«Исследование информационной безопасности на лечебном учреждении»

Вид материала

Исследование

Содержание Понятие информационной безопасности Основные составляющие информационной безопасности Что угрожает информационной безопасности Методы обеспечения информационной безопасности Система аутентификации Системы шифрования Межсетевой экран Фильтры спама Информационная безопасность лечебных учреждений Общая схема защиты Технические средства защиты данных МИС Организационные меры по сохранности данных МИС Программные средства обеспечения информационной защиты МИС (на примере ИНТЕРИН Promis) Защищаемая информация в лечебном учреждении Законы о защите информации Список литературы

Подобный материал:

• Аннотация, 418.67kb.
• Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
• Система менеджмента информационной безопасности, 205.89kb.
• Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
• Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
• «Исследование проблем информационной безопасности в фирме проката транспортных средств», 369.32kb.
• Вопросы по информационной безопасности, 268.68kb.
• «Комплексные системы информационной безопасности», 260.23kb.
• Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
• Лекция: Основные понятия информационной безопасности, 182.39kb.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСУДАРСТВЕННОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК

КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Курсовая работа по специальности

на тему «Исследование информационной безопасности на лечебном учреждении»


Выполнили:

Студент группы № 367

Казанцев Владислав Владимирович

Руководитель:

ст. преподаватель

Нестерова Ольга Андреевна

Дата сдачи: ___________

Оценка: ______________


Тюмень 2009 г.

Содержание

Введение……………………………………………………………………………….2

Понятие информационной безопасности……………………………………………4

Основные составляющие информационной безопасности………………………...5

Что угрожает информационной безопасности ………………………......................6

Методы обеспечения информационной безопасности……………………………..8

Информационная безопасность лечебных учреждений…………………………..12

Общая схема защиты………………………………………………………………...13

Технические средства защиты данных медицинских информационных систем………………………………………………………………………………...13

Организационные меры по сохранности данных медицинских информационных систем …………………………..................................................................................14

Программные средства обеспечения информационной защиты медицинских информационных систем (на примере ИНТЕРИН Promis)…………………………………………………………………......................14

Защищаемая информация в лечебном учреждении……………………………….17

Законы о защите информации………………………………………………………20

Заключение…………………………………………………………………………...22

Список литературы…………………………………………………………………..23


Введение

Понятие "информация" на сегодняшний день используется весьма широко и разносторонне. Из закона РФ "Об информации, информатизации и защите информации", Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления. Наверное невозможно найти такую область деятельности человека, где бы это понятие не использовалось. Гигантские информационные потоки, с каждодневной скоростью их нарастания, буквально захлестывают людей. По оценке специалистов, объем научных знаний удваивается каждые пять лет, а что говорить о прочих областях, скорость в которых несоизмеримо выше. Такое положение приводит к заключению, что XXI век — это информационный век, что в свою очередь обуславливает переход человечества от индустриального общества к информационному, в котором основной ценностью обладает информационные ресурсы, а материальные или энергетические. Как известно, ресурсами называют элементы экономического потенциала, которыми обладает общество.

В свое время К. Марксом были определены для общества три основных ресурса – труд, земля и капитал. В нынешнем понимании - это людские ресурсы, материальные и финансовые ресурсы. Сейчас к ним добавились, ресурс времени, нехватка которого с каждым днем все больше ощущается в любой области деятельности человека, и информационный ресурс, важность которого трудно переоценить, в связи с тем, что обладание этим ресурсом во многих случаях компенсирует недостаток других. Например, обладание информацией о современных технологиях позволяет наладить производство какого-либо продукта с меньшими трудозатратами, ускоренными темпами и т.д. Тем самым уменьшаются издержки на производство этой продукции и финансовые ресурсы, привлекаемые для этого производства, и, как следствие, появляется возможность увеличения своей прибыли. Понятие "информационные ресурсы" уже узаконено, но недостаточно еще осознано. Информационные ресурсы, как и материальные ресурсы, обладают качеством и количеством, имеют себестоимость и цену. Себестоимость информации определяется количеством затраченной на ее производство энергии, количеством финансовых и материальных затрат на ее документирование, хранение, обеспечение сохранности, обработку и передачу по каналам связи. Цена информации, как и остальных товаров, складывается из себестоимости и величины прибыли от ее реализации. Реализацию информации, с извлечением прибыли из нее, можно произвести в результате следующих действий:

• продажа информации;
  
• материализация произведенной или приобретенной (купленной) информации в продукте или технологии;
  
• использование информации в процессе принятия решения.
  

Как можно заметить из вышеизложенного, информация обладает свойствами товара, и, следовательно, как и любой товар, она может участвовать в товарообороте и являться объектом права, иметь производителя, собственника, владельца и потребителя. Со стороны потребителя, качество используемой информации позволяет получать дополнительный экономический или моральный эффект. А со стороны обладателя, сохранение коммерчески важной информации в тайне позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Уже из этого видно, что информация требует каких либо действий, направленных на защиту конфиденциальности. Особую ценность для производителя представляет своя собственная информация, так как зачастую получение такой информации – весьма дорогостоящий и трудоемкий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики. В условиях рыночной экономики особое место отводится информационным ресурсам. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации самыми разными путями, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Вывод напрашивается сам. Защите информации от неправомерного овладения ею, необходимо отводить весьма значительное место. И здесь не обойтись разовыми мерами, будь то эпизодические мероприятия, частичное использование средств защиты или привлечение некоторых специалистов по защите информации. Необходим четко продуманный, качественно спланированный и профессионально проводимый комплекс мер по защите информации. Необходима грамотно и профессионально отстроенная система информационной защиты. И чем раньше это будет воспринято предпринимателем, бизнесменом, руководителем фирмы, тем дешевле ему обойдется создание системы информационной безопасности.

Целью данной работы будет исследование проблемы информационной безопасности на предприятии и методов ее защиты.

Задачи:

1. Рассмотреть виды возможных угроз медицинским информационным системам.
   
2. Рассмотреть варианты защиты от возможных угроз утечки информации на лечебном учреждении.
   

Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. [3]


Основные составляющие информационной безопасности

Параметры информационных систем, нуждающиеся в защите, можно разделить на следующие категории: обеспечение целостности, доступности и конфиденциальности информационных ресурсов.

• Доступность – это возможность получения, за короткий промежуток времени, требуемой информационной услуги.
  
• Целостность – это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
  
• Конфиденциальность – защите от несанкционированного доступа к информации.
  

Информационные системы, прежде всего, создаются для получения определенных информационных услуг. Если получение информации по каким-либо причинам становится невозможным, это приносит ущерб всем субъектам информационных отношений. Из этого можно определить, что доступность информации стоит на первом месте.

Целостность является основным аспектом информационной безопасности тогда, когда точность и правдивость будут главными параметрами информации. Например, рецепты медицинских лекарств или набор и характеристики комплектующих изделий.

Наиболее проработанной составляющей информационной безопасности в нашей стране является конфиденциальность. Но практическая реализация мер по обеспечению конфиденциальности современных информационных систем сталкивается в России с большими трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препятствия и технические проблемы. [7]


Что угрожает информационной безопасности

Действия, которые могут нанести ущерб информационной системе, можно разделить на несколько категорий.

1. Действия, осуществляемые авторизованными пользователями
   

В эту категорию попадают:

• целенаправленная кража или уничтожение данных на рабочей станции или сервере;
  
• повреждение данных пользователем в результате неосторожных действий.
  

2. "Электронные" методы воздействия, осуществляемые хакерами
   

Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся:

• несанкционированное проникновение в компьютерные сети;
  
• DOS-атаки.
  

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п.

Атака типа DOS (сокр. от Denial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.

3. Компьютерные вирусы
   

Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

4. Спам
   

Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности:

• электронная почта в последнее время стала главным каналом распространения вредоносных программ;
  
• спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
  
• как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
  
• вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама.
  

5. "Естественные" угрозы
   

На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т. д. [3]


Методы обеспечения информационной безопасности

Задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

• средства идентификации и аутентификации пользователей ;
  
• средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
  
• межсетевые экраны;
  
• виртуальные частные сети;
  
• средства контентной фильтрации;
  
• инструменты проверки целостности содержимого дисков;
  
• средства антивирусной защиты;
  
• системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
  

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

Система аутентификации (или идентификации), авторизации и администрирования. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: "Кто вы?" и "Где вы?" - являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

• защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);
  

• защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;
  
• защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).
  

Эффективное средство защиты от потери конфиденциальной информации - фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

Огромный урон компаниям, нанесенный вирусами и хакерскими атаками, - в большой мере следствие слабых мест в используемом программном обеспечении. Определить их можно заблаговременно, не дожидаясь реального нападения, с помощью систем обнаружения уязвимостей компьютерных сетей и анализаторов сетевых атак. Подобные программные средства безопасно моделируют распространенные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных - резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т. д.). [3]


Информационная безопасность лечебных учреждений

Обеспечение информационной безопасности (ИБ) при функционировании медицинских информационных систем (МИС) возможно только за счет взаимосвязанного комплексного использования организационных мер, программных и технических средств защиты.

Перечислим основные направления возможных нарушений :

− утечка данных (нарушение конфиденциальности – полное при получении злоумышленником доступа к БД или частичное – при получении злоумышленником доступа к не разрешенной для него информации);

− утрата данных (разрушение носителей, стирание информации при непосредственном доступе к данным или посредством Системы);

− несанкционированная модификация данных (посредством Системы или при непосредственном доступе к БД);

− отказ в предоставлении функциональности (в связи с повреждением Системы);

− некорректное функционирование Системы (вследствие несанкционированного изменения модулей Системы).

При включении в МИС средств обеспечения информационной безопасности необходимо помнить, что наращивание требований по ИБ неизбежно накладывает ограничения на доступность данных для пользователей МИС. Есть три вектора информационной безопасности:

− конфиденциальность,

− целостность,

− доступность данных.

И обеспечение ИБ должно строиться на компромиссе меж ними, обеспечивая приемлемый уровень безопасности наряду с приемлемыми для работы пользователей ограничениями в части санкционирования использования ресурсов и сервисов МИС. [4]


Общая схема защиты

На основе результатов исследований и разработок Банка России (БР), и Института программных систем Российской академии наук (ИПС РАН) в области обеспечения информационной безопасности в медицинских информационных системах, была предложена схема защиты данных, в которой используются:

- Элементы среды функционирования МИС (режим допуска сотрудников в ЛПУ, выделенные помещения под сервера СУБД, технические средства защиты от несанкционированного доступа (НСД), регламент обслуживания ПО МИС, возможности операционной системы по разграничению прав доступа к файлам МИС, возможности СУБД по санкционированию доступа к данным и пр.).

- Подсистема информационной безопасности (ПИБ) МИС. Общесистемные механизмы (тонкая организация санкционированного доступа к фрагментам медицинской информации, к объектам и функционалу МИС, а также контроля жизненного цикла информации и целостности кода модулей МИС).

- ПИБ МИС. Выделенное независимое рабочее место администратора информационной безопасности (АРМ АИБ), обеспечивающее оперативный контроль и ретроспективный анализ действий пользователей МИС. [5]


Технические средства защиты данных МИС

К техническим средствам обеспечения защиты данных относятся программно - аппаратные решения, обеспечивающие сохранность носителей информации:

− На уровне устройств хранения. RAID-технологии (зеркалирование, RAID5 и т.д.).

− На уровне БД (Standby, архивирование оперативных журналов). [5]


Организационные меры по сохранности данных МИС

В качестве организационного мероприятия по предотвращению утраты данных рекомендуется резервное копирование. Защита от утечки данных во время резервного копирования обеспечивается следующими мерами:

− двойным шифрованием с разделением доступа к ключам и данным,

− регламентом резервного копирования и хранения резервных копий БД,

разделяющим полномочия копирующего, паролирующего и хранящего копию,

− разделением прав доступа - администратор БД имеет доступ только к базе

данных, не имея доступа к файлам, администратор системы имеет доступ к

файлам, но не имеет прямого доступа к БД проекта.

Рекомендуются мероприятия по предотвращению нарушения конфиденциальности, а также вредоносного изменения информации, в случае проникновения в систему постороннего лица с несвойственными ему полномочиями. Данные мероприятия призваны обеспечить

выполнение требований инструкции по парольной защиты информации:

− Проведение инструктажа с пользователями МИС о недопустимости хранения своего пароля в доступном месте, а также сообщения его посторонним лицам.

− Профилактическая смена паролей пользователей раз в 2 месяца.

− Запрещение использования в качестве паролей для входа в систему

общеизвестных слов – названия системы, названия ЛПУ, своего ФИО и т.д.

− Запрещение использования в качестве паролей для входа в систему «простых» паролей – содержащих одинаковые символы, отличающихся от прошлых номером и т.д. [4]


Программные средства обеспечения информационной защиты МИС (на примере ИНТЕРИН Promis)

ИНТЕРИН – интегрированная информационная система, осуществляющая информационную поддержку как сети территориально разнесенных лечебно-диагностических учреждений, так и отдельных больниц, диагностических центров, профилактических учреждений. Система разработана в Центре Медицинской информатики Института Программных Систем Российской Академии Наук и внедрена в ряде крупных медицинских учреждений, где успешно эксплуатируется в течение нескольких лет.

При функционировании МИС информационная безопасность данных обеспечивается специальными программными средствами – подсистемой информационной безопасности.

Основная функциональность:

− Организация санкционированного доступа к данным.

− Мониторинг «опасных» событий.

− Управление свойствами пользователя МИС.

− Ведение журналов безопасности.

Организация санкционированного доступа к данным относится к общесистемным механизмам. Остальные функции возложены на специализированный АРМ администратора информационной безопасности МИС.

Организация санкционированного доступа к данным

Полномочия пользователя МИС по доступу к той или иной информации определяются конфигурацией рабочего места пользователя и задаются выделенными ему привилегиями.

Привилегии определяются:

− Типовой ролью – описывает полномочия группы пользователей одной

специализации (метапользователя), обладающих одинаковыми правами по

отношению к информации.

− Элементарными привилегиями – привилегии, которые вносят дополнительные коррективы в стандартное меню какой-либо типовой роли.

Привилегии пользователю выделяет администратор информационной безопасности. Он же обладает полномочиями на изменение и удаление привилегий.

Конфигурация рабочего места задается:

1. Содержанием системного меню, доступного данному пользователю.

2. Содержимым Рабочего стола пользователя (в зависимости от того, какие

информационные объекты с какими разрешенными над ними действиями)

размещены на его Рабочем столе.

Входными параметрами для медицинской информационной системы являются, прежде всего:

− идентификатор пользователя – вводится при запуске системы ИНТЕРИН Promis (имеет длину до 30 разрешенных символов),

− пароль пользователя – вводится при запуске системы ИНТЕРИН Promis (имеет длину не менее 8 разрешенных символов).

Этими идентификаторами определяется конфигурация рабочего места, которое получит пользователь, независимо от того, где физически расположен компьютер, с которого он запускает систему (в пределах VLAN и имеющийся доступ в системе защиты от несанкционированного доступа). Эти же параметры определяют, какие из разделов МИС

доступны данному пользователю (на просмотр или на редакцию).

Мониторинг «опасных» событий

Мониторинг работы МИС реализуется предоставлением списка открытых сеансов (сессий). Выбрав любую, администратор информационной безопасности может либо подробно ознакомиться со свойствами данного пользователя, либо, в случае возникновения каких-либо сомнений в правомерности его действий, принудительно завершить сеанс.

Управление свойствами пользователя МИС

АРМ администратора информационной безопасности предоставляет средства для мониторинга и управления свойствами каждого пользователя МИС. АРМ обеспечивает отслеживание текущих ролей, показывает имя пользователя в СУБД Oracle, профиль (Oracle), табличное пространство БД, временное табличное пространство, статус – состояние учетной записи пользователя (открыта, заблокирована, просрочен пароль и их комбинации), дату блокировки (если запись была заблокирована), дату истечения пароля и

дата создания учетной записи.

Управление свойствами пользователя заключается в предоставлении возможности изменения/наделения его ролями, а также принудительного завершения срока действия пароля

и блокировки его учетной записи.

Журналы безопасности

Журналы безопасности ведутся в отношении выделенных «опасных событий» - действий, которые могут повлиять на общую информационную безопасность системы.

АРМ администратора информационной безопасности обеспечивает ведение журналов:

− Ошибки входа (попытки ошибочных входов в МИС).

− Новые пользователи (регистрация новых пользователей).

− Измененные пользователи (пользователи, свойства которых изменялись).

− Удаленные пользователи (пользователи, которые были удалены).

− Предоставление доступа (предоставление доступа пользователям к АРМ/роли).

− Запрещение доступа (запрещение доступа пользователям к АРМ/роли).

− Запуск АРМ (какие АРМы запускались).

− Снятие подписи с документа.

Данные журналов могут быть представлены в отсортированном или отфильтрованном по любому параметру виде. Допускается задание временного промежутка. По каждому журналу может быть сформирован и напечатан соответствующий отчет. [5]


Защищаемая информация в лечебном учреждении

Основным информационным ресурсом, нуждающимся в защите, является конфиденциальная информация о пациенте. В России взаимоотношения врача и пациента регулируются Основами законодательства Российской Федерации «Об охране здоровья граждан» и понятие врачебной тайны там так же присутствует. В частности, в статье 61 указано, что «информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну». Это означает, что без согласия пациента или его законного представителя (родителей, опекунов для подростков до 15 лет) не может разглашаться никакая информация, полученная врачами об этом человеке. И не важно, для чего эти сведения планируется использовать – для проведения исследований, публикаций в научной литературе, в учебном процессе медицинского ВУЗа или съемок теленовостей в больнице – эта информация конфиденциальна. [8]

Закон «О персональных данных» ФЗ №152 был принят Государственной думой и одобрен Советом Федерации. Документ обеспечивает защиту прав граждан на неприкосновенность частной жизни при сборе и обработке персональных данных. Также цель документа — создание правовых гарантий защиты конституционных прав человека и гражданина при обработке его персональных данных.

Под персональными данными подразумевается любая информация, относящаяся к физическому лицу, включая его фамилию, имя, отчество, год и место рождения, адрес места жительства, сведения о семейном, социальном, имущественном, служебном положении, образовании, профессии, доходах и др.

С письменного согласия субъекта персональных данных в общедоступные источники персональных данных — справочники, телефонные и адресные книги — может включаться его фамилия, имя, отчество, место жительство, номер телефона и сведения о профессии. При этом такие сведения могут быть исключены из общедоступных источников по требованию субъекта персональных данных.

Согласно закону, оператор вправе получать от субъекта персональных данных только те данные, которые необходимы для достижения цели их обработки и только при согласии самого субъекта персональных данных. При этом оператор должен обеспечить конфиденциальность полученной информации.

В соответствии с данным документом не допускается обработка специальных категорий персональных данных, касающихся, национальной и расовой принадлежности, политических и религиозных взглядов, состояния здоровья, интимной жизни.

Обработка этих данных допускается в случаях, если:

- персональные данные являются общедоступными;

- в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- для статистических или научных целей при условии обязательного обезличивания персональных данных;

- в медико-профилактических целях, в целях установления медицинского диагноза, при условии, что обработка этих данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Защита «персональных данных» осуществляется с помощью гражданско-правовых и уголовно-правовых средств, в административном и уголовном процессах.

При публикации в научных и иных целях данных о пациентах или выписок из истории болезни все данные о пациенте должны быть, в обязательном порядке, обезличены. [11]

Любая частная клиника, вне зависимости от объемов и направления работы – коммерческое предприятие. Как уже говорилось ранее, рынок медицинских услуг – высококонкурентная бизнес-среда. Борьба за пациента обуславливает интерес к перспективным направлениям, маркетинговым инициативам, планам работы, разрабатываемым конкурирующими компаниями. Конкуренты всегда проявляли и будут проявлять интерес к происходящему внутри коллектива соперников, к уровню доходов ведущих специалистов, качеству социального пакета и прочим моментам, характеризующим деятельность клиники. [8]


Законы о защите информации

Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 года N 5487-1

• Статья 61. Врачебная тайна
  

Федеральный закон от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации"

• Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации
  
• Статья 4. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации
  
• Статья 5. Информация как объект правовых отношений
  
• Статья 6. Обладатель информации
  
• Статья 7. Общедоступная информация
  
• Статья 8. Право на доступ к информации
  
• Статья 9. Ограничение доступа к информации
  
• Статья 10. Распространение информации или предоставление информации
  
• Статья 11. Документирование информации
  
• Статья 13. Информационные системы
  
• Статья 16. Защита информации
  
• Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
  

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ"(УК РФ) от 13.06.1996 N 63-ФЗ

• Статья 137. Нарушение неприкосновенности частной жизни
  
• Статья 272. Неправомерный доступ к компьютерной информации
  
• Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
  
• Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
  
• Статья 283. Разглашение государственной тайны
  
• Статья 275. Государственная измена
  
• Статья 276. Шпионаж
  

Заключение

В данной курсовой работе, мы ставили задачи изучить проблемы безопасности информационных систем. Мы рассмотрели наиболее вероятные угрозы и обще меры ликвидации их. Изучили законы Российской Федерации контролирующие информационную безопасность.

На примере медицинского учреждения мы рассмотрели реально возможные ситуации по краже информации, изучили уязвимые места информационных систем, предложили общие методы их решения.


Список литературы

1. ссылка скрыта – Свободная энциклопедия
   
2. ссылка скрыта – Информационная безопасность: Учебное пособие.pdf
   
3. ссылка скрыта – Концепция информационной безопасности
   
4. ссылка скрыта - Проблемы информационной безопасности в медицинских информационных системах
   
5. ссылка скрыта - Особенности решения проблем информационной безопасности в медицинских информационных системах
   
6. ссылка скрыта - Формирование политики обеспечения безопасности лечебного учреждения
   
7. tiev.ru/index.php?id=94#5 – Информационная безопасность в работе медицинского учреждения
   
8. ссылка скрыта - Информационная безопасность медицинских учреждений
   
9. anlaw.net/law/acts/z38.php"> – Федеральный закон «Об обеспечении информационной безопасности»
   
10. ссылка скрыта - Уголовный Кодекс Российской Федерации
    
11. ссылка скрыта – о защите персональных данных