ФГБОУ ВО «Саратовский государственный медицинский университет имени В.И. Разумовского»

Институт общественного здоровья, здравоохранения и гуманитарных проблем медицины

Высшая школа сестринского образования
Направление подготовки: магистратура «Управление сестринской деятельностью»

Группа №1

Магистрант: Мариенко Наталья Викторовна

Дисциплина: Информационные технологии

Практическое занятие Ведение информации о пациентах. Формирование государственной статистической отчетности стационаров на основе базы данных по пролеченным.
1.Угрозы ИБ: основные понятия. Виды и классификация угроз.
Угроза информационной безопасности КС  это потенциально возможное событие, действие, процесс или явление, которое может оказать нежелательное воздействие на систему и информацию, которая в ней хранится и обрабатывается .

Такие угрозы, воздействуя на информацию через компоненты КС, могут привести к уничтожению, искажению, копированию, несанкционированному распространению информации, к ограничению или блокированию доступа к ней.
В настоящее время известен достаточно обширный перечень угроз, который классифицируют по нескольким признака.

По природе возникновения различают:

-- естественные угрозы, вызванные воздействиями на КС объективных физических процессов или стихийных природных явлений;

-- искусственные угрозы безопасности, вызванные деятельностью человека.

По степени преднамеренности проявления различают случайные и преднамеренные угрозы безопасности.

По непосредственному источнику угроз. Источниками угроз могут быть:

-- природная среда, например, стихийные бедствия;

-- человек, например, разглашение конфиденциальных данных;

-- санкционированные программно-аппаратные средства, например, отказ в работе операционной системы;

-- несанкционированные программно-аппаратные средства, например, заражение компьютера вирусами.

По положению источника угроз. Источник угроз может быть расположен:

-- вне контролируемой зоны КС, например, перехват данных, передаваемых по каналам связи;

-- в пределах контролируемой зоны КС, например, хищение распечаток, носителей информации;

---

-- непосредственно в КС, например, некорректное использование ресурсов.

По степени воздействия на КС различают:

-- пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании КС (угроза копирования данных);

-- активные угрозы, которые при воздействии вносят изменения в структуру и содержание КС (внедрение аппаратных и программных спецвложений).

По этапам доступа пользователей или программ к ресурсам КС:

-- угрозы, которые могут проявляться на этапе доступа к ресурсам КС;

-- угрозы, проявляющиеся после разрешения доступа (несанкционированное использование ресурсов).

По текущему месту расположения информации в КС:

-- угроза доступа к информации на внешних запоминающих устройствах (ЗУ), например, копирование данных с жесткого диска;

-- угроза доступа к информации в оперативной памяти (несанкционированное обращение к памяти);

-- угроза доступа к информации, циркулирующей в линиях связи (путем незаконного подключения).

По способу доступа к ресурсам КС:

-- угрозы, использующие прямой стандартный путь доступа к ресурсам с помощью незаконно полученных паролей или путем несанкционированного использования терминалов законных пользователей;

-- угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в обход существующих средств защиты.

По степени зависимости от активности КС различают:

-- угрозы, проявляющиеся независимо от активности КС (хищение носителей информации);

-- угрозы, проявляющиеся только в процессе обработки данных (распространение вирусов).
2.Основные угрозы целостности, конфиденциальности, доступности. Примеры.

Основные типы угроз информационной безопасности:

Угрозы конфиденциальности — несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).

Угрозы целостности — несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).

Пример.

Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов)

Ошибки при переконфигурировании

Отказ ПО

Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК)Нежелание обучаться работе с информационными системами

---

Отсутствие у сотрудника необходимой подготовки

Отсутствие техподдержки, что приводит к сложностям с работой
3.Виды мер обеспечения ИБ.

Виды мер обеспечения информационной безопасности: законодательные, морально-этические, организационные, технические, программно-математические

К правовым (законодательным)мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

К морально-этическиммерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

Организационныемеры зашиты - это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности. К таким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предприятием средств безопасности. Представители администрации, которые несут ответственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.

---

К техническимсредствамзащитыотносятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т.д.

Программно-математическиесредстваинформационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную защиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сет и, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

4.Разграничение прав пользователей в ОС Windows.

• 
  профиль пользователя
  
• 
  действия администратора
  
• 
  ограничения
  
• 
  проблемы
  
• 
  хранение ограничений
  

5.Защита ПК от несанкционированного доступа. Защита от несанкционированной загрузки ОС.
Осуществляется на уровне BIOS Setup. Структура:

Standard

Advanced

…

Set User Password

Set Supervisor Password

Установить пароль на загрузку ОС: Standard\Password := System, max длина пароля – 8 символов.

+: простота и надежность

–: 1 пароль для всех пользователей, невозможность восстановления пароля, существование технических паролей

Обезопаситься от загрузки с несанкционированного носителя.

Установить Supervisor password; если установлен, то по паролю пользователя нельзя изменить настройки.

Защита от прерывания обычного хода загрузки: msdos.sys – [Options] BootKeys = 0
6.Идентификация и аутентификация: понятия, задачи. Аутентификация пользователей на основе паролей.
Идентификация —

---

 это процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется в первую очередь, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация — процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу.

7.Разграничение доступа: понятие, методы.

Под доступом к информации понимают ознакомление с информацией и ее обработку (копирование, хранение, уничтожение и т.д.).
Разграничение доступа – организация и осуществления доступа субъектов к объектам доступа в строгом соответствии с порядком, установленным политикой безопасности предприятия.
Доступ к информации, не нарушающей правила разграничения доступа называется санкционированным. Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС называется несанкционированным.

Дискреционное, мандатное и ролевое разграничение доступа к объектам
8.Компьютерный вирус: понятие, пути проникновения. Классификация компьютерных вирусов

Компью́терный ви́рус — вид вредоносных программ, способных внедряться в код других программ, системные области памяти, загрузочные секторы и распространять свои копии по разнообразным каналам связи.

Основная цель вируса — его распространение. Кроме того, часто его сопутствующей функцией является нарушение работы программно-аппаратных комплексов — удаление файлов, удаление операционной системы, приведение в негодность структур размещения данных, нарушение работоспособности сетевых структур, кража личных данных, вымогательство, блокирование работы пользователей и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с 

---

Смотрите также файлы

• 1. Принцип действия электростатического фильтра 3.docx

• Бекітемін мектеп диреторны міндетін атарушы.docx

• .doc

• Дескриптор Баа.docx

• Тест Правление князя Владимира ио 6.docx