусловлено
особенностями информационной системы, ее объектов, а также
и
характером возможных действий источника угрозы.
Процесс построения модели угроз информационной безопасности
включает несколько последовательных этапов. На первом этапе происходит
определение источников угроз. На втором этапе выявляются критические
объекты информационной системы. На третьем этапе определяется перечень
угроз для каждого критического объекта информационной системы. Затем
выявляются способы реализации угроз. На заключительном, пятом этапе
оценивается возможный материальный ущерб и другие последствия от угроз.
МИС «ИнтраМед», установленная в БУЗ "Поликлиника №3" является
распределенной клиент-серверной ИС. Однако, для построения точной
модели угроз нам необходимо выяснить подключена ли она к сетям связи
54
общего пользования и (или) сетям международного информационного
обмена? Точного ответа на этот вопрос мы дать не можем потому, что
возможны различные варианты сборки системы и использование ее модулей
и компонентов. Полное или частичное использование функционала МИС
«ИнтраМед» в БУЗ "Поликлиника №3" зависит от руководства и ИТ-отдела
поликлиники, которые, в свою очередь, руководствуются необходимостью
решения поставленных задач и могут быть ограничены в возможностях.
Например, в МИС «ИнтраМед» есть возможность автоматической
рассылки СМС-сообщений пациентам с напоминанием о том, что они
записались на прием к врачу за определенное время до приема. Сервис
отправки СМС-сообщений МИС «ИнтраМед» соединяется с сервером
оператора сотовой связи по определенному регламентом протоколу и
отправляет сообщения пациентам. Получается, что «ИнтраМед» имеет
подключения к сетям информационного обмена. Однако, если руководство
поликлиники посчитает нужным отказаться от СМС-рассылки, то система не
будет иметь таких связей.
Поэтому рассмотрим два варианта модели угроз персональных данных
для исследуемой системы.
1) Распределенная информационная система, которая не имеет
подключения
к
сетям
связи
общего
пользования
и
(или)
сетям
международного информационного обмена.
При обработке персональных данных в таких системах могут
возникнуть следующие УБПДн:

утечка информации по техническим каналам;

несанкционированный доступ к персональным данным, которые
обрабатываются на рабочем месте.
В свою очередь утечка информации по техническим каналам
подразделяется на:

утечку акустической (речевой) информации;

утечку видовой информации;
55

утечки информации по каналу побочных электромагнитных
излучений и наводки.
Угроза утечки акустической информации, которая содержится при
произношении пользователем ИСПДн, возникает если имеется функции
голосового ввода персональных данных или функции воспроизведения
акустическими средствами информационной системы.
Угроза утечки видовой информации возникает во время просмотра
персональных данных с помощью средств отображения – экранов, дисплеев,
других средств обработки графической, буквенной, цифровой и видео
информации.
Реализация
электромагнитных
угроз
утечки
излучений
информации
и
наводки
по
каналу
побочных
обусловленна
наличием
электромагнитных излучений. Наибольшую опасность представляют угрозы
утечки из-за наличия электромагнитных излучений монитора.
Основой угрозы несанкционированного доступа являются действия
нарушителей, которые имеют доступ к информационной системе, в том
числе пользователи самой информационной системы, реализующие угрозы
непосредственно в системе.
Также в такой системе возможно возникновение угроз, характерных
для отдельного автоматизированного рабочего места, которое не подключено
к сетям, а также угрозы, возникающие внутри распределенной сети с
использованием протоколов межсетевого взаимодействия, в том числе
угрозы:

«Анализа сетевого трафика»с перехватом передаваемой по сети
информации;

сканирования, направленные на выявление открытых портов и
служб, открытых соединений и др.;

внедрения ложного объекта сети;

навязывания ложного маршрута путем несанкционированного
изменения маршрутно-адресных данных;
56

выявления паролей;

типа «Отказ в обслуживании»;

удаленного запуска приложений;

распространения по сети вредоносных программ.
2)
Распределенная
подключения
к
сетям
информационная
связи
общего
система,
пользования
которая
имеет
и
сетям
(или)
международного информационного обмена.
При обработке персональных данных в распределенных системах
такого типа могут возникнуть следующие угрозы:

утечка информации по техническим каналам;

несанкционированный доступ к персональным данным, которые
обрабатываются на рабочем месте.
В свою очередь утечка информации по техническим каналам
подразделяется на:

утечку акустической (речевой) информации;

утечку видовой информации;

утечки информации по каналу побочных электромагнитных
излучений и наводки.
Возникновение
угроз в данных информационных системах по
техническим каналам характеризуется такими же условиями и факторами,
что и для предыдущего типа систем.
Угрозы несанкционированного доступа, связанные с действиями
нарушителей,
которые
имеют
доступ
к
информационной
системе,
аналогичны тем угрозам, которые рассмотрены в первой модели. Однако в
системах имеющих подключение к сетям имеют место угрозы, реализуемые с
использованием протокола межсетевого взаимодействия из внешних сетей, в
том числе:

«Анализа сетевого трафика» с перехватом передаваемой из ИС и
принимаемой в ИС из внешних сетей информации;
57

сканирования, направленные на выявление типа или типов
используемых операционных систем, сетевых адресов рабочих станций ИС,
топологии сети, открытых портов и служб, открытых соединений и др.;

внедрения ложного объекта как в ИС, так и во внешних сетях;

подмены доверенного объекта;

навязывания ложного маршрута путем несанкционированного
изменения маршрутно-адресных данных как внутри сети, так и во внешних
сетях;

выявления паролей;

типа «Отказ в обслуживании»;

удаленного запуска приложений;

распространения по сети вредоносных программ.
2.3 Расчет стоимости аудита
персональных данных для
БУЗ
"Поликлиника №3" г. Орла
БУЗ
"Поликлиника
следовательно
поставщики
№3"
является
медикаментов
бюджетной
и
организацией,
оборудования,
а
также
исполнители различных платных услуг (в том числе и аудита безопасности
ПДн) определяются посредством открытых конкурсов. Площадкой для
размещения заявок от госучреждений является «Портал госзакупок»
(http://zakupki.gov.ru).
Для
проведения
открытого
конкурса
БУЗ
"Поликлиника
№3"
необходимо подать заявку о проведении открытого аукциона на сайт
госзакупок, в которой необходимо указать сведения и заказе: данные
заказчика,
наименования
заказа,
начальную
наименование работ по классификатору (Рисунок 16).
стоимость
контракта,
58
Рисунок 16 – Пример заявки на проведение открытого аукциона на
сайте http://zakupki.gov.ru
В данном примере заявки на проведение аудита персональных данных
в ФГБУ «СК ММЦ» Минздравсоцразвития РФ (г. Беслан) указана начальная
максимальная цена контракта в размере 348 000 рублей. Обоснование
НачМакс цены может осуществляться на основании самостоятельно
проведенных или заказанных в сторонних организациях исследований
рынков региона и страны. В качестве источников информации могут
использоваться копии ценовых предложений различных поставщиков.
Обоснование начальной (максимальной) цены контракта по 223-ФЗ при
закупке продуктов на длительный срок рекомендуется проводить с учетом
поправки на инфляцию.
Далее формируется Извещение о проведении аукциона, в котором
содержатся данные о площадке, на которой он будет проводиться, сроки
проведения и подачи заявок, а также данные из заявки о заказчике и
предмете контракта и сумма обеспечения заявки на участие в аукционе.
59
В оговоренные сроки на оговоренной в извещении площадке
проводится аукцион (для приведенного выше примера аукцион проводится
на
электронной площадке
http://www.sberbank-ast.ru).
По результатам
которого формируется протокол (Рисунок 17) и определяется участник,
предложивший
самую
низкую
цену
контракта,
который
становится
исполнителем.
Зная приблизительную стоимость работ на проведение аудита
информационной безопасности в государственных лечебных учреждений и
этапы проведения такого аудита мы можем сформировать приблизительную
смету для проведения данного вида аудиторских работ в БУЗ "Поликлиника
№3" города Орла.
Рисунок 17 – Протокол подведения итогов электронного аукциона.
60
Таблица 3 – Смета на проведение аудиторской проверки информационной
безопасности медицинской информационной системы Поликлиники № 3 г.
1
2
3
2
3
4
5
Затраты
Стоимость Стоимость
Продолработ,
труда,
житель1 раб.дня 1
ность
руб.
чел.
чел.-дн.
4
5
6
7
8
9
10
1
5
1
0,625
0,625
1600
1000
шт.
1
16
1
2
2
1600
3200
шт.
36
3
2
0,375
6,75
1500
20250
шт.
17
4
2
0,5
4,25
1500
12750
шт.
19
1,5
2
0,1875
1,78125
1500
5343,75
Инициирование
процедуры аудита
Разработка
должностной
шт.
1 инструкции для
аудитора,
определяющей права
и обязанности
Разработка и
согласование с
руководством
поликлиники плана
проведения аудита с
определением границ
Сбор информации
аудита
Сбор сведений о
схеме
организационной
структуры
пользователей
(интервьюирование)
Сбор сведений о
схеме
организационной
структуры
обслуживающих
подразделений
(интервьюирование)
Сбор сведений о
назначении и
функционировании
информационной
системы
(интервьюирование)
Норма
Объем времени,
работ
чел.-ч.
Количество
работников
Наименование работ
Единица
измерения
№п/п
Орла
1
6
7
8
9
10
2
Поиск и сбор
документации о
функциональной
схеме
Сбор сведений об
автоматизированных
функциях
(интервьюирование)
Изучение
применяемых
технических
решений
(и нтервьюирование)
Изучение другой
проектной и рабочей
документации на
информационную
систему
(интервьюирование)
Изучение структуры
информационной
системы и
распределения
механизмов
безопасности по
структурным
элементам и уровням
функционирования
информационной
системы
(исследование
документации):
изучение структурной
схемы
информационной
системы
- построение схемы
информационных
потоков
описание
структуры
комплекса
технических средств
информационной
Объем Норма
работ времени,
чел.-ч.
Количество
работников
Наименование работ
Единица
измерения
№ п/п
61
3
4
5
шт.
18
3
1
4
шт.
37
6
Затраты
труда,
чел.-дн.
7
Продол
житель
ность
Стоимость Стоимость
1 раб.дня 1
работ,
чел.
руб.
8
9
10
0,375
6,75
1500
10125
2
0,5
9,25
1500
27750
0,375
2,625
1500
7875
шт.
14
3
2
шт.
7
48
2
6
21
1500
63000
шт.
3
16
1
2
6
1500
9000
шт.
1
18
1
2,25
2,25
1500
3375
шт.
1
38
1
4,75
4,75
1500
7125
2
1
Объем
работ
Норма
времени,
Затраты
чел.-ч.
Количество
работников
Наименование работ
Единица
измерения
№ п/п
62
6
Стоимость Стоимость
работ,
Продол1 раб.дня 1
чел.-дн. жительчел.
руб.
ность
труда,
3
4
5
7
шт.
1
47
2
5,875
шт.
1
52
2
шт.
1
40
шт.
1
шт.
шт.
8
9
10
2,9375
1500
8812,5
6,5
3,25
1500
9750
2
5
2,5
1500
7500
16
1
2
2
1800
3600
1
14
1
1,75
1,75
1800
3150
1
13
1
1,625
1800
2925
системы
описание
структуры
программного
обеспечения
описание
структуры
информационного
обеспечения
характеристика
размещения
компонентов
информационной
системы
Анализ данных
аудита
комбинированным
методом
Разработка
методики
определения набора
11 требований стандарта
для данной
информационной
системы
Определение набора
требований
стандарта,
12 соответствие
которым требуется
обеспечить для
данной
информационной
системы
Выявление и анализ
13 рисков (подготовка
документации):
идентификация
ключевых ресурсов
информационной
1,625
№ п/п
Наименование работ
Единица
измерения
Норма
времени,
Объем
работ
1
2
3
4
чел.-ч.
5
шт.
1
18
1
1
Количество
работников
63
6
Затраты
труда, Продол- Стоимость Стоимость
житель- 1 раб.дня 1 работ,
чел.
руб.
чел.-дн. ность
7
8
9
10
1
2,25
2,25
1800
4050
48
2
6
3
1800
10800
52
2
6,5
3,25
1800
11700
системы
определение
важности каждого
вида ресурсов для
организации
идентификация
существующих угроз
шт.
безопасности и
уязвимостей,
делающих
возможным
осуществление
угроз
вычисление рисков,
шт.
связанных с
осуществлением
угроз безопасности
Выработка
рекомендаций
Анализ собранных
сведений в результате
шт.
14 аудита
информационной
системы
Поликлиники №3
Разработка
рекомендаций,
выдаваемые
аудитором по
15 результатам анализа
с учетом
особенностей
исследуемой
информационной
системы
Подготовка
отчетных
документов
Формирование
заключения по
16 результатам аудита
информационной
системы
0
1
52
1
6,5
6,5
1800
11700
шт.
1
72
1
9
9
1800
16200
шт.
1
78
1
9,75
9,75
1800
17550
Наименование работ
Единица
измерения
Объем
работ
1
2
3
4
Норма
времени,
чел.-ч.
5
Количество
работников
№ п/п
64
Затраты
труда, Продол- Стоимость Стоимость
житель- 1 раб.дня 1 работ,
чел.
руб.
чел.-дн. ность
6
7
8
9
Итого:
- общая продолжительность работ по проведению аудита информационной системы
Поликлиники №3 г. Орла:
рабочие часы -
10
116
15
рабочие дни - общая стоимость работ по проведению аудита информационной системы Поликлиники
278531,25
№3 г.:Орла (руб.)
Таким образом, имея смету аудита и зная стоимость каждого его этапа
мы можем приступить к рассмотрению мер по удешевлению аудита
безопасности ПДн для БУЗ "Поликлиника №3".
65
3. Рекомендации по разработке экономичной системы аудита
информационной безопасности для БУЗ "Поликлиника №3" города Орла
3.1. Ценообразование аудита персональных данных МИС для БУЗ
"Поликлиника №3"
Модернизация информационных систем и их аудит федеральных ЛПУ
производятся, обычно, в двух случаях:
1) В результате действия государственных программ и проектов
(подавляющее большинство случаев);
2) По инициативе руководителя ЛПУ (гораздо реже).
В первом случае, под госпрограмму выделяются средства из бюджета.
Это могут быть деньги как из федерального, так и регионального бюджета.
После этого проводится ряд тендеров, по итогам которых решается кто из
подавших заявку контрагентов будет проводить информатизацию или аудит
персональных данных отдельных ЛПУ (либо всех ЛПУ конкретного
региона). При данной модели информатизации мы сталкиваемся с рядом
проблем.
Тендеры,
телекоммуникационными
зачастую,
компаниями,
выигрываются
которые
выступают
крупными
в
роли
подрядчика, не имея никаких своих разработок по МИС и опыта проведения
аудита информационных систем. В итоге, не найдя вовремя субподрядчика
готового поставить специализированные ПО, подрядчик ограничивается
поставкой компьютеров и прокладкой новых сетей в ЛПУ, чтобы отчитаться
о проделанной работе на конец отчетного периода. В результате, мы можем
наблюдать ситуацию, когда дорогая современная техника абсолютно
бесполезна без специализированного медицинского ПО (например, 1-я и 2-я
поликлиники города Орла (данные на конец января 2017 года).
По данным рейтинга, подготовленного СNewsна основании данных,
предоставленных
ключевыми
игроками
рынка
информатизации
здравоохранения, выручка 10 крупнейших поставщиков ИТ в этом секторе по
66
итогам 2015 г. составила 1204,2 млн руб, что на 36% больше, чем в
прошедшем 2014 г. (887,1 млн руб). Среди участников Топ10 на паритетных
началах представлены компании из «двух столиц» (Москвы и СанктПетербурга) и российских регионов (Новосибирска, Белгорода, Казани,
Самары) (Таблица 4).
Таблица 4 – Крупнейшие поставщики ИТ в здравоохранении России
2015гг.
Таким образом, рынок ИТ в здравоохранении, несмотря на негативные
отзывы экспертов, начал свое восстановление вместе со всем ИТ-рынком
страны (напомним, по итогам 2014 г. динамика составляла здесь -1%).
Участники рейтинга прогнозируют дальнейший рост оборотов своих
компаний в среднем на 50% уже в 2016 г. (Рисунок 18).
67
14000
60%
12000
50%
50%
12000
10000
40%
млн руб
36%
8000
30%
8000
6000
20%
4000
10%
2000
0%
-1%
0
-10%
2014
2015
Суммарная выручка ТОП 10
2016(прогноз)
Динамика изменения выручки
Рисунок 18 – Динамика выручки ИТ-поставщиков в здравоохранении
В настоящее время основными потребителями услуг и продуктов
поставщиков ИТ на рынке здравоохранения являются коммерческие и
ведомственные медучреждения. Значительный рост этого рынка возможен
лишь за счет появления на нем новых заказчиков из числа государственных
ЛПУ,
доля
оценивается
которых
в
в
Таким
90%.
общей
структуре
образом,
системы
потенциал
здравоохранения
развития
сектора
информационных технологий в медицине поистине огромен.
Услуги аудитора нельзя считать «вещью в себе», за которую полагается
фиксированная сумма плюс-минус незначительный процент надбавок и
скидок. Даже при обычной торговле услугами «правильный» продавец всегда
подстраивается
под
требовательного
покупателя,
изменяя
параметры
продукта, для сохранения уровня лояльности и получения дополнительной
прибыли. Таким образом, продажа аудита – довольно сложной услуги в
техническом смысле – больше похожа на собирание конструктора большим
68
полем для творчества и, соответственно, изменения цены. Зачастую это
изменение в сторону увеличения.
На
рисунке
19
рассмотрены
примерные
составляющие
цены
аудиторской проверки.
Базовые составляющие цены услуги
Рыночная цена часа
Уникальность
работы
квалифицированного
аудитора
Распределение доли
квалифицированных
работ
постоянных
издержек
Рыночная цена часа
работы технического
Надбавка за бренд
аудиторской
Уникальность
компании
технических работ
специалиста
Количество услуги
Надбавки
Скидки
Объём
География
График
Срочность
Объём
Сезонность
Лояльность
Дополнительные
Реклама/имидж
квалифицированныхр
абот
Непроизводственные
потери
Объём технических
работ
услуги
Рисунок 19 – Примерный перечень составляющих цены аудиторской
проверки
Сначала определяется база для расчета цены, которая обычно
формируется из шести составляющих, имеющих разные веса.
Один час работы квалифицированного аудитора на рынке труда
соответствует заработной плате специалиста с учетом коэффициента
69
востребованности и налогов. Например, если аудитор 80% времени
занимается только проверками, то цена часа работы такого аудитора
возрастет на 25%. Причем цена работы зависит от квалификации
специалиста, выше квалификация – выше цена. С одной стороны, на
коэффициент востребованности повлиял кризис, с другой стороны, крайне
непросто заранее быть уверенным в уровне квалификации специалистов,
которые будут проводить аудит.
Для
технического
специалиста
рыночная
цена
часа
работы
производится аналогичным образом, но с учетом того, что выполняемые
технические работы (печать текста, выкопировка, подборка документов и
тому подобное) не требуют большой квалификации, поэтому оплата работы
таких специалистов меньше.
Распределение доли постоянных издержек аудиторской компании –
это, собственно, часть административно-хозяйственных расходов и прибыли,
подающих пропорционально на стоимость человека-часа. Чем больше в
штате аудитора непрофильных специалистов, и чем хуже управление самой
компанией, тем большую сумму должны «отработать» аудиторы на местах.
На
цену
часа
квалифицированных
работ
оказывает
влияние
уникальность работ. В данном случае работает закон спроса и предложения –
чем меньше на рынке специалистов, которые могут выполнить уникальную
работу, обладают редкими квалификационными характеристиками, тем выше
цена работ. Отсюда следует вывод, что компании со стандартными
процессами будут платить меньше при остальных равных условиях, в том
числе и таким же по квалификации специалистам.
Аналогичным способом учитывается и уникальность технических
работ.
Надбавка за бренд – самое спорное место в данной формуле. Ведь не
всегда громкое имя свидетельствует о высоком качестве.
Данные составляющие образуют базовую цену услуги – своеобразную
усредненную стоимость человека-часа (или человека-дня, как у кого больше
70
принято). При этом доля каждой составляющей, разумеется, доподлинно
неизвестна. Нас особенно должна беспокоить доля неквалифицированных
технических работ и стоимости бренда, а так же непрямых (для нас)
административных издержек самой компании. В конечном счете, мы
покупаем труд квалифицированных аудиторов и хотим платить именно за
это. Далее определяется объем работ в человеко-часах (человеко-днях),
зависящий от объема
работ квалифицированных аудиторов,
объема
технических работ и размеров непроизводственных потерь.
Первые две составляющие – самая большая тайна ценообразования.
Особенно если аудиторы приходят впервые и пытаются «на глазок»
прикинуть объем требуемых для проверки документов. Стараниями
коммерческих представителей с помощью ответов на не всегда очевидные
вопросы в предварительных анкетах, аудиторские компании для определения
этого показателя пытаются привязаться к объему выручки, количеству
бухгалтеров или операций по различным направлениям хозяйственной
деятельности. Сможете ли вы сами ответить на вопрос: Сколько документов
по каждому из скольки бизнес-процессов вам надо проверить на
соответствие требованиям законодательства, чтобы с устраивающей вас
степенью вероятности признать, что с учетом все в порядке? А ведь вы еще и
знаете специфику, нюансы и подводные камни. Теперь представьте, каково
аудиторам. Поэтому немудрено, что это число – скорее плод статистических
иллюзий, а не честный ответ на ваши индивидуальные запросы. Некоторые
практические аспекты по этому вопросу будут ниже.
С целью компенсации времени на операции, не связанные с аудитом,
таких как, ожидание документов, вызов специалистов и т.д., закладываются
непроизводственные потери. Обычно по этому поводу в договорах и
появляются оговорки следующего характера: «Увеличение сроков поверки,
произошедшие по вине Проверяемой компании либо в связи с увеличением
объема услуг, является основанием продления срока оказания услуг на
соответствующий период, при этом стоимость услуг увеличивается за
71
каждый
дополнительный
установленным
тарифам
человеко-час
Аудиторской
увеличения
компании».
срока
согласно
Заметим,
что
«сэкономленные» человеко-часы никогда аудиторами не возвращались.
Если перемножить количество часов на базовую стоимость человекочаса, мы получим базовую стоимость аудита, корректировать которую
призваны скидки и надбавки.
Надбавки обычно складываются из географических, за срочность,
сезонность и дополнительные работы.
Целью географических надбавок является компенсация затрат на
командировки специалистов, в случае, если места проверок географически
удалены друг от друга.
Если клиент требует провести проверку срочно и для этого требуется
изменение графика работы специалистов взимается надбавка за срочность.
Надбавка за сезонность зачастую применяется во время перед сдачей годовой
отчетности, в это время наблюдается пик работы, чем и обусловлено
применение надбавки.
Надбавка за дополнительные работы дает возможность аудиторской
компании дополнительно заработать, выполняя такие виды работ как
восстановление учета, подготовке отчетности, консультационных услугах,
т.е. на услугах, которые больше характерны компаниям по бухгалтерскому
аутсорсингу или консалтинговым компаниям. Покупка таких «пакетных
решений» может оказаться неплохим подспорьем для компаний, желающих
всего и сразу.
Кроме надбавок аудиторы могут делать и скидки. Могут быть
предоставлены скидки за график, объем, лояльность и рекламные.
Скидка за график предоставляется за счет снижения совокупной
стоимости работ благодаря заранее согласованному графику проверок, когда
часть работ проводится «не в сезон», в моменты наименьшей загрузки
аудиторов и т.п. Сюда же попадают скидки «ранних пташек» заказа
проверок.
72
Скидка за объем проистекает из возможности увеличить коэффициент
востребованности специалистов, сократить непроизводственные простои и,
таким образом, снизить себестоимость работ, вернув часть такой экономии
через соответствующую скидку.
Скидка за лояльность обычно предоставляется постоянным клиентам.
Рекламные скидки обычно предоставляются заказчикам с «громким»
именем. В этом случае за счет работы с известным партнером и его
положительным отзывом может возрасти стоимость бренда аудиторской
компании и ее репутация. Традиционно аудиторы просят письменные отзывы
у всех значимых клиентов, но стараются сделать это бесплатно, а иногда
выкладывают название клиента у себя на сайте без его ведома. А ведь это
тоже повод поторговаться.
Разобрав механизмы ценообразования, попробуем разобраться с
составом самих аудиторских услуг, чтобы понять за что по такой схеме с нас
должны (или не должны) брать деньги.
3.2
Выборочный
подход
к
проведению
аудита
безопасности
персональных данных для БУЗ "Поликлиника №3"
Заказать «просто аудит» - это как заказать бизнес-ланч, ориентируясь
только, скажем, на его цену и количество килокалорий. И разумеется,
название ресторана. Возможно, для быстрого обеда этот вариант можно
считать подходящим (и, зачастую, это действительно неплохое решение), но
для вдумчивого подведения с акционерами итогов периода – вряд ли.
Поэтому наш аудит должен состоять только из тех частей, которые мы
выберем сами. Или согласуем, исходя из рекомендаций специалиста.
Предложим следующую трактовку вариантов «компоновки» (рисунок
20).
73
Разработка документов и
постановка внутреннего
Разработка документов и
Дополнительная более глубокая
проверка отдельных участков
регламента электронного
документооборота
постановка внутреннего
регламента электронного
документооборота
Неформальные
консультации
Обязательный аудит в
соответствии с законодательством
Рисунок 20 – Составные части процесса аудиторской проверки
Обязательный аудит в соответствии с законодательством – это
«программа-минимум». В любом случае, этот объем работ должен
присутствовать и может зависеть только от особенностей бизнеса. В нашем
случае речь идет о проверке на соответствие информационной системы
поликлиники требованиям 152 ФЗ. Система должна быть устойчивой, под
воздействием модели угроз ее безопасности.
Дополнительная более глубокая проверка отдельных участков потому и
называется дополнительной, что делается только по желанию заказчика и
охватывает только указанный им объем документов на указанную им
глубину. Это дополнительное блюдо. Но иногда его наличие может оказаться
едва ли не значимее основного. Если вы беспокоитесь о наличии
потенциальных проблем в каких-то зонах ответственности (особенно – если
уверены в их наличии, и тем более – если это грозит существенными
санкциями), вы сами определяете, где и что надо посмотреть свежим
профессиональным взглядом.
С точки зрения поликлиники данная часть неактуальна. Нашей целью
является проверка системы на соответствие ФЗ, а дополнительные проверки
74
приведут к увеличению стоимости аудита. К тому же, одним из самых
опасных источников для потери конфиденциальности персональных данных
может стать человеческий фактор. А это уже относится к аудиту персонала и
служебного соответствия сотрудников.
Разработка
документов
и
постановка
внутреннего
регламента
электронного документооборота может стать в этом списке блюд основным
гарниром. Если процессы не формализованы, можно воспользоваться опытом
аудиторов и привлечь их в качестве консультантов разработать вам
инструкции, регламенты и положения, охватывающие различные аспекты
работы с данными. Насколько они будут «разработаны» специально для вас с
учетом индивидуальных особенностей – вопрос философский, ответ на
который часто лежит между размером предложенной платы и совестью
аудиторов, ставших в одночасье консультантами.
Восстановление регламента документооборота требуется, только если
положение
дел
на
каких-то
участках
совсем
плачевно
и
требует
незамедлительного принятия решений. Это дополнительный гарнир для
проголодавшихся и никогда не бывает в списке основных блюд.
Повод
серьезно задуматься над «здоровьем» организма заказчика. Такая ситуация
чаще всего складывается, если информационная система создавалась в ЛПУ
хаотично,
своими
силами
или
с
использованием
малоизвестного,
непроверенного ПО, призванного решать узкие локальные задачи и не
имеющего должной технической документации и руководства пользователя.
Неформальные консультации – это, несомненно, десерт. Самое
вкусное. Никто не будет требовать от аудиторов подробного отчета по
данному вопросу, но пообщаться с ними тет-а-тет всегда полезно. Перечень
затрагиваемых при общении вопросов зависит только от уровня открытости
аудиторов, но именно в этой неформальной работе можно получить
наибольший результат от того самого свежего «незамыленного» взгляда с
бесценным
успешности.
опытом
проверок
других
предприятий
разной
степени
75
Ознакомившись
с
примерным
содержанием
компонентов
и
ориентировочным способом ценообразования, мы можем перейти к самому
важному этапу – определению оптимальной цены.
3.3
Выбор
оптимальных
компонентов
аудита
в
соотношении
цена/качество для БУЗ "Поликлиника №3"
Выбор аудитора никогда не должен походить ни на размышление
в магазине среди полок с понятными ценниками, ни на бойкую торговлю на
восточном рынке. Он находится между этими вариантами. К какому ближе –
зависит только от вас. Попробуем сформировать несколько способов в
помощь интересующимся.
Способ №1. Начинаем с определения минимума, ниже которого
вам спуститься не удастся, чтобы в результате погони за низкой ценой не
получить пародию на аудит в исполнении неизвестного любителя демпинга.
Обычно этот процесс включает получение «аккредитаций» потенциальных
аудиторов руководителей – кого бы они хотели или не хотели видеть в
списке. Далее определяемся с требованиями наличия рекомендаций, опыта
работы в вашей индустрии, «возраста» компании и т.п. Формализация этих
требований существенно поможет при поиске оптимального соотношения
цена/качество. Данный способ направлен больше на улучшение качества
проводимых работ и вряд ли позволит уменьшить стоимость аудита.
Способ №2. Четко определиться с объемом проверки. Вы и ваши
специалисты могут разбить всю деятельность на отдельные элементы, в
которых продумать глубину требуемой проверки, понять, что может
потребовать восстановления/доработки/формализации усилиями аудитора, а
что можно будет сделать самим. Законодательство законодательством, но
заказчик аудита – вы. И ни как не сам аудитор.
С учетом того, что в поликлинике №3 установлена готовая
информационная система, то компонент «Восстановление регламента
76
документооборота» можно полностью исключить. Также, в нашем случае,
можно обойтись и без
неформальных консультаций,
что позволит
сэкономить время и затраты человека-часов на проведение аудита. Разница в
затратах показана на рисунке21.
S – приблизительная стоимость аудита
S2 – приблизительная стоимость аудита с применением Способа №2
А – количество человеко-часов затрачиваемых на аудит
а1– количество человеко-часов затрачиваемых на неформальные
консультации
s – стоимость одного человека-часа
p – выгода от использования метода
S=A*s
S2=(A-a1-a2)*s
Предполагаемая стоимость аудита ЛПУ равна 278 531 рубль, для
удобства расчетов округлим до 300 000, средняя стоимость человека-часа
аудиторской конторы равна 1500 рублей. Приблизительные временные
затраты
на
«Восстановление
регламента
документооборота»
и
«Неформальные консультации» составляют 5% и 3% соответственно. Таким
образом, получаем следующее:
A = S/ sA = 300 000/1500 = 200
a1 = A*0,05a1 = 200*0,05 = 10
a2 = A*0,03
a2 =200*0,03 = 6
S2 = (200-10-6)*1500 = 276 200 руб.
p = S – S2 = 300 000 – 276 200 = 23 800 руб.
77
350000
300000
300000
276200
250000
S2 - стоимость аудита
200000
S2 - стоимость аудита с
учётом способа 2
150000
100000
50000
0
Рисунок 21 – Разница в затратах на аудит МИС «Интрамед» БУЗ
"Поликлиника №3" с учетом Способа 1
Способ
№3.
Подготовьтесь
к
аудиту
и
исключите
все
непроизводственные потери: заранее продумайте списки документов и
сделайте так, чтобы они были готовы моментально оказаться на столах
аудиторов, назначьте ответственных за предоставление этих документов и
сбор комментариев по ним для аудиторов в каждом значимом подразделении
и
наделите
этих
ответственных
на
срок
проверки
повышенными
полномочиями, позволяющими экономить время.
Практика показывает, что на сбор документов и информации об ИС, ее
технических характеристик и бизнес-логике, а также о практическом ее
применении уходит около 30% времени аудита, половину этой работы можно
выполнить самостоятельно, мобилизовав сотрудников ЛПУ и запросив у
поставщика
ИС
всю необходимую
документации.
Это приводит к
существенной экономии человеко-часов (Рисунок 22).
S – приблизительная стоимость аудита
S3 – приблизительная стоимость аудита с применением Способа №3
А – количество человеко-часов затрачиваемых на аудит
а1 – количество человеко-часов затрачиваемых на Сбор данных
78
s – стоимостьодного человеко-часа
p – выгодаот использования метода
а1 = А*0,3
а1 = 200*0,3 =60
S3 = (А-а1/2)*sS3 = (200-60/2)*1500 = 255 000 руб.
p = S – S3 = 300 000 – 255 000 = 45 000 руб.
350000
300000
300000
255000
250000
S2 - стоимость аудита
200000
S2 - стоимость аудита с
учётом способа 3
150000
100000
50000
0
Рисунок 22 – Разница в затратах на аудит МИС «Интрамед» БУЗ
"Поликлиника №3" с учетом Способа 3
Способ
№4.
Выделите
собственных
делопроизводителей
для
копировальных и прочих технических работ и закрепите их за аудиторами.
Кроме выполнения этих функций поручите им следить за уровнем
работоспособности аудиторов.
Данный способ позволяет избавить аудиторов от ненужной траты
времени и позволит сэкономить порядка 2% человеко-часов (Рисунок 23).
S – приблизительная стоимость аудита
S4 – приблизительная стоимость аудита с применением Способа №4
А – количество человеко-часов затрачиваемых на аудит
79
а1 – количество человеко-часов затрачиваемых на Технические работы
s – стоимость одного человеко-часа
p – выгода от использования метода
а1 = А*0,02а1 = 200*0,04 = 4
S4 = (А-а1)*sS4 = (200-4)*1500 = 294 000
p = S – S4 = 300 000 – 294 000 = 6 000 руб.
350000
300000
300000
294000
250000
S2 - стоимость аудита
200000
S2 - стоимость аудита с
учётом способа 4
150000
100000
50000
0
Рисунок 23 – Разница в затратах на аудит МИС «Интрамед» БУЗ
"Поликлиника №3" с учетом Способа 4
Способ №5. Не дайте аудиторам сэкономить оплаченные часы. На практике,
такая экономия может достигать едва ли не четверти, поэтому, во-первых,
отмечайте приход и уход аудиторов (потому что они любят все мерить в
днях, но при этом с удовольствием делая некоторые из них сокращенными
по личным вопросам, либо уходом на корпоративные семинары/тренинги),
так
можно
предотвратить
подавляющее
большинство
нецелевого
использования человеко-часов, во-вторых, договоритесь, что любая экономия
свыше 5-10% будет возвращена деньгами на расчетный счет.
80
Таким образом, можно посчитать стоимость аудита без экономии
времени и стоимость с возвращённой компенсацией.
S – приблизительная стоимость аудита
S5 – приблизительная стоимость аудита с применением Способа №5
А – количество человеко-часов затрачиваемых на аудит
а1 – приблизительное количество человеко-часов затрачиваемых на
Нецелевое использование рабочего времени аудитором (берем 20% от общих
затрат времени)
s – стоимость одного человеко-часа
Sб/эконом – стоимость без экономии времени исполнителем
Sкомп – приблизительная сумма компенсации, в случае превышения
экономии времени более 10%
p – выгода от использования метода
а1 = A*0,2a1 = 200*0,2 = 40
Sб/эконом = (А-а1)*sSб/эконом = (200-40)*1500 = 240 000 руб.
Sкомп = (А-А*0,1)*s
Sкомп = (200-20)*1500 = 270 000 руб.
Использование обоих вариантов одновременно невозможно, а выбор в
пользу одного из них будет обусловлен успешностью переговоров с
исполнителем и возможностью выделить работников для контроля работы
аудитора. В среднем, получается следующее (Рисунок 24):
S5 = (Sкомп + Sб/эконом)/2
S5 = (240 000 + 270 000)/2 =255 000 руб.
p= S – S2 = 300 000 – 255 000 = 45 000 руб.
81
350000
300000
300000
250000
270000
240000
255000
S - стоимость аудита
200000
Sкомп - стоимость аудита с
учётом компенсации
150000
Sб/экон - стоимость аудита
без экономии времени
100000
S5 - стоимость аудита с
учётом способа 5
50000
0
Рисунок 24 – Разница в затратах на аудит МИС «Интрамед» БУЗ
"Поликлиника №3" с учетом Способа 5
Способ №6.Разбейте аудит на этапы. После первого этапа проверки
самых проблемных направлений должен быть тайм-аут для самостоятельной
ликвидации проблем и недоделок. Аудиторы при этом могут быть
освобождены для другого проекта. На следующем этапе они контролируют
исправления и проверяют менее проблемные участки учета. Это позволит
оптимизировать нагрузку и решить больше вопросов своими силами, а также
избавит от возможного повторного аудита после исправления.
В нашем случае удобнее всего будет использовать этот способ, чтобы
отправить все замечания поставщику МИС. С одной стороны, такой подход
избавит нас от возможного повторного аудита, с другой стороны может
потребовать дополнительных расходов на оплату доработок по МИС.
Данный способ дает, в первую очередь, более оптимальный подход к
решению имеющихся проблем, но вряд ли существенно изменит стоимость
аудита.
Способ №7. Укажите максимум результатов, которые хотите достичь в
договоре с конкретными санкциями за конкретные проблемы с их
82
достижением. Реализация этой цели, скорее всего, - самая сложная часть
переговоров. Но попробовать надо.
Способ №8. Скидки и надбавки. Для начала, попробуем максимально
исключить надбавки.
География.
Расположение объекта аудита практически гарантирует
нам отсутствие данной надбавки. Орел расположен достаточно близко к
Москве, где наиболее широко представлены аудиторские компании. Рынок
аудиторских услуг в Центральном Федеральном Округе достаточно насыщен,
поэтому живая конкуренция не позволит аудиторам завышать цены.
Срочность и сезонность. БУЗ "Поликлиника №3", как и все бюджетные
организации имеет годовой бюджет с четким планом расходования средств.
Зачастую бюджетные организации не успевают своевременно освоить
бюджет и к концу отчетного периода (конец календарного года) возникает
острая необходимость провести закупки или использовать средства на другие
нужды. Также, поликлиники могут не успевать провести запланированные
работы по аудиту ввиду многих других причин. Таким образом, пик
занятости аудиторов будет приходится на конец года.
Чтобы избежать переплат за срочность и сезонность необходимо
планировать
проведение
аудита
как
можно
раньше.
Это
позволит
своевременно освоить выделенные из бюджета средства и избавит от
необходимости доплачивать аудиторской компании за срочность работ,
чтобы успеть к концу отчетного периода.
В качестве базовой стоимости аудита мы взяли стоимость с сайта
госзакупок для поликлиники города Беслана, конкурс проводился в мае 2013
года и не включал в себя надбавок за срочность и сезонность, поэтому в
наших расчетах для БУЗ "Поликлиника №3" мы не будем учитывать эту
надбавку.
Проведение аудита с запасом времени относительно конца года
позволит нам составить более гибкий график работ и более тщательно
83
провести проверку, исправляя некоторые замечания в процессе аудита, что
позволяет нам использовать Способ 6.
Предложить «бонус» - в случае положительного результата аудитор
будет иметь приоритет при выборе исполнителя последующих проверок
плюс указание вас в числе клиентов в информационных материалах
аудиторской компании. На этом бонусе можно попытаться и сбить цену.
Малоэффективно
для
нашего
примера,
так
как
все
заказы
госучреждений (в том числе и БУЗ "Поликлиника №3") должны проходить
через обязательный конкурс (тендер) и влиять на выбор исполнителя можно
только указав определенные требования к участникам.
Что касается бонуса в виде указания ЛПУ в числе клиентов, то вряд ли
он будет являться серьезным аргументом при переговорах, так как мы
изначально ищем аудиторскую компанию с опытом работы в данной сфере,
значит в своих материалах исполнитель уже имеет записи о проведении
подобного рода проверок.
Способ
№9.
Контролируйте
все
лично.
Регулярно
заходите,
проговаривайте свои требования, подключайтесь к спорным ситуациям в
рамках своих полномочий, либо поручайте непосредственным подчиненным
с контролем исполнения. Подойдите к процессу неформально.
Рассмотрев различные варианты удешевления аудита персональных
данных, мы можем сделать вывод о том, что максимальную экономию можно
получить, сделав упор на тщательный выбор компонентов аудита,
мобилизацию сотрудн6иков для сбора данных и документов необходимых
аудитору, а также организовать контроль над нецелевым использованием и
экономии времени аудитором. Из диаграмм видно, что Способ 4 является
менее эффективным, однако он требует наименьших усилий со стороны
проверяемого ЛПУ.
Существенного
снижения
стоимости
можно
добиться
путем
использования комплекса мер, включающего в себя все описанные выше
методы (Рисунок 25).
84
Sкомпл. = S – p2 – p3 – p4 – p5
Sкомпл. = 300 000 – 23 800 – 45 000 – 6 000 – 45 000 = 180 200 руб.
Таким образом, максимальный профит БУЗ "Поликлиника №3" с
использованием комплексного метода при аудите МИС составляет 119 800
рублей. При комплексном подходе к проведению аудита заказчик может
получить выгоду до 40%.
350000
300000
300000
250000
S2 - стоимость аудита
200000
150000
180200
Sкомпл - стоимость аудита с
учётом комплексного
подхода
100000
50000
0
Рисунок 25 – Разница в затратах на аудит МИС «Интрамед» БУЗ
"Поликлиника №3" с учетом комплексного подхода к удешевлению аудита
85
Заключение
В данной работе мы рассмотрели проблему аудита информационной
безопасности бюджетных организаций на примере БУЗ "Поликлиника №3"
города Орла. Данная проблема стала особенно актуальной после вступления
в силу 152 ФЗ «О персональных данных» и повсеместного перехода
бюджетных организаций на электронный документооборот.
В процессе работы мы исследовали информационную систему
«Интрамед», установленную в БУЗ "Поликлиника №3" на наличие наиболее
уязвимых узлов с точки зрения безопасности персональных данных. По
итогам исследования была сформирована модель угроз информационной
безопасности системы.
Также, в работе была поэтапно рассмотрена процедура аудита
информационной системы. В результате чего, мы посчитали смету затрат на
данный вид аудита для БУЗ "Поликлиника №3" и получили представление о
наиболее затратных и трудоёмких этапах аудита информационных систем.
Оказалось, что стоимость того или иного этапа аудита напрямую зависит от
затраченного на него времени.
Проанализировав полученные данные мы разработали комплекс
методов по удешевлению и оптимизации аудита информационной системы в
БУЗ "Поликлиника №3". Данный комплекс направлен на снижение
количества времени затрачиваемого на аудит, что непосредственно влияет на
его удешевление. Комплекс затрагивает практически все этапы проведения
аудита информационных систем и позволяет не только экономить средства,
затрачиваемые на аудит, но и самим контролировать ход проверки и качество
аудиторских
работ.
Поэтапный
подход,
рассмотренный
в
данной
квалификационной работе позволяет Поликлинике №3 наладить более тесное
сотрудничество с поставщиком МИС «Интрамед», предоставить данные об
уязвимых местах системы, что может быть учтено при дальнейшем
сотрудничестве.
86
Комплекс
требует
повышенной
заинтересованности
руководства
заказчика и мобилизации достаточно большого числа его сотрудников, также
комплекс предусматривает тщательную подготовку к проведению аудита,
своевременного планирования расходования средств бюджета, однако
позволяет
добиться
результатов аудита.
более
качественных
и
экономически
выгодных
87
Список литературы
1. Кодекс
Российской
Федерации
об
административных
правонарушениях, Принят Госдумой РФ 20.12.2001 г.
2. Федеральный закон от 21.11.1996 г. № 129-ФЗ «О бухгалтерском
учете».
3. Федеральный закон «Об аудиторской деятельности» от 07.08.2001 г. №
119-ФЗ.
4. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149
ФЗ «Об информации, информационных технологиях и о защите
информации».
5. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152ФЗ «О персональных данных».
6. Указ Президента РФ «Об аудиторской деятельности в Российской
Федерации» от 22.12.1993 г. №2263
7. Постановление
Правительства
РФ
от 6.05.1994 г.
№482
«Об
утверждении нормативных документов по регулированию аудиторской
деятельности в Российской Федерации».
8. Положение по бухгалтерскому учету «Бухгалтерская отчетность
организации», утверждено приказом Минфина РФ от 08.02.1996 г.
№10.
9. Распоряжение Мингосимущества РФ от 26.05.2000 г. № 9-р «Об
утверждении
примерного
технического
задания
на
проведение
аудиторской проверки федерального государственного унитарного
предприятия».
10. Распоряжение Мигосимущества РФ от 11.11.1999 г. № 1506-р
«Методические
указания
по
заполнению
форм
отчетности
руководителей федеральных государственных унитарных предприятий
и представителей Российской Федерации в органах управления
открытых акционерных обществ».
88
11. Распоряжение
Федерального
управления
по
делам
о
несостоятельности (банкротстве) от 12.08.1994 г. № 31-р.
12. Приказ Федеральной службы России по финансовому оздоровлению и
банкротству от 23.01.2001 г. № 16 «Об утверждении «Методических
указаниях
по
проведению
анализа
финансового
состояния
организаций».
13. Правило (стандарт) аудиторской деятельности «Цели и основные
принципы, связанные с аудитом бухгалтерской отчетности», одобрено
Комиссией по аудиторской деятельности при Президенте РФ,
Протокол № 5 от 20.08.1999 г.
14. Правило (стандарт) аудиторской деятельности «Аудит в условиях
компьютерной
обработки
данных»,
одобрено
Комиссией
по
аудиторской деятельности при Президенте РФ, Протокол № 2 от
22.01.1998 г.
15. Правило (стандарт) ISO/IEC 2382-1
16. Правило (стандарт) ГОСТ РВ 51987 РФ «Информационная технология.
Комплекс стандартов на АС. Типовые требования и показатели
качества функционирования информационных систем».
17. Автоматизированные информационные технологии в экономике:
Учебник/ Под ред. проф. Г.А. Титоренко. – М.: Компьютер, ЮНИТИ,
1998. – 400 с.
18. Адамс Р. Основы аудита. Пер. с англ. / Под ред. Я.В. Соколова. – М.:
Аудит, ЮНИТИ, 1995. – 398 с.
19. Александр Астахов. Анализ защищенности автоматизированных
систем, GLOBALTRUST.RU, 2002 г.
20. Аренс А., Лоббек Дж. Аудит: Пер. с англ. / Под ред. А.Я. Соколов. –
М.: Финансы и статистика, 1995. – 560 с.
21. Бармен Скотт. Разработка правил информационной безопасности. М.:
Вильямс, 2002. – 208 с.
89
22. Борисов М.А., Романов О.А. Основы организационно-правовой
защиты информации. М.: Книжный дом «ЛИБРОКОМ», 2012. – 208 с.
23. Борисов В.А., Аляров К.П. «Правовые аспекты информационной
безопасности». – М.: ЮНИТИ, 2002.
24. Горичев
В.В.,
Ларягина
Т.Н.
Словарь-справочник.
Рыночная
экономика: понятия, терминология, механизмы рыночной экономики. –
Саратовский университет, 1991.
25. Евдокимов В.В. Экономическая информатика. Учебник для вузов.
Спб.: Интер, 1997.
26. Журнал «Врач и информационные технологии». (июнь 2009).
27. Когаловский М.Р. Энциклопедия технологий баз данных. – М.:
Финансы и статистика, 2002. – 800 с.
28. Когаловский
М.Р.
Перспективные
технологии
информационных
систем. – М.: ДМК Пресс; Компания АйТи, 2003. – 288 с.
29. Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная
безопасность: Учебное пособие». – М.: МАЭП, ИИК «Калита», 2000.
30. Курило А.П. Аудит информационной безопасности – М.: Издательская
группа «БДЦ-пресс», 2006. – 305 с.
31. Лопатин В.Н. Информационная безопасность России: Человек,
общество, государство Серия: Безопасность человека и общества, М.:
2000. – 428 с.
32. Маляров Г.В. «Информационная безопасность предприятия». – М.:
ЮНИТИ, 2000.
33. Петренко
С.А.,
Курбатов
В.А.
Политики
информационной
безопасности. – М.: Компания АйТи, 2006. – 400 с.
34. Родичев Ю. Информационная безопасность: Нормативно-правовые
аспекты. СПб.: Питер, 2008. – 272 с.
35. Семененко В.А. Информационная безопасность: Учебное пособие. –
М.: МГИУ, 2004 – 215 с.
90
36. Скобара В.В. Аудит: методология и организация. М.: Издательство
«Дело и сервис», 1998. – 576 с.
37. Шеер Август-Вильгельм. Моделирование бизнес-процессов. М.: ВестьМетаТехнология, 2000. – 175 с.
38. Щербаков
А.Ю.
Современная
компьютерная
безопасность.
Теоретические основы. Практические аспекты. – М.: Книжный мир,
2009. – 352 с.
39. Юсупов Р.М., Заболоцкий В.П. Научные и методологические основы
информатизации. СПб., 2005.
40. Материалы сайтов: www.galaktika.ru, www.pro-invest.ru, www.boss.ru,
www.baan.ru,
www.oracle.ru,
www.1C.ru,
www.sap.com,
www.microsoft.ru, www.cfin.ru, www.citforum.ru, inftech.webserveris.ru и
др.
91
1/--страниц
Пожаловаться на содержимое документа