6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с

Основы информационной безопасности. Часть 1: Виды угроз

6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с

Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?

«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.

Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.

Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов. Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет. В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.

Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Рассмотрим ниже классификацию видов угроз по различным критериям:

  1. Угроза непосредственно информационной безопасности:
    • Доступность
    • Целостность
    • Конфиденциальность
  2. Компоненты на которые угрозы нацелены:
    • Данные
    • Программы
    • Аппаратура
    • Поддерживающая инфраструктура
  3. По способу осуществления:
    • Случайные или преднамеренные
    • Природного или техногенного характера
  4. По расположению источника угрозы бывают:

Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача. На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь. Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей. Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.

  1. Внутренний отказ информационной системы;
  2. Отказ поддерживающей инфраструктуры.

Основными источниками внутренних отказов являются:

  • Нарушение (случайное или умышленное) от установленных правил эксплуатации
  • Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
  • Ошибки при (пере)конфигурировании системы
  • Вредоносное программное обеспечение
  • Отказы программного и аппаратного обеспечения
  • Разрушение данных
  • Разрушение или повреждение аппаратуры

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

  • Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
  • Разрушение или повреждение помещений;
  • Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Можно разделить на угрозы статической целостности и угрозы динамической целостности. Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты. С целью нарушения статической целостности злоумышленник может:

  • Ввести неверные данные
  • Изменить данные

Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений. Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов. Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. Рис. 1. Классификация видов угроз информационной безопасности Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме. Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:

  1. Что защищать?
  2. От кого защищать, какие виды угроз являются превалирующими: внешние или внутренние?
  3. Как защищать, какими методами и средствами?

Принимая все выше сказанное во внимание, Вы можете наиболее полно оценить актуальность, возможность и критичность угроз. Оценив всю необходимую информацию и взвесив все «за» и «против». Вы сможете подобрать наиболее эффективные и оптимальные методы и средства защиты.

Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».

Источник: https://habr.com/post/343110/

Уроки 6 – 8Информационная безопасность

6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с

| Информатика и информационно-коммуникационные технологии | Планирование уроков и материалы к урокам | 11 классы | Планирование уроков на учебный год | Информационная безопасность

Изучив эту тему, вы узнаете: – каковы основные цели и задачи информационной безопасности; – что такое информационные угрозы и как они проявляются; – что является источником информационных угроз; – какие существуют методы защиты информации от информационных угроз.

Основные цели и задачи информационной безопасности

На протяжении всей истории развития цивилизации достоверная и полная информация всегда являлась востребованным и дорогостоящим товаром. Для современного общества характерен возрастающий по экспоненциальному закону объем информации, которую человек должен воспринимать и перерабатывать в процессе своей деятельности.

Как защитить информацию и дать возможность использовать ее по назначению и вовремя? Решение этого вопроса было и до сих пор остается одной из самых актуальных задач.

Масштабное развитие процесса информатизации еще в большей степени усугубило эту проблему, так как приходится учитывать не только условия традиционной среды обитания человека, но и среду, которая появилась благодаря широкому внедрению компьютерных систем в различные сферы его деятельности.

Процесс информатизации неизбежно приводит к интеграции этих сред, поэтому проблему защиты информации необходимо решать, учитывая всю совокупность условий циркуляции информации, создания и использования информационных ресурсов в этой новой объединенной среде, которая получила название «информационная среда».

Информационная среда — это совокупность условий, средств и методов на базе компьютерных систем, предназначенных для создания и использования информационных ресурсов.

Совокупность факторов, представляющих опасность для функционирования информационной среды, называют информационными угрозами. Конкретными результатами воздействия этих угроз могут быть: исчезновение информации, модификация информации, ознакомление с информацией посторонних лиц и т. п.

Противоправные воздействия на информационную среду могут наносить ущерб интересам человека и общества, поэтому одной из задач информатизации является обеспечение информационной безопасности. Должна быть обеспечена защита информационной среды от информационных угроз, то есть не только защита информации, но и информационная безопасность самого человека и всего общества.

Информационная безопасность — совокупность мер по защите информационной среды общества и человека.

Основными целями обеспечения информационной безопасности общества являются: ♦ защита национальных интересов; ♦ обеспечение человека и общества достоверной и полной информацией;

♦ правовая защита человека и общества при получении, распространении и использовании информации. 

К объектам, которым следует обеспечить информационную безопасность, относятся: ♦ информационные ресурсы; ♦ система создания, распространения и использования информационных ресурсов; ♦ информационная инфраструктура общества (информационные коммуникации, сети связи, центры анализа и обработки данных, системы и средства защиты информации); ♦ средства массовой информации; ♦ права человека и государства на получение, распространение и использование информации; ♦ защита интеллектуальной собственности и конфиденциальной информации.

Информационные угрозы

Источниками информационных угроз для человека и общества могут быть внешние и внутренние факторы (рис. 1.1).

Рис. 1.1. Источники основных информационных угроз для России

К источникам основных внешних угроз для России относятся: ♦ политика стран, противодействующая доступу к мировым достижениям в области информационных технологий; ♦ «информационная война», нарушающая функционирование информационной среды в стране;

♦ преступная деятельность, направленная против национальных интересов.

К источникам основных внутренних угроз для России относятся: ♦ отставание от ведущих стран мира по уровню информатизации; ♦ технологическое отставание электронной промышленности в области производства информационной и телекоммуникационной техники;

♦ снижение уровня образованности граждан, препятствующее работе в информационной среде.

Информационные угрозы безопасности информации можно разделить на преднамеренные (несанкционированный доступ) и случайные (рис. 1.2).

Рис. 1.2. Основные виды информационных угроз

Преднамеренные угрозы часто называют несанкционированным доступом, атакой, нападением. Эти угрозы связаны с действиями человека, причинами которых могут быть: самоутверждение своих способностей (хакеры), недовольство своей жизненной ситуацией, материальный интерес, развлечение и т. п.

Перечень преднамеренных воздействий на информацию может быть весьма разнообразен и определяется возможностями и фантазией тех, кто собирается их осуществить.

Приведем некоторые возможные преднамеренные угрозы, являюиеся типичными для компьютерных систем: ♦ хищение информации: несанкционированный доступ к документам и файлам (просмотр и копирование данных), хищение компьютеров и носителей информации, уничтожение информации; ♦ распространение компьютерных вирусов;

♦ физическое воздействие на аппаратуру: внесение изменений в аппаратуру, подключение к каналам связи, порча или уничтожение носителей, преднамеренное воздействие магнитным полем.

Преднамеренные угрозы в компьютерных системах могут осуществляться через каналы доступа к информации: ♦ компьютерное рабочее место служащего; ♦ компьютерное рабочее место администратора компьютерной системы; ♦ внешние носители информации (диски, ленты, бумажные носители);

♦ внешние каналы связи.

Наиболее серьезная угроза исходит от компьютерных вирусов. Каждый день появляется до 300 новых вирусов. Вирусы не признают государственных границ, распространяясь по всему миру за считанные часы.

Ущерб от компьютерных вирусов может быть разнообразным, начиная от посторонних надписей, возникающих на экране монитора, и заканчивая хищением и удалением информации, находящейся на зараженном компьютере.

Причем это могут быть как системные файлы операционной среды, так и офисные, бухгалтерские и другие документы, представляющие для пользователя определенную ценность. Финансовый ущерб от вирусов в 2003 году, по предварительным оценкам, достиг 12 миллиардов долларов.

Среди вредоносных программ особое место занимают «троянские кони», которые могут быть незаметно для владельца установлены и запущены на его компьютере. Различные варианты «троянских коней» делают возможным просмотр содержимого экрана, перехват вводимых с клавиатуры команд, кражу и изменение паролей и файлов и т. п.

Все чаще причиной информационных «диверсий» называют Интернет. Это связано с расширением спектра услуг и электронных сделок, осуществляемых через Интернет. Все чаще вместе с электронной почтой, бесплатными программами, компьютерными играми приходят и компьютерные вирусы. В 2003 году произошли две глобальные эпидемии, крупнейшие за всю историю Сети.

Примечательно, что причиной эпидемий стали не классические почтовые черви, а их сетевые модификации — черви, распространяющиеся в виде сетевых пакетов данных. Они стали лидерами в рейтинге вредоносных программ.

Доля «сетевых червей» в общей массе подобных программ, появившихся, например, в 2003 году, превышает 85 %, доля вирусов — 9,84 %, на троянские программы пришлось 4,87 %.

В последнее время среди распространенных компьютерных угроз стали фигурировать сетевые атаки. Атаки злоумышленников имеют целью выведение из строя определенных узлов компьютерной сети. Эти атаки получили название «отказ в обслуживании» («denial of service»).

Выведение из строя некоторых узлов сети даже на ограниченное время может привести к очень серьезным последствиям.

Например, отказ в обслуживании сервера платежной системы банка приведет к невозможности осуществления платежей и, как следствие, к большим прямым и косвенным финансовым потерям. 

Случайные угрозы проявляются в том, что информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным воздействиям. Случайные факторы, определяющие подобные воздействия, связаны как с непредвиденными ситуациями (форс-мажорные обстоятельства), так и с человеческим фактором (ошибками, халатностью, небрежностью при работе с информацией).

Так, например, в компьютерных системах причинами случайных воздействий могут быть: ♦ ошибки пользователя компьютера; ♦ ошибки профессиональных разработчиков информационных систем: алгоритмические, программные, структурные; ♦ отказы и сбои аппаратуры, в том числе помехи и искажения сигналов на линиях связи; ♦ форс-мажорные обстоятельства (авария, пожар, наводнение и другие так называемые воздействия непреодолимой силы).

Информационная безопасность для различных пользователей компьютерных систем

Решение проблемы защиты информации во многом определяется теми задачами, которые решает пользователь как специалист в конкретной области. Поясним это на примерах.

Определим несколько видов деятельности, например: ♦ решение прикладных задач, где отражается специфика деятельности конкретного пользователя-специалиста; ♦ решение управленческих задач, что характерно для любой компании; ♦ оказание информационных услуг в специализированной компании, например информационном центре, библиотеке и т. п.; ♦ коммерческая деятельность;

♦ банковская деятельность.

Представим эти области деятельности в виде пирамиды (рис. 1.3). Размер каждого сектора пирамиды отражает степень массовости потребления информации.

Он соответствует количеству заинтересованных лиц (потребителей информации), которым потребуется результат соответствующей информационной деятельности.

Уменьшение объема сектора по мере продвижения от основания пирамиды к вершине отражает снижение степени значимости информации для компании и всех заинтересованных лиц. Поясним это в процессе рассмотрения каждого из перечисленных видов деятельности.

Рис. 1.3. Значимость безопасности информации
для различных специалистов с позиции компании и заинтересованных лиц

При решении прикладных задач пользователь работает с личной информацией, иногда используя в качестве источника информации ресурсы Интернета. Перед таким пользователем, как правило, стоит задача сохранности его личной информации.

Информация, хранящаяся на его персональном компьютере, — это результат его интеллектуальной деятельности, возможно, многолетней, исследовательской или коллекционной.

Она имеет существенную степень важности непосредственно для данного пользователя.

При решении управленческих задач важную роль играют информационные системы, реализация которых немыслима без компьютерной базы. При помощи компьютеров осуществляется организационно-распорядительная деятельность, составляется и хранится информация по кадрам, ведется бухгалтерия.

Компьютеры в данном случае являются вспомогательным средством, облегчающим работу сотрудников. Для внешней деятельности также используются сетевые технологии, с помощью которых осуществляется обмен необходимой информацией.

При этом для обеспечения защиты информации в наиболее важных документах при пересылке пользуются дополнительно обычной почтой. Проблема потери или искажения информации часто касается отдельных сотрудников, что может повлиять на успешность их карьеры.

Таким образом, перед управленческими кадрами в такой компании стоит в основном задача обеспечения полноты управленческих документов.

Для компаний, занимающихся оказанием информационных услуг, например провайдеров интернет-услуг или операторов связи, наиважнейшей является задача обеспечения доступности и безотказной работы информационных систем.

От этого зависит рейтинг компании, доверие к ней абонентов.

Приходится вкладывать средства как в аппаратуру (для обеспечения бесперебойности и устойчивости связи), так и в системы резервного копирования и средства обнаружения атак, нарушающих доступность систем.

Для коммерческой деятельности компаний, работающих в условиях жесткой конкуренции, важнейшей является задача предотвращения утечки информации, сохранение ее конфиденциальности. Это связано с финансовыми рисками компаний в различных сделках. Здесь экономия средств, выделенных на обеспечение безопасности, может привести к большим потерям.

В банковской деятельности приходится решать задачи и сохранности, и конфиденциальности, и безопасности работы, но на первое место встает задача обеспечения целостности информации (например, чтобы было невозможно внести несанкционированные изменения в обрабатываемые платежные поручения). 

Методы защиты информации

При разработке методов защиты информации в информационной среде следует учесть следующие важные факторы и условия: ♦ расширение областей использования компьютеров и увеличение темпа роста компьютерного парка (то есть проблема защиты информации должна решаться на уровне технических средств); ♦ высокая степень концентрации информации в центрах ее обработки и, как следствие, появление централизованных баз данных, предназначенных для коллективного пользования; ♦ расширение доступа пользователя к мировым информационным ресурсам (современные системы обработки данных могут обслуживать неограниченное число абонентов, удаленных на сотни и тысячи километров);

♦ усложнение программного обеспечения вычислительного процесса на компьютере.

При таких режимах работы в памяти компьютера одновременно могут находиться программы и массивы данных различных пользователей, что делает актуальным сохранение информации от нежелательных воздействий, ее физическую защиту.

К традиционным методам защиты от преднамеренных информационных угроз относятся: ограничение доступа к информации, шифрование (криптография) информации, контроль доступа к аппаратуре, законодательные меры. Рассмотрим эти методы.

Ограничение доступа к информации осуществляется на двух уровнях: ♦ на уровне среды обитания человека, то есть путем создания искусственной преграды вокруг объекта защиты: выдачи допущенным лицам специальных пропусков, установки охранной сигнализации или системы видеонаблюдения; 

♦ на уровне защиты компьютерных систем, например, с помощью разделения информации, циркулирующей в компьютерной системе, на части и организации доступа к ней лиц в соответствии с их функциональными обязанностями. При защите на программном уровне каждый пользователь имеет пароль, позволяющий ему иметь доступ только к той информации, к которой он допущен.

Шифрование (криптография) информации заключается в преобразовании (кодировании) слов, букв, слогов, цифр с помощью специальных алгоритмов. Для ознакомления с шифрованной информацией нужен обратный процесс — декодирование. Шифрование обеспечивает существенное повышение безопасности передачи данных в сети, а также данных, хранящихся на удаленных устройствах.

Контроль доступа к аппаратуре означает, что вся аппаратура закрыта и в местах доступа к ней установлены датчики, которые срабатывают при вскрытии аппаратуры. Подобные меры позволяют избежать, например, подключения посторонних устройств, изменения режимов работы компьютерной системы, загрузки посторонних программ и т. п.

Законодательные меры заключаются в исполнении существующих в стране законов, постановлений, инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего персонала за утечку, потерю или модификацию доверенной им информации.

При выборе методов защиты информации для конкретной компьютерной сети необходим тщательный анализ всех возможных способов несанкционированного доступа к информации. По результатам анализа проводится планирование мер, обеспечивающих необходимую защиту, то есть осуществляется разработка политики безопасности.

Политика безопасности — это совокупность технических, программных и организационных мер, направленных на защиту информации в компьютерной сети.

Рассмотрим некоторые методы защиты компьютерных систем от преднамеренных информационных угроз, ориентируясь на схему, представленную на рис. 1.2.

Защита от хищения информации обычно осуществляется с помощью специальных программных средств. Несанкционированное копирование и распространение программ и ценной компьютерной информации является кражей интеллектуальной собственности.

Защищаемые программы подвергаются предварительной обработке, приводящей исполняемый код программы в состояние, препятствующее его выполнению на «чужих» компьютерах (шифрование файлов, вставка парольной защиты, проверка компьютера по его уникальным характеристикам и т. п.).

Другой пример защиты: для предотвращения несанкционированного доступа к информации в локальной сети вводят систему разграничения доступа как на аппаратном, так и на программном уровнях.

В качестве аппаратного средства разграничения доступа может использоваться электронный ключ, подключаемый, например, в разъем принтера.

Для защиты от компьютерных вирусов применяются «иммуностойкие» программные средства (программы-анализаторы), предусматривающие разграничение доступа, самоконтроль и самовосстановление. Антивирусные средства являются самыми распространенными средствами защиты информации.

В качестве физической защиты компьютерных систем используется специальная аппаратура, позволяющая выявить устройства промышленного шпионажа, исключить запись или ретрансляцию излучений компьютера, а также речевых и других несущих информацию сигналов. Это позволяет предотвратить утечку информативных электромагнитных сигналов за пределы охраняемой территории. Наиболее эффективным средством защиты информации в каналах связи является применение специальных протоколов и криптографии (шифрования).

Для защиты информации от случайных информационных угрозt например, в компьютерных системах, применяются средства повышения надежности аппаратуры: ♦ повышение надежности работы электронных и механических узлов и элементов; ♦ структурная избыточность — дублирование или утроение элементов, устройств, подсистем;

♦ функциональный контроль с диагностикой отказов, то есть обнаружение сбоев, неисправностей и программных ошибок и исключение их влияния на процесс обработки информации, а также указание места отказавшего элемента.

С каждым годом количество угроз информационной безопасности компьютерных систем и способов их peaлизации постоянно увеличивается.

Основными причинами здесь являются недостатки современных информационных технологий и постоянно возрастающая сложность аппаратной части.

На преодоление этих причин направлены усилия многочисленных разработчиков программных и аппаратных методов защиты информации в компьютерных системах.

Задания

1. Опишите информационную среду для перечисленных объектов и укажите для нее возможные информационные угрозы: а) школа; б) библиотека; в) ваша семья; г) супермаркет; д) кинотеатр;

е) любая другая среда на ваш выбор.

2. Используя Интернет, напишите реферат и сделайте доклад по методам и средствам защиты информации для некомпьютерной среды обитания человека.

3. Перечислите наиболее важные факторы и условия, которые следует учесть при разработке методов по защите информации в информационной среде. Проиллюстрируйте ваш ответ на конкретном примере информационной среды, предложенной в п. 1.

Контрольные вопросы

1. Что такое информационная среда?

2. Как проявляется информационная безопасность: а) человека; б) страны; в) компьютера;

г) локальной сети?

3. Каким объектам следует обеспечить информационную безопасность?

4. Что такое информационная угроза?

5. Какие внешние информационные угрозы следует учесть при разработке мер информационной безопасности в России?

6. Какие внутренние информационные угрозы следует учесть при разработке мер информационной безопасности в России?

7. Какие вы знаете преднамеренные информационные угрозы? Приведите примеры.

8. Какие вы знаете случайные информационные угрозы? Приведите примеры.

9. В чем состоит основная цель информационной безопасности при решении прикладных задач пользователя?

10. В чем состоит основная цель информационной безопасности при решении управленческих задач?

11. В чем состоит основная цель информационной безопасности компании, специализирующейся на оказании информационных услуг?

12. В чем состоит основная цель информационной безопасности в коммерческой деятельности?

13. В чем состоит основная цель информационной безопасности в банковской деятельности?

14. Что такое политика безопасности?

15. Какие методы защиты информации от преднамеренных информационных угроз вы знаете?

16. Какие методы защиты информации от случайных информационных угроз вы знаете?

Источник: https://xn----7sbbfb7a7aej.xn--p1ai/informatika_11/informatika_materialy_zanytii_11_06.html

Информационная безопасность

6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с

  • Антивирусные программы — программы, которые борятся с компьютерными вирусами и возобновляют зараженные файлы.
  • Облачный антивирус (CloudAV) – одно из облачных решений информационной безопасности, что применяет легкое программное обеспечение агента на защищенном компьютере, выгружая большую часть анализа информации в инфраструктуру провайдера. CloudAV – это также решение для эффективного сканирования вирусов на приспособлениях с невысокой вычислительной мощностью для выполнения самих сканирований. Некоторые образцы облачных антивирусных программ – это Panda Cloud Antivirus, Crowdstrike, Cb Defense и Immunet.
  • DLP (Data Leak Prevention) решения – это защита от утечки информации. Предотвращение утечки данных (DLP) представляет собой набор технологий, направленных на предотвращение потери конфиденциальной информации, которая происходит на предприятиях по всему миру. Успешная реализация этой технологии требует значительной подготовки и тщательного технического обслуживания. Предприятия, желающие интегрировать и внедрять DLP, должны быть готовы к значительным усилиям, которые, если они будут выполнены правильно, могут значительно снизить риск для организации.
  • Криптографические системы – преобразование информации таким образом, что ее расшифровка становится возможной только с помощью определенных кодов или шифров (DES – Data Encryption Standard, AES – Advanced Encryption Standard). Криптография обеспечивает защиту информации и другими полезными приложениями, включая улучшенные методы проверки подлинности, дайджесты сообщений, цифровые подписи и зашифрованные сетевые коммуникации. Старые, менее безопасные приложения, например Telnet и протокол передачи файлов (FTP), медленно заменяются более безопасными приложениями, такими как Secure Shell (SSH), которые используют зашифрованные сетевые коммуникации. Беспроводная связь может быть зашифрована с использованием таких протоколов, как WPA/WPA2 или более старый (и менее безопасный) WEP. Проводные коммуникации (такие как ITU-T G.hn) защищены с использованием AES для шифрования и X.1035 для аутентификации и обмена ключами. Программные приложения, такие как GnuPG или PGP, могут применяться для шифрования информационных файлов и электронной почты.
  • Межсетевые экраны (брандмауэры или файрволы) – устройства контроля доступа в сеть, предназначенные для блокировки и фильтрации сетевого трафика. Брандмауэры обычно классифицируются как сетевые или хост-серверы. Сетевые брандмауэры на базе сети расположены на шлюзовых компьютерах LAN, WAN и интрасетях. Это либо программные устройства, работающие на аппаратных средствах общего назначения, либо аппаратные компьютерные устройства брандмауэра. Брандмауэры предлагают и другие функции для внутренней сети, которую они защищают, например, являются сервером DHCP или VPN для этой сети. Одним из лучших решений как для малых, так и для больших предприятий являются межсетевые экраны CheckPoint.
  • VPN (Virtual Private Network). Виртуальная частная сеть (VPN) дает возможность определить и использовать для передачи и получения информации частную сеть в рамках общедоступной сети. Таким образом, приложения, работающие по VPN, являются надежно защищенными. VPN дает возможность подключиться к внутренней сети на расстоянии. С помощью VPN можно создать общую сеть для территориально отдаленных друг от друга предприятий. Что касается отдельных пользователей сети – они также имеют свои преимущества использования VPN, так как могут защищать собственные действия с помощью VPN, а также избегать территориальные ограничения и использовать прокси-серверы, чтобы скрыть свое местоположение.
  • Proxy-server (Прокси-сервер) – это определенный компьютер или компьютерная программа, которая является связывающим звеном между двумя устройствам, например, такими как компьютер и другой сервер. Прокси-сервер можно установить на одном компьютере вместе с сервером брандмауэра, или же на другом сервере. Плюсы прокси-сервера в том, что его кэш может служить для всех пользователей. Интернет-сайты, которые являются наиболее часто запрашиваемыми, чаще всего находятся в кэше прокси, что несомненно удобно для пользователя. Фиксирование своих взаимодействий прокси-сервером служит полезной функцией для исправления неполадок.
  • Системы мониторинга и управления информационной безопасностью, SIEM. Чтобы выявлять и реагировать на возникающие угрозы информационной безопасности, используется решение SIEM, которое выполняет сбор и анализ событий из разных источников, таких как межсетевые экраны, антивирусы, IPS, оперативные системы и т.п. Благодаря системе SIEM у компаний появляется возможность централизованно хранить журналы событий и коррелировать их, определяя отклонения, потенциальные угрозы, сбои в работе ИТ-инфраструктуры, кибератаки и т.д.

Отдельное внимание стоит уделять управлению мобильными устройствами на предприятии, так как многие сотрудники часто используют личные смартфоны, планшеты и ноутбуки в корпоративных целях.

Внедрение специальных решений, таких как VMware AirWatch, IBM MaaS360, Blackberry Enterprise Mobility Suite, VMware Workspace One помогут лучше контролировать мобильные устройства сотрудников и защитить данные компании.

Источник: https://pirit.biz/reshenija/informacionnaja-bezopasnost

Система обеспечения безопасности пациентов в медицинских организациях

6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с

Несмотря на то, что за сотни лет существования медицинских организаций забота о больных является их основным лозунгом, до сих пор в России отсутствует эффективная система обеспечения безопасности медицинских услуг. Вопиющие факты гибели людей в условиях современных клиник, к сожалению, вызывают лишь всплески эмоций, которые со временем затухают в инертной консервативной фактически неуправляемой системе «здравоохранения».

Героизм отдельных врачей-профессионалов и потуги непрофессиональных руководителей уже давно не удовлетворяет современного потребителя. В условиях широкой демократизации российского общества нужна тотальная управляемая система высококачественной медицинской помощи.

Такая система может быть создана при условии соблюдения основных принципов управления и применения основных подходов к управлению безопасностью жизнедеятельности в медицинских организациях.

Основные принципы управления: поддержание постоянной готовности всех элементов системы к действиям в привычных и экстремальных условиях, непрерывность, надежность, твердость, контроль деятельности подчиненных и обеспечение их взаимодействия между собой и внешними системами (службами) ликвидации патогенной ситуации, плановость работы, своевременность отдачи распоряжений и проверки исполнения.

Основные подходы к управлению безопасностью: системный, технологический, творческий.

Системный подходв управлении безопасностью больницы заключается в заблаговременном формировании эффективной системы сил и средств. Составные элементы этой системы: распорядительные и нормативные документы, традиции и их активные и пассивные сторонники, материальные средства. Устойчивость системы достигается, прежде всего, независимостью от человеческого или технического фактора.

Технологический подход – предварительная научная разработка всех применяющихся технологических процессов, составление комплекта технологической документации, материальное оснащение, соответствующая подготовка персонала, систематический контроль его деятельности. Деятельность работников, направленная на обеспечение безопасности пациентов, должна быть отражена в приказах, положениях, инструкциях, памятках, справочных пособиях. Непременным условием успеха данного подхода является технологическая дисциплина.

Творческий подходк управлению безопасностью пациентов заключается в принятии нестандартных, а иногда даже необычных, но эффективных решений, обусловленных конкретной обстановкой.

Единственной рекомендацией по применению данного подхода является рекомендация свободного принятия решения без оглядки на начальство или общественное мнение.

Главное в этом подходе – положительный результат проведенных действий в нештатной экстремальной ситуации.

Функциональной основой системы безопасности жизнедеятельности медицинской организации являются конкретные действия конкретных исполнителей (работников). Разработанные, описанные, апробированные и внедренные в практику отечественного здравоохранения меры по охране здоровья могут и должны быть направлены на обеспечение безопасности пациентов.

Это:

– санитарно-топографические, архитектурно-планировочные, инженерно-технические и санитарно-технические мероприятия;

– правильная эксплуатация и своевременное техническое обслуживание зданий, сооружений, технологического оборудования и медицинской техники;

– действия по созданию и поддержанию особых режимов функционирования подразделений и запретных зон;

– систематическая рационализация штатного расписания, прием на работу и подготовка работников с учетом обеспечения безопасности пациентов;

– непрерывная организационно-методическая работа;

– производственный контроль.

С видами, методами и способами деятельности по обеспечению безопасности вы были ознакомлены на первой лекции, посвященной методологическим и правовым основам безопасности жизнедеятельности.

Это: создание приемлемых условий жизни человека и улучшение его здоровья, предупреждение и устранение патогенной ситуации, защита расстоянием, экраном, временем, коррекция среды обитания и организма человека, прогнозирование и индикация опасностей, оповещение об их возникновении.

Вы также знакомы с классификацией средств обеспечения безопасности человека по способам защиты от факторов окружающей среды, которая предполагает выделение средств индикации и обнаружения патогенных факторов, оповещения об опасности, эвакуации людей, экранирования, коррекции окружающей среды, повышения сопротивляемости организма воздействию внешних факторов.

Среди средств обеспечения безопасности пациентов могут быть выделены: организационно-распорядительные и методические документы, технические средства охраны и защиты, медицинские средства профилактики и защиты, технические средства сбора и передачи информации.

В обеспечении безопасности пациента с использованием перечисленных способов и средств должны участвовать все работники медицинской организации. Среди них особая организующая роль принадлежит администрации (руководителям учреждения и его структурных и функциональных подразделений, а также дежурным ответственным должностным лицам).

Главными обязанностями дежурного администратора медицинской организации следует считать:

– контроль соблюдения правил внутреннего распорядка дня, трудовой дисциплины, поведения пациентов и дежурного персонала;

– контроль работы технических систем жизнеобеспечения, противопожарной безопасности и санитарного состояния;

– доведение информации о происшествиях до руководства, а в чрезвычайной ситуации – до ответственных лиц вышестоящих органов;

– прием указаний и распоряжений вышестоящих органов управления и принятие неотложных мер по их выполнению;

– организация оперативных мероприятий по обеспечению установленного порядка и ликвидации последствий чрезвычайной ситуации.

Дежурному администратору необходимо предоставить право беспрепятственного входа в любое время во все служебные помещения, беспрепятственного изучения документов и получения объяснений должностных лиц, отдачи распоряжений по устранению выявленных недостатков, временного отстранения от работы должностных лиц, по своему физическому или психическому состоянию не способных продолжать выполнение функциональных обязанностей, обращения за помощью в вышестоящие органы управления при невозможности связи с непосредственным руководителем, внесения предложений по вопросам совершенствования организации лечебно-диагностического процесса и материально-технического обеспечения в интересах обеспечения безопасности.

В отсутствие руководителя организации дежурный администратор отвечает за поддержание внутреннего порядка и своевременность проведения аварийно-спасательных мероприятий. За сокрытие выявленных нарушений и непринятие своевременных мер по их устранению он несет дисциплинарную, а в случаях, предусмотренных законом – административную и уголовную ответственность.

Его рабочее место должно быть оснащено руководящими, нормативными и методическими документы, средствами связи, оповещения и технического контроля (например, в комплекте документов дежурного администратора больницы должны быть функциональные обязанности дежурного администратора, список членов штаба по делам ГО и ЧС, схемы оповещения руководства и других должностных лиц, списки необходимых телефонов, Инструкция ответственному дежурному врачу больницы по оповещению руководящего состава больницы сигналам оповещения ГО и СЭМП, таблица сигналов по ГО, таблица коечной емкости больницы, План эвакуации пациентов из отделений при ЧС, инструкции и памятки по проведению экстренной эвакуации больных и персонала стационара при угрозе или возникновении ЧС, при возникновении пожара, о поведении медицинских работников в экстремальных условиях криминального характера, о неотложных действиях при обнаружении взрывоопасных предметов, об оказании неотложной помощи при психических заболеваниях, о порядке информации о случае выявления больного (умершего), подозрительного на карантинное заболевание и контагиозные вирусные геморрагические лихорадки).

Внедрение данной технологии способствовало созданию достаточно эффективной системы, которая позволила обеспечить радиационную, пожарную, химическую, биологическую, психологическую безопасность пациентов больницы.

Обеспечению безопасности пациентов препятствуют несколько проблем, которые для краткости можно обозначить так: чистота рук медицинского персонала, стерилизация инструментов, предупреждение падения пациентов, безопасность фармакотерапии, общение с пациентами, взаимодействие персонала, обеспечение качества медицинских вмешательств, предупреждение ошибок при выборе места хирургических вмешательств, предупреждение возгораний, электрических, радиационных и иных опасных воздействий на пациента.

1. Проблема чистых рук медицинского персонала решается посредством применения одноразовых стерильных перчаток, выполнения правил личной гигиены рук и текущей обработки перчаток антисептическими растворами.

Несмотря на то, что российское санитарное законодательство требует от персонала соблюдения стерильности при манипуляциях со слизистыми оболочками и незащищенными тканями пациента, многие врачи-стоматологи во время лечения позволяют себе прикосновения с рукояткой и тумблером осветительной лампы, сиденьем стула и другими предметами.

Широко распространено явление, когда делая перерывы при трудоемкой работе по протезированию зубов, врачи выходят из кабинета покурить, а потом, не меняя перчаток и даже не обрабатывая их, вновь соприкасаются со слизистыми оболочками рта.

2. Врачи и медицинские сестры обязаны применять при лечении только стерильные инструменты. Инфицирование медицинских инструментов может происходить при контакте с тканями пациента, его кровью, слюной и другими жидкостями, перевязочным материалом и другими предметами. Загрязнение инструментов, хранящихся открыто, происходит за счет выпадения бактериального аэрозоля.

В настоящее время в медицинской практике широко применяют одноразовые стерильные инструменты и материалы. Инструмент, использующийся повторно, как правило, проходит многоуровневую очистку, обработку и стерилизацию.

Эти процессы должны находиться под постоянным контролем врача, отвечающего перед пациентом за его безопасность. Методики достижения и контроля стерильности инструментов будущие врачи осваивают при изучении эпидемиологии (дезинфектологии) и хирургических дисциплин.

Поддержание стерильности инструментов в течение рабочего дня достигается их правильным хранением и аккуратным использованием.

Решению проблемы биологической безопасности пациентов также способствуют установление санитарно-противоэпидемического режима медицинских помещений, тщательной и своевременной уборкой с применением дезинфицирующих препаратов и ультрафиолетового облучения, предварительные и периодические медицинские осмотры и обследования медицинского персонала.

3. Падения пациентовв клинике можно предотвратить, если:

– предварительно целенаправленно опросить пациента об имеющихся или имевшихся в прошлом нарушениях равновесия;

– наблюдать за его состоянием во время и по окончанию манипуляций;

– не только рекомендовать, но и помогать пациенту медленно вставать с готовностью поддержать его;

– сопровождать пациента не только до выхода из медицинского кабинета, но и, если потребуется, до кресла в холле, на котором он может отдохнуть и восстановиться для самостоятельного передвижения.

Следует помнить, что по статистическим данным у 30% стариков (особенно женщин) падения случаются, по крайней мере, раз в год. Каждое четвертое падение приводит к травме. 5% падений заканчиваются переломами и столько же – серьезными повреждениями внутренних органов. Падения занимают шестое место среди причин смерти пожилых людей.

4.

Для решения проблемы безопасной фармакотерапии врач должен иметь общие представления о лекарственных болезнях и противопоказаниях к применению целого ряда фармакологических препаратов, уметь правильно подбирать и применять средства для местного и общего обезболивания. Эффективность и безопасность хирургического лечения во многом зависит от безболезненности проводимых вмешательств.

Наиболее удобным и безопасным методом контроля над болью является местная анестезия, позволяющая снять боль без выключения сознания и сохранить возможность общения врача с пациентом.

В наших клиниках используются несколько видов анестетиков, которые позволяют проводить безболезненное лечение, при этом учитывая общее состояние здоровья каждого пациента.

Вместе с тем следует помнить, что анафилактический шок при введении лидокаина и даже широко распространенного новокаина часто приводит к смерти пациентов.

5.

Стоматологические и некоторые другие манипуляции выполняются в мощной рефлексогенной зоне, поэтому у пациентов, имеющих опыт лечения в условиях неадекватной анестезии, обычно появляется страх перед инструментальным вмешательством, что создает характерный эмоциональный настрой и определяет неадекватно усиленные, либо извращенные психические реакции, даже на слабые, подпороговые раздражители (например, в стоматологическом кабинете эмоциональное напряжение испытывают до 90% населения России, поэтому врачу-стоматологу особенно необходимо умело общаться с пациентами).

Одним из психотерапевтических приемов является беседа врача с пациентом во время выполнения медицинских манипуляций. Успокаивающим эффектом обладают комментарии выполняемых и предполагаемых действий врача, которые лучше проводить, получив разрешение пациента.

При наличии эндоскопической видеокамеры и экрана, на котором отображают происходящее в исследуемой полости, можно достичь высокого доверия к врачу даже у крайне недоверчивых пациентов.

Благоприятным психологическим эффектом обладает видеосъемка врачебных манипуляций (операций) и выдача видеоматериалов пациенту в качестве приложения к медицинскому документу.

Некоторые пациенты нуждаются в приеме успокоительных средств перед посещением врача.

6. В связи с усложнением технологии оказания медицинских услуг в лечебно-диагностическом процессе обычно принимают участие несколько человек.

Дефекты взаимодействия персонала нередко приводят к непростительным врачебным ошибкам и нанесению вреда пациенту.

В отечественной практической медицине, требуют неотложного решения проблемы искажения информации персонала при передаче дежурства, проблемы устных указаний и сокращений.

Первая проблема решается путем стандартизации процесса передачи дежурства, выделения специального времени и сведения к минимуму пауз во время передачи дежурства.

Вероятность ошибки существует при сообщении устных указаний и при их восприятии. Те, кто получает распоряжения, могут ослышаться, не понять или неверно истолковать его по следующим причинам:

– иное произношение, наличие акцента и (или) диалекта;

– шум или музыка, мешающие восприятию;

– приглушенный звук из-за хирургической маски (респиратора) или телефонных дефектов;

– незнакомая терминология;

– сходно звучащие названия препаратов;

– паузы в разговоре, рассеянное внимание.

Отдавая устные распоряжения, человек обычно считает, что адресат понял его смысл и содержание и верно его записал. Но даже если указание принято правильно, могут произойти ошибки при записи, когда устное сообщение вносится в медицинскую документацию или передается в аптеку.

Использование сокращений позволяет сэкономить силы и время (для удобства, но вопреки правилам оформления медицинских документов, они широко используются в медицинской практике).

Порой сокращения трудно прочитать и понять их смысл – этим можно нанести вред пациенту и даже привести его к смерти.

Рекомендации к решению этой проблемы сводятся к определению порядка пользования сокращениями и безусловному его исполнению.

7. Одним из условий обеспечения качества медицинской помощи является личная профессиональная подготовка врача. Одним их приемов снижения количества врачебных ошибок служит заблаговременное изучение заболеваний и осложнений, возникших после медицинской помощи, и освоение способов их предупреждения.

Одной из проблем обеспечения безопасности пациентов является предупреждение ошибок при выборе места хирургического вмешательства.

Она решается:

– детальным планированием операции пациента;

– тщательной предоперационной проверкой идентификации пациента, места проведения оперативного вмешательства и правильности выбора предполагаемой процедуры;

– правильной и надежной разметкой операционного поля;

– применением всеобщей предоперационной паузы в работе операционной бригады для проведения письменной регистрации идентификации пациента, точной локализации и стороны, согласия на проведение процедуры, правильности положения пациента, наличия необходимых имплантатов и специальных приспособлений, соблюдения особых требований и так далее;

– установкой камер видеонаблюдения и их использованием в контроле хода стоматологических и хирургических вмешательств.

8. Основной предпосылкой возгораний в операционных помещениях является повсеместное использование в современной хирургической практике огнеопасных жидкостей, газов и электрических устройств (оптико-волоконных аппаратов, электрокоагуляторов, лазеров и т.п.).

Поэтому персонал должен быть обучен элементарным правилам безопасности при работе с ними (например, нельзя допускать скопления кислорода и закиси азота в волосах, под простынями и салфетками, обкладывать простынями операционное поле до полного высыхания огнеопасных жидкостей, включать и выключать аппараты без предварительной проверки. Во время операций в полости рта необходимо контролировать возможную утечку кислорода, закиси азота и свести к минимуму попадание газа в ротоглотку. Для этого следует осуществлять раздельный отбор проб воздуха и увлажнение марли и тампонов).

9. Предупреждение опасных электрических воздействий на пациента достигается выполнением комплекса правил электробезопасности, в основе которого лежит поддержание медицинских установок и другой электрической аппаратуры в исправном состоянии.

Кроме этого, каждый врач-стоматолог должен быть аттестован на квалификационную группу по электробезопасности не ниже второй, т.е.:

– иметь элементарные технические знания о стоматологической установке и ее оборудовании, отчетливое представление опасности электрического тока и опасности приближения к токоведущим частям;

– знать основные меры предосторожности при работах с электроустановками;

– иметь практические навыки оказания первой помощи пострадавшим от электрического тока.

Перед началом работы необходимо проверять исправность оборудования, установок, аппаратов, приборов, проводов и штепсельных соединений, а также наличие заземляющих устройств. При обнаружении дефектов следует немедленно сообщить об этом руководителю подразделения (организации) и сделать соответствующую запись в журнале технического обслуживания.

При прекращении подачи электроэнергии, замыкании, обрыве в системах электропитания или при появлении запаха гари, врач должен отключить электрооборудование и вызвать электромонтера. Врачу запрещено самостоятельно устранять неисправности в электрооборудовании, так как это имеет право делать только специалист «Медтехники», осуществляющий обслуживание оборудования по договору.

Приказом по организации должно быть назначено должностное лицо, ответственное за эксплуатацию электрических сетей и установок.

10. Предупреждение опасных радиационных воздействий на пациента достигается безусловным выполнением правил радиационной безопасности и запретом на многократные рентгеновские исследования в течение небольшого промежутка времени.

11. В связи с тем, что при оказании хирургической и, особенно, стоматологической помощи на фоне сопутствующей соматической или психоневрологической патологии развиваются угрожающие жизни состояния, возникает потребность в оказании неотложной медицинской помощи.

В каждой медицинской организации, оказывающей медико-санитарную помощь населению в амбулаторных условиях, необходимо иметь алгоритмы действия персонала при угрожающих жизни состояниях пациента и набор медикаментов для оказания помощи в экстренной и неотложной форме.

Весь медицинский персонал должен быть обучен приемам диагностики и оказания неотложной медицинской помощи при острой сосудистой недостаточности (обморок, коллапс, шок), острой сердечной недостаточности (стенокардия, ишемическая болезнь сердца, сердечные аритмии), артериальной гипер- и гипотонии, астматическом компоненте и обтурационной асфиксии, гипо- и гипергликемической коме, судорожных состояниях, парантеральном введении агрессивных жидкостей, а также иметь навыки сердечно-легочной реанимации при остановке дыхания и кровообращения.

Не нашли то, что искали? Воспользуйтесь поиском:

Источник: https://studopedia.ru/1_96896_sistema-obespecheniya-bezopasnosti-patsientov-v-meditsinskih-organizatsiyah.html

«Факультет экологической медицины Кафедра радиационной гигиены и эпидемиологии Р. А. Дудинская МЕДИЦИНСКАЯ ИНФОРМАТИКА Минск УДК 61:002(075.8) ББК 58:73я73 Д81 Рекомендовано к изданию …»

6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с
Pages:     | 1 |   …   | 2 | 3 ||

— [ Страница 4 ] —

• рисунок сосудов за сетчаткой глаза. Рисунок сосудов за сетчаткой глаза (за ретиной) так же уникален, как и радужная оболочка глаза.

Этот метод построен на получении численной оценки, которая рассчитывается с помощью подсистемы идентификационной камеры по результатам сканирования ретины в инфракрасном свете. Преимущества этого способа определения такие же, как и у предыдущего.

Однако данный метод отличается большей сложностью в использовании, ограниченностью расстояния между инфракрасной камерой и глазом (например, не более 20 см) и существенно более высокой стоимостью аппаратуры;

• расположение вен на руке. Расположение вен на руке рассматривается на запястье, ладони и тыльной стороне кисти. Рисунок вен регистрируется в инфракрасном свете, и образцом для сравнения служит бинарное изображение, полученное по такому снимку;

• динамические характеристики почерка. Динамическими характеристиками почерка являются координаты движения конца пера в зависимости от времени, скорость пера, а также оказываемое им давление.

Эти координаты регистрируются в процессе выполнения подписи (или написания определенных слов) и обеспечивают значительное уменьшение числа ошибочных результатов при проверке подписей на документах по сравнению с получаемым при обычном статическом анализе начертания этих подписей.

Динамические характеристики невозможно получить исходя из уже выполненной подписи;

• особенности речи. На сравнении особенностей речи основаны самые естественные и экономичные методы аутентификации личности по биометрическим характеристикам.

Их простота достигается в результате широкого распространения телефонных сетей и развивающейся практики встраивания микрофонов в компьютеры, так что стоимость системы автоматической проверки по голосу иногда может состоять лишь из затрат на программу ее работы.

По самому простому методу проверки произносится заданный текст (по памяти или по подсказке автоматической системы), по более сложному — произвольный.

На качество работы системы могут повлиять: ошибки при произношении заданных фраз, эмоциональное состояние проверяемого, изменение положения микрофона во время проверки, применение разных микрофонов при записи образца и проверке и т. д.;

• динамика ударов по клавишам. Динамика ударов по клавишам так же уникальна для каждого отдельного лица, как и личная подпись, и проявляется во время работы на клавиатуре.

Для ее описания измеряются промежутки времени: либо между ударами при печатании символов, расположенных в определенной последовательности, либо между моментом удара по клавише и моментом отпускания ее при печатании каждого символа в этой последовательности. Последний способ более эффективен, но наилучший результат дают оба метода совместно.

При их использовании никакой дополнительной аппаратуры, кроме клавиатуры компьютера, не требуется. Однако эта технология совсем нова и пока не готова для применения в условиях высоких требований к безопасности.

Ряд биометрических характеристик, пригодных для идентификации личности, находится на стадии разработки, некоторые из них считаются пока недостаточно перспективными с точки зрения защиты компьютерной информации. К этому ряду относятся:

• структура кожи и эпителия на пальцах (ультразвуковой метод идентификации по отпечаткам пальцев);

• термограмма лица (инфракрасный метод идентификации);

• отпечатки ладоней;

• признаки походки;

• особенности запаха;

• форма уха;

• характеристики ДНК.

Возможность разрушения и/или уничтожения информации для незащищенных компьютеров является достаточно ощутимой угрозой. Для защищенных компьютеров подобные преднамеренные действия затруднительны, ошибки же самого пользователя не исключаются.

Наиболее надежным способом уменьшения тяжести последствий разрушения и/или уничтожения информации является хорошо организованная технология ведения постоянных архивов на съемных накопителях. Архивные данные должны позволять восстанавливать утраченную информацию с откатом не более чем на одни сутки.

Рациональнее делать копии и вести архивы при интенсивной работе на компьютере каждые 1 – 2 часа. Архивы, как правило, ведутся в двух экземплярах.

8.3. Безопасность медицинской информационной системы Вся информация, собираемая в течение жизни пациента, разделяется с точки зрения доступа к ней сотрудников медицинского учреждения. Этот процесс регламентируется специальным разделом медицины – деонтологией.

Медицинские информационные системы отличаются прежде всего тем, что в них хранится и обрабатывается информация, всесторонне определяющая социальный статус человека, а это обусловливает особую форму отношений между теми, кто ее формирует, и теми, кто использует.

Значит, наряду с повышенными требованиями к достоверности информации должны накладываться нравственные ограничения на доступ к ней, а также юридическая ответственность предоставляющих ее лиц.

Любой медицинский работник несет полную ответственность (моральную, административную и уголовную) за конфиденциальность информации, к которой он получает доступ в ходе своей профессиональной деятельности.

Детально остановимся на подсистеме безопасности ИС, которая должна включать в себя следующие функции:

• средства распределения прав доступа гарантируют возможность получения доступа только к той информации и программам, которые необходимы для выполнения функциональных обязанностей.

При этом во всех отношениях «пользователь – система – информация» роль координатора выполняет администратор системы, имеющий максимально возможные права доступа. Главное из них

– возможность предоставлять или ограничивать доступ всех остальных пользователей и других служащих к системе;

• средства протоколирования использования БД позволяют четко контролировать доступ к ресурсам ИС, попытки несанкционированных действий или превышение пользователями своих прав;

• средства шифрования БД и сетевого трафика позволяют гарантировать, что во время передачи информации по каналам связи в случае ее перехвата она не сможет быть прочитана «злоумышленником»;

• средства сокрытия кода приложений ИС гарантируют, что попытка чтения кода приложений ИС невозможна или крайне затруднена. Эта необходимость существует из соображений, что в случае анализа исходного кода могут быть обнаружены слабые места в системе безопасности, которыми злоумышленник сможет воспользоваться.

8.4. Распределение прав доступа Все современные БД позволяют в той или иной степени разделять права доступа пользователей к информации. Опишем принципиальную работу пользователя с точки зрения проверки прав доступа.

1. Началом работы является аутентификация. При этом используется учетная запись пользователя, которая образуется открытым именем пользователя и зашифрованным паролем. При выполнении процедуры аутентификации пользователь вводит свое имя и пароль, которые затем проверяются системой на правильность.

2. В случае выполнения первого шага для пользователя открывается сеанс связи с сервером. Все последующие действия выполняются от имени учетной записи, для которой он успешно ввел пароль.

3. При доступе к БД сервер проверяет, имеются ли у текущего пользователя права на ту информацию, которую он запрашивает. В случае положительного решения информация предоставляется пользователю. В случае отрицательного решения пользователю отказывается в доступе.

Итак, для каждого объекта медицинской информационной системы должен быть задан список, согласно которому сама ИС будет проверять, имеет ли данный пользователь право на доступ к этому объекту или нет. В литературе и на практике чаще всего такой список называется ACL (от английского Access Control List – список управления доступом).

Реакция на проверку наличия текущего пользователя в ACL может быть в виде:

• скрытого отказа, когда пользователь просто «не видит» тех объектов, к которым он не имеет права доступа. Такая реакция возможна у приложения, которое динамически строит свое меню в зависимости от прав пользователя;

• непротоколируемого отказа, когда пользователю, пытающемуся получить доступ к объекту, выводится сообщение о том, что ему в доступе отказано. Такой отказ системой никак не протоколируется;

• протоколируемого отказа, когда этот факт система протоколирует в специальном журнале;

• отказ с извещением. Пользователю в доступе отказывается, и система извещает администратора или другое доверенное лицо о факте такого отказа, например по электронной почте.

Вопросы к теме 8

1. Каковы, по вашему мнению, особенности защиты медицинской компьютерной информации?

2. Почему, по вашему мнению, информационная безопасность является составной частью национальной безопасности?

3. Объясните своими словами понятие «несанкционированный доступ».

4. По каким причинам может произойти НСД?

5. Каким образом можно идентифицировать пользователя компьютерной информации?

6. Назовите используемые биометрические характеристики для идентификации пользователя.

7. Назовите перспективные биометрические характеристики для идентификации пользователя.

8. Назовите некоторые функции, которые должна включать подсистема безопасности ИС.

9. Как вы понимаете распределение прав доступа к информации?

10. Опишите работу пользователя с точки зрения проверки прав доступа.

11. Как вы понимаете термин «ACL»?

12. Какие формы отказа на проверку наличия текущего пользователя в ACL вы знаете?

13. Какие меры, по Вашему мнению, должны быть приняты чтобы корректная информация, введенная в компьютер, оставалась корректной?

14. Объясните своими словами понятия архивирование, резервирование и репликация информации.

ЛИТЕРАТУРА

1. Гусев, А. В. Применение медицинской информационной системы в работе клинических лабораторий медицинского центра / А. В. Гусев, Ф. А. Романов, Т. А. Осиик // Медицинский академический журнал.

– 2001. – № 1. – C. 18.

2. Рузайкин, Г. И. Медицинские информационные системы, или МИС / Г. И. Рузайкин // Мир ПК. – 2001. – № 3. – C. 26–29.

3. Миронов, С. П. Медицинская информатика в начале нового тысячелетия / С. П. Миронов // Кремлевская медицина: клинический вестник. – 2000. – № 4. – С. 7–8.

4. Голубева, А. П. Информационные технологии в управлении лечебнопрофилактических учреждениях [Электронный ресурс] / А. П. Голубева – Режим доступа:

http://www.worldbank.org.ru/wbimo/medical/module1/index.html. – Загл.

с экрана.

5. Емелин, И. В. Стандарт электронного обмена медицинскими изображениями DICOM / И. В. Емелин // Компьютерные технологии в медицине. – 1996. – № 3. с. 56–59.

6. Волынский, Ю. Д. Телемедицина как медицинская и общественная проблема / Ю. Д. Волынский // Медицинская визуализация.– 1998. – № 4. – С. 36–42.

7. Киликовский, В. В. Компьютерные медицинские консультативные системы, основанные на представлении знаний эксперта в виде семантической сети / В. В. Киликовский, С. П. Олимпиева, Вл. В. Киликовский // Медицинский научный и учебно-методический журнал.

– 2001. – № 2. – С. 17-27.

8. Электронная история болезни НИИ нейрохирургии им. академика Н. Н. Бурденко РАМН: концепция, разработка, внедрение [Электронный ресурс]: доклад на конференции «Проблемы разработки и внедрения информационных систем в здравоохранении и

ОМС» (Красноярск, 19–21 декабря 2000) – Режим доступа:

http://www.mml.ru/. – Загл. с экрана.

9. Емельянов, А. В. Обеспечение безопасности территориальной сети Медицинского центра / А. В. Емельянов, И. А. Платонов // Кремлевская медицина. Клинический вестник. – 1998. – № 2. – С. 70.

10. NLM NATIONAL TELEMEDICINE INITIATIVE Summaries of awards announced Оctober 1996 [Электронный ресурс] / US National

Library of medicine. – 1996. – №3. – Р. 9. – Режим доступа:

http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

11. Khandheria, B. K. Telemedicine: An application in search of users [Электронный ресурс] / B. K. Khandheria // MayoClin. Proc. – 1996. – Vol. 71. – P. 420–421. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

12. Telemedicine: Fad or Future? Editorial [Электронный ресурс] / The

Lancet. – 1995. – Vol. 345, – № 89.– P. 42. – Режим доступа:

http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

13. Goldberg, M. A. Telemedicine an overview [Электронный ресурс] / M.A. Goldberg // Telemed. J. – 1995. – Vol. 1, – № 1. – P. 20–25. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл.

с экрана.

14. Bashshur, R. L. On the Definition and Evaluation of Telemedicine [Электронный ресурс] / R. L. Bashshur // Telemed. J. – 1995. – Vol. 1,

– № 1. – P. 34–38. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

15. Kim, D. Networking Requirement and the Role of Multimedia Systems in Telemedicine [Электронный ресурс] / D. Kim, J. Cabral, Y. Kim // Image Computing Systems Laboratory. – Univ. of Washington. – 1995. – 13 р. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

16. Aims and Scope [Электронный ресурс] // J. of Telemed. and Telecare – 1995. – Vol. 1, – № 1. – P. 1. – Режим доступа:

http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

17. Telemedicine Resourses and Services: American Telemedicine Association [Электронный ресурс] //The Univ. Of Texasat Austin. – 1994. – Р.

4. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

18. Perednia, D. Telemedicine technology and clinical application [Электронный ресурс] / D. Perednia, A. Allen // JAMA. – 1995. – Vol. 7, – № 66. – P. 483–48. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

19. Telematics Systems for Health Care: AIM–92. [Электронный ресурс] /

Luxemburg: Office for Official Publications of the European Communities. – 1992. – 213 p. – Режим доступа:

http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

20. Телемедицина. Новые информационные технологии на пороге XXI века [Электронный ресурс] / Под ред. Р. М. Юсупова, Р. И. Полонникова. – СПб. – 1998. – С. 487. – Режим доступа: http://dsmu.donetsk.ua/~telemed/opred.html. – Загл. с экрана.

21. Национальный реестр правовых актов Республики Беларусь. – 2001.

– № 69. – 1/2852.

1. ПРОГРАММА ИНФОРМАТИЗАЦИИ

ЗДРАВООХРАНЕНИЯ

1. 1. Цели, задачи, сроки и этапы реализации Программы

1.2. Развитие системы подготовки и переподготовки специалистов по ИКТ и квалифицированных пользователей

1.3. Информатизация системы здравоохранения

1.4. Цели и основные направления информатизации

1.5. Концепция информатизации здравоохранения

Вопросы к теме 1

2. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ЗДРАВООХРАНЕНИИ…10

2.1. История развития информационных систем (ИС)

2.2. Определение медицинских информационных систем. Задачи, решаемые МИС

Вопросы к теме 2

3. КЛАССИФИКАЦИЯ МЕДИЦИНСКИХ

ИНФОРМАЦИОННЫХ СИСТЕМ

3.1. МИС базового уровня

3.2. МИС уровня ЛПУ

3.3. МИС территориального уровня

Вопросы к теме 3

4. СТАНДАРТЫ МЕДИЦИНСКОЙ ИНФОРМАЦИИ

4.1. Необходимость принятия стандарта медицинской информации

4.2. Основные цели разработки стандарта

4.3. История разработки стандарта DICOM

Вопросы к теме 4

5. БАЗЫ ДАННЫХ (БД)

5.3. Основные понятия в структуре БД

5.4. Основные типы данных

5.5. Основные функции СУБД

Вопросы к теме 5

6. МЕДИЦИНСКИЕ ЭКСПЕРТНЫЕ СИСТЕМЫ (МЭС)

6.1. Определение ЭС.

Главное достоинство и назначение ЭС

6.2. Блок-схема экспертной системы

6. 3. Компоненты ЭС. База знаний

6.4. Классификация ЭС

6.5. Ограничения в применении экспертных систем

6.6. Преимущества ЭС перед человеком-экспертом

6.7. Ограничения в применении ЭС

Вопросы к теме 6

7. ТЕЛЕМЕДИЦИНА

8. ЗАЩИТА КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

8.1. Совершенствование системы информационной безопасности республики с учетом Концепции национальной безопасности

8.2. Общие вопросы защиты компьютерной информации

8.3. Безопасность медицинской информационной системы

8.4. Распределение прав доступа

Вопросы к теме 8

ЛИТЕРАТУРА

–  –  –

Подписано в печать 27.07.07. Формат 6090 1/16. Бумага офсетная.

Гарнитура Times. Печать ризографическая.

Усл. печ. л. 4,88. Уч.-изд. л. 3,98. Тираж 45 экз. Заказ № 31.

–  –  –

Pages:     | 1 |   …   | 2 | 3 ||

Источник: http://programma.x-pdf.ru/16meditsina/273908-4-fakultet-ekologicheskoy-medicini-kafedra-radiacionnoy-gigieni-epidemiologii-dudinskaya-medicinskaya-informatika-minsk.php

2.6 Информационная безопасность

6.2. Безопасность информационных систем: Вся информация, собираемая в течение жизни пациен­та, разделяется с

Следующийкомпонент содержания обученияинформационным технологиям –информационнаябезопасность.

Информационнаябезопасность– состояние защищенности информациипри ее получении, обработке, хранении,передаче и использовании от различноговида угроз.

Источниками угрозинформации являются люди, аппаратныеи программные средства, используемыепри разработке и эксплуатацииавтоматизированных систем (АС), факторывнешней среды. Порождаемое даннымиисточниками множество угроз безопасностиинформации можно разделить на двакласса: непреднамеренные и преднамеренные.

Непреднамеренныеугрозы связаны со стихийными бедствиями,сбоями и отказами аппаратно-программныхсредств. Реализация этих угроз приводит,как правило, к нарушению достоверностии сохранности информации в АС, реже –к нарушению конфиденциальности, однакопри этом могут создаваться предпосылкидля злоумышленного воздействия наинформацию.

Преднамеренныеугрозы связаны с незаконными действиямипосторонних лиц и персонала АС. В общемслучае в зависимости от статуса поотношению к АС злоумышленником можетбыть: разработчик АС, пользователь,постороннее лицо или специалисты,обслуживающие эти системы.

Разработчиквладеет наиболее полной информацией опрограммных и аппаратных средствах АСи имеет возможность осуществлениянесанкционированной модификацииструктур на этапах создания и модернизацииАС. Он, как правило, не получаетнепосредственного доступа наэксплуатируемые объекты АС.

Пользовательможет осуществлять сбор данных о системезащиты информации методами традиционногошпионажа, а также предпринимать попыткинесанкционированного доступа к информациии внедрения вредительских программ.

Постороннее лицо, не имеющее доступана объект АС, может получать информациюпо техническим каналам утечки и перехватаинформации, а также осуществлятьвредительские действия методамитрадиционного шпионажа и диверсионнойдеятельности.

Специалисты, обслуживающиеАС, обладают различными потенциальнымивозможностями злоумышленных действий.Наибольший вред могут нанести работникислужбы безопасности информации. Далееидут системные программисты, прикладныепрограммисты и инженерно-техническийперсонал.

Вредительскиепрограммы

В зависимости отмеханизма действия вредительскиепрограммы делятся на четыре класса:

  • «логические бомбы»;

  • «черви»;

  • «троянские кони»;

  • «компьютерные вирусы».

«Логические бомбы»- это программы или их части, постояннонаходящиеся в ЭВМ или вычислительныхсистемах и выполняемые только присоблюдении определенных условий.Примерами таких условий могут быть:наступление заданной даты, переход АСв определенный режим работы, наступлениенекоторых событий установленное числораз и т. п.

«Червями» называютпрограммы, которые выполняются каждыйраз при загрузке системы, обладаютспособностью перемещаться в системе исамовоспроизводить копии. Лавинообразноеразмножение программ приводит кперегрузке каналов связи, памяти и, вконечном итоге, к блокировке системы.

«Троянские кони»– это программы, полученные путем явногоизменения или добавления команд впользовательские программы. Припоследующем выполнении пользовательскихкоманд наряду с заданными функциямивыполняются несанкционированные,измененные или какие-то новые функции.

«Компьютерныевирусы» – это небольшие программы,которые после внедрения в ЭВМ самостоятельнораспространяются путем создания своихкопий, а при выполнении определенныхусловий оказывают негативное воздействиена АС.

Обработанная,структурированная информация стоиточень дорого, так же как и программыработы с этой информацией. В связи спереходом к рыночному хозяйству возникаетнеобходимость создания правовой базыв области охраны авторских прав напрограммное обеспечение и на базыданных. Нужно воспитывать культуруиспользования программного обеспеченияи информации.

Информационныересурсы –отдельные документы и отдельные массивыдокументов, документы и массивы документовв информационных системах (библиотеках,архивах, фондах, банках данных, другихинформационных системах).

Информационныйпродукт –совокупность данных, сформированнаяпроизводителем для распространения ввещественной или невещественной форме.Информационный продукт можетраспространяться такими же способами,как и любой другой материальный продукт,с помощью услуг.

Информационнаяуслуга –получение и представление в распоряжениепользователя информационных продуктов.

Особого вниманиязаслуживают такие виды информационныхуслуг, которые оказываются библиотечнойсферой, так как библиотеки являютсяместом сосредоточения информационныхресурсов страны:

  • предоставление полных текстов документов, а также справок по их описанию и местонахождению;

  • выдача результатов библиографического поиска и аналитической переработки информации (справки, указатели, дайджесты, обзоры и пр.);

  • получение результатов фактографического поиска и аналитической переработки информации (справки, таблицы, досье);

  • организация научно-технической пропаганды и рекламной деятельности (выставки новых поступлений, научно-технические семинары, конференции и т.п.);

  • выдача результатов информационного исследования (аналитические справки и обзоры, отчеты, рубрикаторы перспективных направлений и т.п.).

Дляавтоматизации работы с данными,относящимися к различным типам, оченьважно унифицировать их форму представления– для этого обычно используется приемкодирования,то есть выражение данных одного типачерез данные другого типа. Естественныечеловеческие языки – это не что иное,как системы кодирования понятий длявыражения мыслей посредством речи. Кязыкам близко примыкают азбуки(системы кодирования компонентов языкас помощью графических символов).

Таблица

Виды и методызащиты информации

Вид защиты

Метод защиты

От сбоев оборудования

  • Архивирование файлов (со сжатием и без);

– резервирование файлов.

От случайной потери или искажения информации, хранящейся в компьютере

  • Запрос на подтверждение выполнения команд, изменяющих файлы;

  • установка специальных атрибутов документов и программ;

  • возможность отмены неверного действия или восстановления ошибочно удаленного файла;

  • разграничение доступа пользователей к ресурсам файловой системы.

От намеренного искажения, вандализма (компьютерных вирусов)

  • Общие методы защиты информации;

  • профилактические меры

  • использование антивирусных программ.

От несанкционированного (нелегального) доступа к информации (ее использования, изменения, распространения)

  • шифрование;

  • паролирование;

  • «электронные замки»;

  • совокупность административных и правоохранительных мер.

При изучении этихвопросов следует дать определения такихпонятий как лицензионное соглашение,авторское право, имущественное право.Стоит обратить внимание на относительноновое понятие – аудиовизуальноепроизведение.

Это произведение, состоящееиз зафиксированной серии связанныхмежду собой кадров (с сопровождениемили без сопровождения их звуком),предназначенного для зрительного илислухового восприятия с помощьюсоответствующих технических средств.

визуальные произведения включаюткинематографические произведения ивсе произведения, выраженные средствами,аналогичные кинематографическим,независимо от способа их первоначальнойили последующей фиксации.

Источник: https://studfile.net/preview/5749527/page:11/

Medic-studio
Добавить комментарий