Назначение, структура и основные характеристики АС
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Московский политехнический университет»
«Информационная безопасность»
Дисциплина «Аналитика информационной безопасности»
ПРАКТИЧЕСКОЕ ЗАДАНИЕ
Модель угроз автоматизированной системы типового лечебно- профилактического учреждения «Врач»
УТВЕРЖДАЮ
Руководитель
_______________________
«__» ____________ 20__ г.
Александрова А.В. (161-331)
Валюхов О.А. (161-331)
Калинина А.Н. (161-331)
Оглавление
Сокращения. 3
Введение. 5
Назначение, структура и основные характеристики АС.. 6
Модель вероятного нарушителя информационной безопасности. 9
3.1 Описание возможных нарушителей. 9
3.2 Предположения об имеющейся у нарушителя информации об объектах реализации угроз. 11
3.3 Предположения об имеющихся у нарушителя средствах реализации угроз 12
3.4 Описание объектов и целей реализации угроз информационной безопасности 13
3.5 Описание каналов реализации угроз информационной безопасности. 15
3.6 Основные способы реализации угроз информационной безопасности. 15
Перечень основных угроз безопасности информации. 15
Выводы.. 17
Сокращения
АС – автоматизированная система
АРМ – автоматизированное рабочее место
БД – база данных
ИСПДн – Информационная система персональных данных
ЛВС – локальная вычислительная сеть
ЛПУ – Лечебно профилактическое учреждение
|
|
|
НСД – несанкционированный доступ к информации
ПДн – Персональные данные
СЗИ – средство защиты информации
ФСТЭК России – Федеральная служба по техническому и экспортному контролю
HL7 – Международный медицинский стандарт
Термины и определения
В настоящем документе используются следующие термины и их определения:
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Информационные ресурсы - (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.).
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
|
|
|
Типовое лечебно-профилактическое учреждение ( ЛПУ)– самостоятельное учреждение здравоохранения, предназначенное для оказания различных видов медицинской помощи населению.
Введение
Настоящий документ подготовлен в рамках выполнения работ по построению системы защиты персональных данных (далее – СЗИ), не содержащей сведений, составляющих государственную тайну, типовой медицинской автоматизированной системы (далее – АС). Настоящий документ содержит модель угроз для типовой АС (далее – модель угроз).
Модель угроз – документ, использующийся для:
-анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; -
-разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
-проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
-недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование
-контроль обеспечения уровня защищенности ПДн.
|
|
|
Модель угроз включает в себя:
-описание и обоснование актуальных угроз;
-описание нарушителей;
-описание возможностей нарушителя;
-вероятность реализации угрозы.
Модель угроз для ИСПДн АС разрабатывается в соответствии со следующими нормативными и методологическими документами:
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781;
Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462);
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).
|
|
|
Назначение, структура и основные характеристики АС
Типовая медицинская информационная система предназначена для поддержки технологических процессов работы ЛПУ. Медицинская информационная система позволяет вести полный учет оказанных пациенту медицинских услуг, формирует необходимую медицинскую документацию, составляет подробные отчеты о работе больницы и персонала по установленным статистическим и произвольным формам. АС, будучи комплексным решением, состоит из модулей и опций к этим модулям. Каждый модуль содержит определенную функциональность, которая позволяет медицинскому учреждению автоматизировать определенные виды своей деятельности. Каждая опция относится к одному из модулей и содержит дополнительную функциональность, отсутствующую в базовой поставке модуля. Основные модули АС:
СТАТИСТИКА Автоматизация медицинской статистики, оперативный доступ к отчетам разного вида: управленческим, финансовым, медицинской статистики, материального учета. Отправляется в министерство здравоохранения.
РАСПИСАНИЕ Поддержка расписания приема врачей, диагностических кабинетов, мест групповых занятий.
УЧЕТ УСЛУГ Интеграция с бухгалтерской системой, возможность экспорта количества отработанных часов врачей в бухгалтерскую программу предприятия, для формирования заработных плат.
МОДУЛЬ СОПРЯЖЕНИЯ Обеспечивает подключение медицинского оборудования и организация импорт данных из внешних источников с помощью оригинальных технологий обмена информацией.
СТАНДАРТ HL7 Использование международного стандарта HL7 в АС создает дополнительные возможности интеграции с медицинским оборудованием и внешними приложениями.
СИСТЕМНОЕ ЯДРО Обеспечение безопасности и конфиденциальности данных является одним из ключевых требований к современной АС. Обеспечивает доступ к базе данных и реализует систему безопасности в работе с данными. Включает в себя модуль статистики.
АС должна обеспечивать выполнение следующих функций:
• Регистратура и расписание приема
• Учет оказанных услуг
• Статистика и аналитика
• Модель угроз АС
• Ведение БД пациентов, врачебного и сестринского персонала
• Отправка статистики в министерство здравоохранения.
Для обеспечения удобства работы медицинского персонала программы АС ЛПУ имеют возможность объединения функций на одном АРМе.
При своем функционировании система решает следующие задачи:
− Поиск и регистрация пациентов;
− Запись на прием;
− Формирование медицинских документов;
− Ограничение доступа оператора в прикладную программу;
− Ведение журнала учета работы операторов на каждом автоматизированном рабочем месте (АРМ);
− Регистрация изменений в БД и ведение фискальной БД;
− Формирование обобщенных отчетов по текущей деятельности ЛПУ.
Серверное оборудование и АРМ медицинского персонала объединены в локальную вычислительную сеть и обеспечивают надежную работу информационной системы.
В АС обрабатываются следующие типы данных:
• фамилия, имя, отчество (ПДн);
• год, месяц, дата и место рождения (ПДн);
• адрес проживания (ПДн);
• медицинская информация (ПДн);
• статистика рабочих часов для отдела кадров и бухгалтерии;
• информация о врачах на их ПК;
• статистика для министерства здравоохранения.
Работа в ИСПДн АС ведется в многопользовательском режиме с разграничением прав доступа. Разграничение доступа обеспечивается за счет идентификации субъектов. При входе в систему и выдаче запросов на доступ проводится аутентификация пользователей АС. АС располагает необходимыми данными для идентификации, аутентификации, а также препятствует несанкционированному доступу к ресурсам.
АС "Врач" включает в себя персональные компьютеры врачей, сервер с БД, в которой хранятся персональные данные врачей, пациентов, статистическая информация о количестве записей на приемы к каждому врачу, которая отправляется в министерство здравоохранения, ведется учет количества приёмов, отправляемый в бухгалтерию для формирования заработной платы и в отдел кадров для отслеживания количества часов работы. Также в систему входит портал, который пациенты используют для записи на приём.
Дата добавления: 2018-11-24; просмотров: 505; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!