ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 354
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
, обладающих доступом к информации. В таблице 2 представлены данные группы и действия, осуществляемые пользователями в отношении конфиденциальной информации.
Таблица 2 – Матрица доступа сотрудников к персональным данным
Согласно данным из таблицы 2, доступ к защищаемой информации имеют обе группы санкционированных пользователей ИС.
В ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» осуществляется ряд процессов, ключевые из которых представлены ниже. На рисунке 5 представлен процесс записи на прием пациента в ИС ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер».
Рисунок 5 - Диаграмма процесса «Запись на прием»
На диаграмме видно, что весь процесс записи осуществляется в ИС от момента обращения до завершения процесса записи. Информация о пациентах обновляется автоматически. Контекстная модель данного бизнес- процесса представлена на рисунке 6.
Рисунок 6 – Контекстная диаграмма ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер»
Обработка представлена с точки зрения администратора в регистратуре диспансера. Цель заключается в анализе деятельности регистратуры диспансера по учету пациентов.
На рисунке 7 представлен процесс обследования пациента. ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» является юридическим лицом, осуществляет свою деятельность в соответствии с действующим законодательством РФ. Для обеспечения трудовой и финансовой деятельности, а также в целях защиты информации в учреждении используется нормативно-правовая база, основанная на законодательстве РФ.
Рисунок 7 – Диаграмма процесса «Обследование»
На диаграмме также видно, что процесс записи осуществляется путем обработки информации в ИС. Контекстная модель бизнес-процесса представлена на рисунке 8.
Рисунок 8 – Контекстная диаграмма бизнес-процесса
«Обследование пациента
Действия администратора [4]:
Диаграмма вариантов использования представлена на рисунке 9.
Рисунок 9 – Действия сотрудника диспансера
В ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» осуществляется ряд мер по защите информации, циркулирующей в информационной инфраструктуре. Сотрудник, регистрирующий обращение пациента, может вносить операции регистрации пациента, данные о заболеваниях, формировать необходимое лечение, амбулаторную карту.
Угрозы безопасности на объекте реализует потенциальный нарушитель. Нарушитель – это лицо, умышленно или неумышленно предпринявшее попытку реализации угрозы информационной безопасности, независимо от предпосылок и используемых методов и средств. Нарушитель может быть, как внутренний, так и внешний [5].
Нарушителей в зависимости от способа, полномочий доступа к подсистемам ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» и уровня квалификации можно подразделить на шесть различных категорий [20]:
Внешние нарушители в зависимости от способа, полномочий доступа к подсистемам ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», уровня квалификации и мотивов нарушений подразделяются на пять категорий [21]:
Одной из причин осуществления несанкционированного доступа к информации, системам или программному обеспечению является отсутствие или некорректность политики контроля доступа [6].
В общем виде, потенциальные источники угроз ИТ-инфраструктуры
ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» можно классифицировать следующим образом (рисунок 10).
Рисунок 10 - Источники угроз информационной безопасности ИС
Также среди угроз с использованием ИС ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер» и протоколов межсетевого взаимодействия в можно выделить следующие [24]:
Таким образом, если свести все потенциальные угрозы безопасности ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», можно получить следующую таблицу (Приложение А). Для каждого вида угроз в таблице указывается источник возникновения данной угрозы в соответствии с классификацией модели нарушителей [25]. Виды угроз в разделах и категории нарушителей в пунктах расположены в порядке значимости.
Важно понимать, что защита информации в ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер» является обязанностью каждого сотрудника не зависимо от занимаемой должности. Учитывая, зачастую, низкий уровень квалификации сотрудников, руководству ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» крайне важно организовать грамотное обучение всех работников, включающее в себя, в том числе, курсы информационной безопасности.
Таблица 2 – Матрица доступа сотрудников к персональным данным
Группа | Уровень доступа к информации | Разрешенные действия |
Пользователь ИС (Руководитель, заместитель руководителя, сотрудники) | Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к информации. | Сбор, запись, систематизация, накопление, хранение, использование, передача, удаление, уничтожение. |
Администраторы ИС (системный администратор, разработчик ПО) | Обладает полной информацией об ИС. Обладает правами добавления, изменения, удаления учетных записей пациентов. | Настройка, администрирование элементов и ПО. Администрирование учетных записей пользователей. Сбор, запись, систематизация, накопление, хранение, использование, передача, удаление информации |
Согласно данным из таблицы 2, доступ к защищаемой информации имеют обе группы санкционированных пользователей ИС.
- 1 2 3 4 5 6 7 8 9 ... 15
Бизнес-процессы учреждения
В ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» осуществляется ряд процессов, ключевые из которых представлены ниже. На рисунке 5 представлен процесс записи на прием пациента в ИС ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер».
Рисунок 5 - Диаграмма процесса «Запись на прием»
На диаграмме видно, что весь процесс записи осуществляется в ИС от момента обращения до завершения процесса записи. Информация о пациентах обновляется автоматически. Контекстная модель данного бизнес- процесса представлена на рисунке 6.
Рисунок 6 – Контекстная диаграмма ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер»
Обработка представлена с точки зрения администратора в регистратуре диспансера. Цель заключается в анализе деятельности регистратуры диспансера по учету пациентов.
На рисунке 7 представлен процесс обследования пациента. ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» является юридическим лицом, осуществляет свою деятельность в соответствии с действующим законодательством РФ. Для обеспечения трудовой и финансовой деятельности, а также в целях защиты информации в учреждении используется нормативно-правовая база, основанная на законодательстве РФ.
Рисунок 7 – Диаграмма процесса «Обследование»
На диаграмме также видно, что процесс записи осуществляется путем обработки информации в ИС. Контекстная модель бизнес-процесса представлена на рисунке 8.
Рисунок 8 – Контекстная диаграмма бизнес-процесса
«Обследование пациента
Действия администратора [4]:
-
зарегистрироваться в системе, -
войти в систему, -
получить информацию, -
использовать функции системы.
Диаграмма вариантов использования представлена на рисунке 9.
Рисунок 9 – Действия сотрудника диспансера
В ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» осуществляется ряд мер по защите информации, циркулирующей в информационной инфраструктуре. Сотрудник, регистрирующий обращение пациента, может вносить операции регистрации пациента, данные о заболеваниях, формировать необходимое лечение, амбулаторную карту.
- 1 2 3 4 5 6 7 8 9 ... 15
Анализ угроз безопасности объекта защиты
-
Актуальные угрозы безопасности
Угрозы безопасности на объекте реализует потенциальный нарушитель. Нарушитель – это лицо, умышленно или неумышленно предпринявшее попытку реализации угрозы информационной безопасности, независимо от предпосылок и используемых методов и средств. Нарушитель может быть, как внутренний, так и внешний [5].
Нарушителей в зависимости от способа, полномочий доступа к подсистемам ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» и уровня квалификации можно подразделить на шесть различных категорий [20]:
-
обслуживающий персонал, -
пользователи ИС, -
удаленные пользователи ИС, -
администраторы, -
технический персонал.
Внешние нарушители в зависимости от способа, полномочий доступа к подсистемам ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», уровня квалификации и мотивов нарушений подразделяются на пять категорий [21]:
-
временные пользователи ИС, -
партнёры, -
посетители, -
разработчики ПО, -
внешние злоумышленники.
Одной из причин осуществления несанкционированного доступа к информации, системам или программному обеспечению является отсутствие или некорректность политики контроля доступа [6].
В общем виде, потенциальные источники угроз ИТ-инфраструктуры
ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» можно классифицировать следующим образом (рисунок 10).
Рисунок 10 - Источники угроз информационной безопасности ИС
Также среди угроз с использованием ИС ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер» и протоколов межсетевого взаимодействия в можно выделить следующие [24]:
-
анализ сетевого трафика, -
сканирование сети, -
угроза выявления пароля, -
подмена доверенного объекта сети, -
внедрение ложного объекта сети [7], -
отказ в обслуживании, -
удаленный запуск приложений.
Таким образом, если свести все потенциальные угрозы безопасности ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», можно получить следующую таблицу (Приложение А). Для каждого вида угроз в таблице указывается источник возникновения данной угрозы в соответствии с классификацией модели нарушителей [25]. Виды угроз в разделах и категории нарушителей в пунктах расположены в порядке значимости.
Важно понимать, что защита информации в ГБУЗ ЯНАО
«Новоуренгойский психоневрологический диспансер» является обязанностью каждого сотрудника не зависимо от занимаемой должности. Учитывая, зачастую, низкий уровень квалификации сотрудников, руководству ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» крайне важно организовать грамотное обучение всех работников, включающее в себя, в том числе, курсы информационной безопасности.
- 1 2 3 4 5 6 7 8 9 ... 15