Рефераты по БЖД

Системный подход к анализу и управлению безопасностью

Среди мер для повышения надежность систем безопасности медицинских информационных систем целесообразно использовать следующие основные методы и способы защиты:

- кардинальное улучшение системы регистрации первичных медицинских данных на основе применения индивидуальных носителей информации (ИНИ);

- обязательное дублирование информации, хранимой в ИНИ, в базах данных различных уровней;

- периодическая (лучше ежедневная) актуализация всех баз данных в информационной системе (эта мера исключает возможность фальсификации медицинских сведений "задним числом");

- обеспечение доступа к информации различными путями: открыть часть информации для всех, открыть часть информации для пения и записи медицинским специалистам при условии их идентификации, и, наконец, часть информации открыть для чтения с разрешения пациента;

- для достижения необходимого уровня защиты информации со стороны программных средств использовать средства сетевых операционных систем.

Защита информации от несанкционированного доступа должна обеспечиваться блокированием доступа к информации:

- для СУБД - со стороны как персонала, так и тех задач системы, которым данная информация не требуется в силу функционального назначения;

- на рабочем месте - со стороны пользователей, не обладающих соответствующими полномочиями на доступ к различным информационным ресурсам;

- по каналам связи - со стороны сетевых пользователей и тех задач системы, которым данная информация не требуется опять-таки в силу функционального назначения.

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности: постоянный контроль функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и НСД, обновление и дополнение механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обоснование и реализация на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием.

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм — систему информационной безопасности. Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранение конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами. Без соблюдения этих условий никакая система информационной безопасности не может обеспечите требуемого уровня защиты.

Рекомендации по созданию систем информационной безопасности

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны, создателям систем информационной безопасности:

- средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;

- каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

- возможность отключения защиты в особых случаях, например когда механизмы защиты реально мешают выполнению работ;

- независимость системы защиты от субъектов защиты

- разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать к пути обхода механизмов защиты;

- отсутствие на предприятии излишней информации о существовании механизмов защиты [4, с. 83].

Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее).

Выбирая защитные меры, приходиться учитывать не только прямые расходы на закупку оборудования и программ, но и расходы на их внедрение, в частности - на обучение и переподготовку персонала. Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта.

По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловлены не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Сформированная совокупность правовых, организационных и инженерно – технических мероприятий выливается в соответствующую политику безопасности, отраженную в концепции информационной безопасности предприятия.

Концепция разрабатывается на основе анализа современного состояния информационной безопасности, источников, видов угроз и динамики их развития. Концепция системы защиты представляет собой систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Концепция информационной безопасности должна содержать:

- общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки информации);

- формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей;

- основные классы угроз информационной безопасности, принимаемые во внимание при разработке подсистемы защиты;

- основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.

Концепция представляет собой официальную принятую систему взглядов на проблему информационной безопасности и пути ее решения с учетом современных тенденций развития информатизации медицинского учреждения. Она является методологической основой политики в разработке практических мер по ее реализации.

Заключение

В настоящее время благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, контроля и управления различными объектами. К таким системам относятся и медицинские информационные системы.

Перейти на страницу номер:
 1  2  3 


Другие рефераты:

© 2010-2024 рефераты по безопасности жизнедеятельности