ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТИТМО» Факультет безопасности информационных технологий Дисциплина: «Организационно-правовые аспекты информационной безопасности» ОТЧЕТ ПО ПРАКТИЧЕСКОЙ РАБОТЕ «Категорирование объектов критической информационной инфраструктуры» Выполнил: ________________ Проверил: . ________________ Санкт-Петербург 2022 г. 1. Определение предприятия для рассмотрения 1) Определение сферы деятельности: здравоохранение; 2) Предприятие: СПб ГБУЗ Городская больница № 187; 3) Подтверждение кодом из ОКВЭД область деятельности: 86.10 – Деятельность больничных организаций. Эта группировка включает: Деятельность лечебно-профилактических организаций, включая деятельность районных, городских и областных больниц, специализированных больниц: психиатрических, наркологических, инфекционных, госпиталей, амбулаторнополиклинических учреждений, амбулаторий и поликлиник, организаций охраны материнства и детства, включая родильные дома, перинатальные центры, дома ребенка, санаторно-курортные организации (бальнеологические лечебницы, грязелечебницы, курортные поликлиники, санатории, санатории-профилактории). Данная деятельность в основном направлена на стационарных больных, осуществляется под прямым контролем врачей, однако включает также амбулаторное лечение больных в поликлиниках, стационарах одного дня и включает, в том числе: Услуги медицинского и парамедицинского персонала; Услуги лабораторий и технической базы больниц, включая рентгенологические услуги и анестезию; Экстренную помощь; Предоставление услуг операционной, лекарств, питания и другого стационарного обслуживания; Услуги центров планирования семьи, обеспечивающие медицинское обслуживание с проживанием, например стерилизацию и прерывание беременности. 2. Определение процессов, реализующихся на предприятии, и их критичности Таблица 1. Оценка критичности бизнес-процессов предприятия Описательная часть реестра бизнес-процессов организации сферы здравоохранения Класс Бизнес-процессы в деятельности бизнесорганизации сферы процесс здравоохранения ов Регистрация пациентов и запись на Основн прием ые Деятельность приемного отделения процесс ы Процессы дневного стационара Оценка критичности бизнес-процессов Критерии значимости Соци Полит Эконо Эколо альн ическа мичес гическ ая я кая ая Обор онна я Обоснование критичности Заключ ение о критичн ости - - - - - - - - - - - - - + - - - + Нарушение данного процесса + Оказание медицинских услуг и медицинской помощи Оказание медикаментозного лечения Оказание неотложной медицинской помощи Вспомо гательн ые процесс ы Оказание медицински х услуг и медицинско й помощи может привести к невозможности обеспечивать места постоянного прибывания больных Нарушение данного процесса может привести к существенному нарушению нормального функционировани я МО, т.к. это один из основополагающи х процессов МО Нарушение данного процесса не скажется на нормальном функционировани и МО, т.к. основная деятельность направлена на стационар Нарушение данного процесса посредством проведения компьютерных атак представляется маловероятным или вовсе невозможным Нарушение данного процесса не скажется на нормальном функционировани и МО, т.к. в данном ключе отсутствует угроза жизни + + + - + Деятельность реанимационного отделения + - - - - Деятельность выездных бригад + - - - + Деятельность врачебных комиссий - - - - - Экспертизы нетрудоспособности + - - - - Проведение инструментальной диагностики - - - - - - - + Нарушение данного процесса приведет к деградации исследовательско й деятельности, которая способна в крупных + Проведение лабораторных исследований - + + - + - - - - масштабах благоприятно влиять на полит., эконом. и оборонную сферу деятельности госва Процессы патологоанатомической службы Админи стратив ные процесс ы - - - - - Проведение реабилитации и восстановительного лечения + - - - - Процессы подразделения работы с кровью + - - - + Деятельности связанная с использованием источников ионизирующего излучения + - + + + Управление деятельностью медицинской организации - - + - - Деятельность канцелярии - - - - - Кадровая деятельность + - + - - Нарушение данного процесса не скажется на нормальном функционировани и МО, т.к. реабилитационны й процесс возможно возложить в некоторых случаях на пациента и его родных или на другую МО Нарушение данного процесса приведет к существенным снижениям эффективности деятельности МО (проведение анализов, операционная деятельность и т.д.) Нарушение данного процесса может привести к человеческим жертвам и определенным экологическим последствиям Нарушение данного процесса с точки зрения компьютерной атаки (инцидента) не приведет к значительным негативным последствиям Нарушение данного процесса с точки зрения - - + + + - компьютерной атаки (инцидента) не приведет к значительным негативным последствиям, т.к., как правило, вся необходимая кадровая деятельность сопровождается бумажными копиями Организационно-методические процессы - - - - - Формирование медицинской статистики и другой отчетности - + + - + Ведение медицинского архива - - - - - Бухгалтерский учет - - + - - Планово-экономическая деятельность медицинской организации - - + - - Финанс овохозяйст венные процесс ы Нарушение данного процесса в глобальном ключе может привести к искажению представлению о реальном положении дел в области здравоохранения в стране Нарушение данного процесса с точки зрения компьютерной атаки (инцидента) не приведет к значительным негативным последствиям, т.к., как правило, вся необходимая бухгалтерская деятельность сопровождается бумажными копиями Нарушение данного процесса с точки зрения компьютерной атаки (инцидента) не приведет к значительным негативным последствиям, т.к., как правило, вся необходимая плановоэкономическая - + - - - Обеспечение медикаментами и изделиями медицинского назначения Процессы, связанные с обеспечение м медицински х изделий деятельность сопровождает бумажными копиями Нарушение данного процесса может привести к существенному нарушению нормального функционировани я МО, т.к. этот процесс, как правило, сопровождает др. критический процесс – «Оказание медицинских услуг и медицинской помощи» Нарушение данного процесса вероятно не приведет к серьезным последствиям, т.к. в закупочном процессе участвуют 2 и (или) более сторон, к которым можно обратиться в случае проблем с доступом к информации или её модификации Нарушение данного процесса может привести, к примеру, к ошибочной оценке имеющегося оборудования, что может привести к существенным негативным последствиям, например, при большом чисел больных - - + - + Закупочные процессы - - + - - Учет и обслуживание медицинского оборудования - - + - + - - - - - - - - - + + + Нарушение данного процесса + Учет лекарственных средств и товаров аптечного ассортимента Процессы стерилизационного отделения Обслуживание инженерных систем + - + может привести к полной неспособности восстановления МО (пожар, наводнение и т.д.) Таким образом, к критическим процессам отнесены: Процессы дневного стационара; Оказание медицинских услуг и медицинской помощи; Проведение лабораторных исследований; Процессы подразделения работы с кровью; Деятельности связанная с использованием источников ионизирующего излучения; Формирование медицинской статистики и другой отчетности; Процессы, связанные с обеспечением медицинских изделий; Учет и обслуживание медицинского оборудования; Обслуживание инженерных систем. 3. Определение объектов КИИ и процесс их категорирования Таблица 2. Определение объектов КИИ Критический процесс Процессы дневного стационара Оказание медицинских услуг и медицинской помощи Проведение лабораторных исследований Процессы подразделения работы с кровью Деятельности связанная с использованием источников ионизирующего излучения Объект КИИ Тип объекта КИИ Информационная система ИС медицинского взаимодействия «ИС МВ» Автоматизированная система АСУ управления лабораторными исследованиями «АСУ ЛИ» Автоматизированная система АСУ управления источниками ионизирующего излучения «АСУ ИИИ» Формирование медицинской База данных внутренних ИС статистики и другой документов отчетности Процессы, связанные с Информационная система ИС обеспечением медицинских обработки медицинских изделий изделий и оборудования Учет и обслуживание «ИС ОМИО» медицинского оборудования Обслуживание инженерных Автоматизированная система АСУ систем управления по пожарной безопасности «АСУ ПБ» В качестве критериев значимости объектов КИИ были выбраны следующие показатели: 1. Показатель 1: Причинение ущерба жизни и здоровью людей (человек); 2. Показатель 2: Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, оцениваемые: а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек); 3. Показатель 5: Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов). Таблица 3. Категорирование объектов КИИ Объект КИИ Показатель 1 2 категория Критерии значимости Показатель 2а Показатель 2б 3 категория 2 категория Показатель 5 1 категория 3 категория 2 категория 2 категория 2 категория 2 категория 2 категория 3 категория 2 категория 3 категория 3 категория 3 категория Без категории 3 категория 2 категория 3 категория 3 категория Автоматизированная 1 категория система управления по пожарной безопасности «АСУ ПБ» 2 категория 2 категория Без категории Информационная система медицинского взаимодействия «ИС МВ» Автоматизированная система управления лабораторными исследованиями «АСУ ЛИ» Автоматизированная система управления источниками ионизирующего излучения «АСУ ИИИ» База данных внутренних документов Информационная система обработки медицинских изделий и оборудования «ИС ОМИО» 4. Определение возможных технических мер по защите информации Пусть на рассматриваемом предприятии уже существуют такие меры по защите информации как: реализованы методы идентификации и аутентификации; произведено ограничение программной среды; реализована СКУД; установлены средства антивирусной защиты; реализована система пожарной сигнализации; определен план действий в нештатных ситуациях. Тогда список предлагаемых мер может быть следующим: установка МЭ, с целью фильтрации траффика и предотвращения DOS атак; использование СОВ; оснащение автоматизированных систем источниками бесперебойного питания; применение шифрования для передачи данных по открытым каналам связи; установка ПО для контроля действий пользователей на АРМ сотрудников; оборудование помещений с критически важными техническими узлами камерами видеонаблюдения; оборудование здания/отдельных помещений охранной сигнализацией; исключение использования нелицензионного ПО; использование ключевых носителей вместо паролей для доступа к управлению критически важными системами; создание системы резервного копирования и восстановления данных; установка средств доверенной загрузки; организация системы контроля съемных носителей; управление обновлениями ПО.
