PRZEDSIĘBIORSTWO INFORMATYCZNE KAMSOFT 40-235 Katowice ul. 1-Maja 133 Tel. (032) 2090705, Fax. (032) 2090715, www.kamsoft.pl Metody zapewnienia bezpieczeństwa danych w systemie KS-SOMED
Spis treści 1. Wstęp...3 2. Wymogi prawne...3 3. Użytkownicy, hasła oraz opcje logowania do systemu...5 3.1. Wybór poziomu bezpieczeństwa w KS-SOMED... 5 3.2. Tworzenie nowego użytkownika...6 3.3. Hasła użytkowników... 7 3.4. Hasła do bazy danych... 9 4. Uprawnienia użytkowników... 14 4.1. Role w systemie... 14 4.2. Modyfikacja uprawnień... 16 5. Zabezpieczenie baz, serwerów, pomieszczeń...18 5.1. Zabezpieczenie komputerów oraz serwerów... 18 5.2. Wykonywanie kopii baz i ich zabezpieczenie...18 5.3. Zabezpieczenie dostępu do pomieszczeń...18 5.4. Przeglądanie raportu zdarzeń systemu KS-SOMED...19
1. WSTĘP Dokument ten opisuje podstawowe sposoby zapewnienia bezpieczeństwa danych w systemie KS-SOMED. W pierwszej części przedstawione zostaną opcje logowania do systemu od najprostszych, nie wymagających podania hasła, po najbardziej rozbudowane spełniające wymagania normy PN-ISO/IEC17799 oraz ustawy o ochronie danych osobowych. Następnie opisany zostanie system nadawania uprawnień do poszczególnych funkcji i danych w systemie. Na zakończenie podane zostaną ogólne informacje na temat zabezpieczania baz, serwerów oraz pomieszczeń, w których przetwarzane są dane osobowe. 2. WYMOGI PRAWNE Najważniejszymi aktami określającymi wymogi, jakie musi spełniać system komputerowy przetwarzający dane osobowe są: - Norma PN-ISO/IEC 17799:2003 Technika informatyczna - Praktyczne zasady zarządzania bezpieczeństwem informacji. - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dziennik Ustaw 2004 r. nr 100, poz. 1024. - zwane dalej Rozporządzeniem - Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, z późniejszymi zmianami, tekst jednolity. Dziennik Ustaw 2002 r. nr 101 poz. 926. - zwana dalej Ustawą Przedstawimy tu krótki przegląd podstawowych informacji, które pomogą w ustaleniu poziomu bezpieczeństwa oraz sposobów zabezpieczeń dla konkretnego systemu. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: - podstawowy - podwyższony - wysoki Poziom co najmniej podstawowy stosuje się, gdy: - w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 Ustawy (artykuł ten wymienia między innymi dane o stanie zdrowia), oraz - żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną Poziom co najmniej podwyższony stosuje się, gdy: - w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 Ustawy, oraz - żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. W zależności od tego, którego poziomu wymaga konkretny system stosuje się następujące środki bezpieczeństwa: Środki bezpieczeństwa na poziomie podstawowym Budynki, pomieszczenia lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionych w tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: - w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator - dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:
- działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego - utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe: - przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem - usuwa się niezwłocznie po ustaniu ich użyteczności Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: - likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie - przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie - naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego Środki bezpieczeństwa na poziomie podwyższonym W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. Środki bezpieczeństwa na poziomie wysokim System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń obejmują one: - kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną - kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. System KS_SOMED jest oczywiście dostosowany do pracy na każdym poziomie bezpieczeństwa.
3. UŻYTKOWNICY, HASŁA ORAZ OPCJE LOGOWANIA DO SYSTEMU 3.1. Wybór poziomu bezpieczeństwa w KS-SOMED Wyboru poziomu bezpieczeństwa w systemie KS-SOMED dokonujemy w module Administrator, menu Opcje/Opcje Główne KS-SOMED. Rys.3.1. Opcje główne Poszczególne poziomy charakteryzują się: - poziom 0 - najstarszy sposób logowania z listą pracowników słabe zabezpieczenie, bo nawet nie znając żadnego loginu można wejść do systemu bowiem praktycznie w każdej instalacji znajdują się pracownicy bez podanego hasła - poziom 1 - nowy sposób logowania wymaga podania loginu i hasła - przy czym hasło może być krótsze niż 6 znaków może nie być go wcale - ten poziom zapewnia już zdecydowanie wyższe bezpieczeństwo - poziom 2 poziom 1 + długość hasła większa od 0 - poziom 3 - poziom 2 + "silne" hasło: co najmniej 6 znaków w tym 1 cyfra, nie jest oparte na łatwych skojarzeniach - nie zawiera imienia, nazwiska, daty urodzenia, nie zawiera ciągu tych samych cyfr lub liter, zawiera cyfry, litery lub inne znaki, informacja o ostatnim poprawnym logowaniu i ostatnim błędnym (błędne logowanie - przynajmniej dwa razy podano nieprawidłowe hasło dla danego loginu) to już bardzo wysoki poziom bezpieczeństwa bowiem każdy operator musi mieć hasło, oraz wszelkie próby logowania są pamiętane w systemie - poziom 4 - poziom 3 + hasło nie może powtarzać się w ciągu 12 miesięcy, 3 krotne błędne logowanie blokuje wejście do system dla danego loginu na okres 5 minut, okno logowania zamyka się po 10 sekundach ten poziom dodatkowo utrudnia złamanie hasła, bowiem po trzeciej próbie wpisania błędnego hasła następuje blokada loginu nie można więc bez końca próbować różnych haseł - poziom 5 - poziom 4 + zmiany hasła co 30 dni oraz blokada systemu po przekroczeniu czasu bezczynności podanego opcjach (pole pojawia się dopiero po wybraniu poziomu 5) bardzo wysoki poziom bezpieczeństwa system wymaga zmian haseł co 30 dni, hasła nie mogą się powtarzać przez 12 miesięcy, następuje również samoistne zablokowanie systemu, w przypadku przekroczonego czasu bezczynności. Począwszy od poziomu 3 w oknie głównym systemu dostępna jest informacja o ostatnim logowaniu do systemu z aktualnego loginu.
Rys.3.2. Okno główne System podaje kiedy nastąpiło ostatnie poprawne logowanie, z jakiego adresu IP oraz z jakiego stanowiska. Podawana jest również informacja o ostatnim błędnym logowaniu, a więc data, adres IP i numer stanowiska. Przy czym błędnym logowaniem określamy sytuację, gdy co najmniej dwa razy wpisano niepoprawne hasło, nie jest to więc równoznaczne z zablokowaniem loginu. W przypadku aktywacji najwyższego poziomu bezpieczeństwa może nastąpić automatyczne zablokowanie systemu w przypadku określonego w opcjach czasu bezczynności. Ma to zabezpieczyć system przed sytuacjami, gdy operator na chwilę opuszcza swoje stanowisko pracy, a w tym czasie ktoś korzystając z tego, że system ma aktywna sesję (wprowadzono login i hasło) dokonuje nieuprawnionej ingerencji w systemie dodatkowo na koszt zalogowanej osoby. Opcja ta nie da spodziewanych efektów jeśli operator nie uruchomił żadnego modułu (jest w oknie głównym KS- SOMED) oraz opcja Logowanie jednokrotne jest zaznaczona. Oczywiście nadal istnieje taka możliwość, wystarczy tuż po wyjściu operatora przejąć jego role. Dlatego też wprowadzona została opcja ręcznej blokady systemu po wciśnięciu kombinacji klawiszy Shift+Alt+Ctrl+F1. Pojawia się wówczas okno z prośbą o potwierdzenie zablokowania systemu. Po wybraniu opcji Tak nastąpi blokada systemu identycznie jak po przekroczeniu czasu bezczynności. Aby zdjąć blokadę należy podać login i hasło osoby, która była zalogowana w systemie w momencie jego zablokowania, lub login i hasło osoby mającej uprawnienie administratora do zmiany danych administracyjnych. W opcjach głównych możemy również określić czy pytanie o login i hasło ma się pojawiać za każdym razem kiedy operator uruchamia jakiś moduł czy też wystarczy jeśli zaloguje się tylko raz po uruchomieniu systemu. 3.2. Tworzenie nowego użytkownika Dodawanie nowego użytkownika systemu możliwe jest w każdym miejscu, w którym jest dostępne przeglądanie listy pracowników. Można to zrobić np. W module Bazy menu Org. Wewnętrzna/Pracownicy naciskając klawisz F2 lub klikając na przycisk Dodaj. Pojawi się wtedy okno karty pracownika. Z punktu widzenia bezpieczeństwa systemu interesująca jest karta Hasła/Identyfikatory. To właśnie na niej określa się login oraz hasło nowego użytkownika.
Rys.3.3. Karta pracownika W polu Login wpisujemy identyfikator pracownika. Żeby wprowadzić pracownikowi hasło należy najpierw nacisnąć klawisz F12 i podać swoje hasło. Odblokuje to możliwość wpisywania do pól Nowe hasło oraz Powtórzone nowe hasło. Wypełniamy te pola pamiętając, że hasło musi spełniać wymogi określone w opcjach głównych. Możemy również wybrać w polu Rodzaj pracownika jaką funkcję będzie pełnił nowy pracownik (lekarz, operator, pracownik zewnętrzny). Pole to określa możliwość logowania się pracownika do systemu oraz dostępność na liście lekarzy. Poszczególne opisy oznaczają: - Lekarz/operator pracownik może logować się do systemu i może być wybrany jako wykonujący usługi - Pracownik/operator pracownik może logować się do systemu, ale nie może być wybrany jako wykonujący usługi (np. rejestratorka) - Lekarz - pracownik nie może logować się do systemu ale może być wybrany jako wykonujący usługi (w jego imieniu rejestruje inna osoba) - Operator - pracownik może logować się do systemu, nie jest jednak pracownikiem jednostki i nie figuruje w programie kadrowo-płacowym zintegrowanym z systemem KS-SOMED. Zwykle są to osoby zajmujące się wdrożeniem lub nadzorem nad systemem - Zewnętrzni pracownicy zewnętrzni mogący kierować pacjentów do jednostki Próba logowania pracownika, który nie jest operatorem spowoduje wyświetlenie komunikatu o błędnym haśle, nawet jeśli pracownik ma podane zarówno hasło jak i login, i obie te wartości są poprawnie wprowadzone. Pole Rola pracownika w systemie zostanie wypełnione automatycznie po przypisaniu pracownikowi ról w systemie. Opis ról znajduje się w dalszej części tego dokumentu, przy opisie modyfikacji uprawnień. 3.3. Hasła użytkowników Głównym zabezpieczeniem konta użytkownika w systemie KS-SOMED jest hasło. Większość stosowanych haseł jest jednak bardzo łatwa do złamania. Dobre hasło to takie, które nie może zostać łatwo odgadnięte ani złamane. Jednocześnie nie może być zbyt skomplikowane, ponieważ istnieje duże prawdopodobieństwo, że zostanie gdzieś zapisane przez użytkownika. Najlepszym hasłem jest losowa kombinacja nie powiązanych ze sobą znaków, np. Hg56#&o)0. Trudno takie hasło złamać, ale równie trudno zapamiętać. Dobre hasło powinno być więc kompromisem pomiędzy hasłem, które jest trudne do odgadnięcia a hasłem, które jest łatwe do zapamiętania. Aby ułatwić użytkownikom wybór właściwego hasła, opracowano kilka technik tworzenia łatwych do zapamiętania ciągów znaków. Pierwsza metoda polega na budowaniu haseł, w których występują naprzemiennie samogłoski i
spółgłoski. W ten sposób powstają bezsensowne wyrazy, które można bez problemu wymówić, co ułatwia ich zapamiętanie. Inny sposób to użycie pierwszych liter wyrazów z jakiegoś zwrotu. Może to być fragment z książki, piosenki lub wiersza. Trzecia metoda polega na połączeniu dwóch krótkich wyrazów za pomocą symbolu lub znaku interpunkcyjnego, np. pies*kot. Po utworzeniu hasła za pomocą jednej z opisanych technik, warto je jeszcze urozmaicić za pomocą dużych liter, cyfr i symboli. Można też spróbować zastąpić niektóre litery łatwymi do skojarzenia znakami: A zastępujemy 4 albo @, B 8, C - (, E 3, g 9, I 1, L 1, O 0, S 5, z - 2 Przykładowe hasło będzie wtedy wyglądać tak: p135*k0t Hasło nie może być zbyt krótkie. Zaleca się, aby zawierało co najmniej 6 (w systemach na poziomie bezpieczeństwa podwyższonym) lub 8 znaków (na wysokim poziomie bezpieczeństwa). Najczęściej spotykaną metodą dostania się na cudze konto jest odgadniecie hasła. Obecnie istnieje wiele programów które wykorzystują tzw. metodę słownikową aby je odgadnąć. Jest to to tak zwany "brute force" - atak polegający na długotrwałym wysyłaniu kolejnych wyrazów ze słownika jako hasła. Metoda ta jest prymitywna, ale bardzo często skuteczna. W systemie KS-SOMED można się przed tym stosunkowo łatwo zabezpieczyć ustawiając poziom bezpieczeństwa na co najmniej 4. Spowoduje to blokadę systemu na 5 minut po trzykrotnym błędnym podaniu hasła. Podsumowując dobre hasło nie powinno być: - ciągiem kolejnych liter lub cyfr widocznych na klawiaturze ani słowem pochodzącym z języka naturalnego, łatwym do podstawienia z dowolnego słownika - nie powinno dać się skojarzyć z użytkownikiem (np. z nazwą konta w systemie, z jego imieniem, nazwiskiem, datą urodzenia, imieniem zwierzątka, imieniem mamy, datą urodzenia, numerem PESEL, numerami telefonów w różnych kombinacjach itp.) powinno być mieszanką dużych i małych liter, cyfr i znaków specjalnych - nie wymaga zapisywania (jest łatwe do zapamiętania) Aby zwiększyć bezpieczeństwo systemu zaleca się zmieniać hasła co jakiś czas. Na 5 poziomie bezpieczeństwa jest to konieczne. System wymusza zmianę hasła co 30 dni. Użytkownik może zmienić swoje hasło klikając na przycisk Hasło w głównym module KS-SOMED. Rys.3.4. Okno główne Pojawi się wtedy okienko, w którym należy wypełnić 3 pola. W pierwszym z nich wpisujemy stare hasło (lub pozostawiamy je puste jeśli nie używaliśmy hasła), w dwóch kolejnych polach wpisujemy nowe hasło. Jeśli hasło spełni wszystkie wymogi aktualnie obowiązującego poziomu bezpieczeństwa zostanie ono zaakceptowane przez system i będzie go można od tej pory używać. Jeśli system poinformuje nas że wprowadzone hasło nie może być zaakceptowane należy wprowadzić nowe.
3.4. Hasła do bazy danych Oczywiście opisane tu procedury nie są wszystkim co należy przedsięwziąć, aby system był w pełni bezpiecznym systemem informatyczny. Odrębną sprawą jest zabezpieczenie dostępu do bazy danych. W obecnej chwili można spokojnie założyć, że do 80% instalacji systemu KS-SOEMD można wejść na standardowe hasło lub na standardowe hasło administracyjne bazy danych. Hasła te powinny być zmienione, a system KS-SOEMD o tym poinformowany. KSPLKonfigurator jest to program pozwalający na konfigurowanie rejestrów systemowych i szczególnie przyda się administratorom wersji sieciowych naszego systemu. Będzie to również bardzo przydatne narzędzie pozwalające na konfigurację systemu pracującego na serwerze aplikacji. Jak już nie raz wspomniano parametry konfiguracyjne systemu przechowywane są w rejestrze Windows w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\KAMSOFT\xxxx, gdzie xxxx domyślnie to KSPL99 lub jest wartością wpisaną w pozycji KSPLHome w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\KAMSOFT. W tym wypadku zwykle jest to KSPL, a w przypadku KS-SWD2 - SWD2. Taka lokalizacja wpisów w większości przypadków jest wystarczająca, jeśli jednak mamy do czynienia z wersją sieciową, administrator sieci może zabronić większości użytkownikom zapisu do rejestru HKEY_LOCAL_MACHINE. System KS-SOMED może wówczas nie działać poprawnie. Konieczne jest wprowadzenie analogicznych wpisów do gałęzi HKEY_CURRENT_USER do której to użytkownik ma dostęp. Każdy użytkownik ma dostęp do tej gałęzi, każdy jednak posiada swoją kopię gałęzi. Co za tym idzie konieczne jest przeprowadzenie takiej konfiguracji dla każdego użytkownika. Nowa wersja systemu wspomaga administratora kopiując do ustawień użytkownika aktualne wartości z gałęzi HKEY_LOCAL_MACHINE, jeśli ustawienia lokalne są używane. Po uruchomieniu program prosi o podanie hasła. Jest to hasło do bazy danych domyślnie GM. W przypadku modyfikacji hasła dostępu do bazy danych należy również podawać to właśnie hasło. Po uruchomieniu ukazuje się okienko jak poniżej. Podstawową opcją którą administrator może użyć to włączenie konfiguracji personalnej. Powoduje to używanie gałęzi HKEY_CURRENT_USER i dodatkowo kopiowanie za każdym razem najważniejszych ustawień z HKEY_LOCAL_MACHINE do HKEY_CURRENT_USER. Ustawienia to: - Alias BDE - Parametry logowania do bazy - Ścieżki Reszta zmiennych mogących pojawić się w rejestrach (np. nr stanowiska) jest lokalna dla użytkownika i można ja ustawić dla każdego użytkownika osobne. Aby dokonać modyfikacji odpowiedniej zmiennej należy kliknąć dwukrotnie na daną pozycję. Administrator może ustawić pewne zmienne użytkownikom i zostaną one przekopiowane do właściwego klucza wraz z kopiowaniem parametrów podstawowych. Dokonać tego można poprzez wbudowany edytor rejestru. W edytorze tym można dodawać użytkowników, oraz wprowadzać zmienne aktualizowane przy dostępie przez danego użytkownika do rejestru. Przykładowe okienko zawiera konfigurację dwóch użytkowników pracujących na terminalach, każdy z nich ma inny numer stanowiska. Podczas pierwszego uruchomienia systemu KS-SOMED odpowiednim użytkownikom odpowiednie numery stanowisk zostaną nadane. Oprócz funkcji ułatwiających konfigurację wersji sieciowej KSPLKonfigurator pozwala na zmianę użytkownika i hasła dostępu do bazy danych. Chodzi to oczywiście o zmianę informacji wykorzystywanych przez system KS-SOMED, bo zmiana w samej bazie musi być dokonana osobno odpowiednimi do odpowiedniej bazy danych narzędziami. Funkcja zmiany użytkownika i hasła dostępna była już od dawna i polegała na wprowadzeniu do rejestru systemu wpisów ALIAS, USER i PASS z odpowiednimi wartościami. Funkcja ta miała jednak podstawową wadę. Otóż hasła przechowywane były otwartym tekstem. Jeśli więc administrator zmienił standardowe hasła dostępu do bazy to i tak nie mógł zabezpieczyć się przed ujawnieniem tej wiadomości osobom, które wiedziały gdzie szukać. Poprzez KSPLKonfigurator można wprowadzić nowe wpisy XALIAS, XUSER, XPASS, które od tej chwili będą miały wartość nadrzędną i przechowywać będą dane w postaci zakodowanej. Robimy to w sposób następujący: - uruchamiamy KSPLKonfigurator, pojawi się pytanie o hasło, wpisujemy hasło np. GM
Rys.3.5. Okno logowania KSPLKonfigurator - otwiera się główne okno programu Rys.3.6. Okno główne KSPLKonfigurator - klikamy dwa razy na Parametry logowania do bazy, otwiera się okno parametrów - w okienku, które się otworzy wpisujemy nazwę użytkownika i hasło a następnie klikamy w przycisk OK Rys.3.7. Okno parametrów logowania do bazy - w windowsowym edytorze rejestru można sprawdzić czy hasło zostało zaszyfrowane
Rys.3.8. Okno edytora rejestru Windows Należy również zmienić standardowe hasło administracyjne serwera interbase (SYSDBA/MASTERKEY) wykorzystywane przez program upgrade. Opcja ta zdecydowanie zwiększa bezpieczeństwo pracy z bazą danych. Dla bazy Interbase najlepiej zrobić to za pomocą programu IBConsole, który znajduje się w katalogu instalacyjnym Interbase (zazwyczaj w c:\program Files\Interbase\bin). Po uruchomieniu programu i wpisaniu starego hasła należy wybrać z menu Server/User Security. Rys.3.9. Okno IBConsole Otworzy się okienko user information w którym należy wpisać dwa razy nowe hasło i nacisnąć przycisk Apply.
Rys.3.10. Okno informacji o użytkowniku aby zmienić hasło dla bazy Firebird należy wykonać następujące czynności: - przechodzimy do linii komend systemu Windows (w menu Start/Uruchom wpisujemy cmd i naciskamy enter) - zmieniamy katalog na ten w którym znajdują się programy narzędziowe serwera Firebird (zazwyczaj będzie to katalog c:\program files\firebird\bin) - w linii komend wpisujemy: gsec -user sysdba -password masterkey - w okienku powinien się pojawić następujący tekst: GSEC> - wpisujemy komendę: modify sysdba -pw xxxxxxxx (gdzie xxxxxxxx to nasze nowe hasło) - naciskamy Enter i od tej pory nasze nowe hasło powinno już działać - wpisujemy quit i naciskamy Enter żeby zakończyć program gsec a następnie zamykamy okienko linii komend Należy pamiętać, że hasła w serwerze Firebird mogą mieć maksymalnie 8 znaków. W hasłach dłuższych znaki powyżej 8 są przez serwer ignorowane. Jeśli baza danych umieszczona jest na serwerze (np. Oracle) hasło powinien zmienić administrator. Od momentu zmiany hasła aby uruchomić KSPLKonfiguratora należy podawać nowe hasło.
4. UPRAWNIENIA UŻYTKOWNIKÓW System KS-SOMED posiada bardzo rozbudowany system opcji, zawierający kilkaset pozycji, który pozwala na dokładne określenie uprawnień dla każdego użytkownika systemu. Uprawnienia zmienić można w module Administrator (menu Funkcje/Administrator uprawnień). Uprawnienia aktualnie zalogowanego pracownika można sprawdzić oraz wydrukować również w kilku innych modułach w menu Opcje/Uprawnienia lub Funkcje/Uprawnienia. Rys.4.1. Ustawienia uprawnień użytkowników Istnieje możliwość indywidualnego nadawania każdemu nowemu pracownikowi uprawnień lub skorzystania z wcześniej zdefiniowanych ról. 4.1. Role w systemie System KS_SOMED przy nadawaniu uprawnień użytkownikom umożliwia skorzystanie z predefiniowanych szablonów zwanych rolami. Dzięki tej możliwości nadawanie uprawnień zajmuje zdecydowanie mniej czasu i zmniejsza się prawdopodobieństwo nadania pracownikom błędnych uprawnień. Role najlepiej jest zdefiniować zaraz po zainstalowaniu systemu. Zanim przystąpi się do tej czynności należy zastanowić się jakie grupy pracowników będą korzystać z systemu. W większości wypadków zasadne będzie zdefiniowanie przynajmniej dwóch ról: administratora systemu oraz lekarza. Dodatkowo można zdefiniować szablony dla np.: pielęgniarki, pracowników rejestracji czy też kasy. Żeby zdefiniować nową role wchodzimy do modułu administratora, menu Funkcje/Administrator uprawnień. Naciskamy klawisz F4 lub przycisk Popraw role. Otworzy się okienko nadawania ról.
Rys.4.2. Okno nadawania ról Możemy w nim albo stworzyć nową role naciskając klawisz F2 lub klikając przycisk Nowa a następnie wpisując nazwę roli albo edytować którąś z istniejących zaznaczając ja na liście a następnie naciskając klawisz F4 lub klikając przycisk Edycja. Po dodaniu nowej roli pojawia się w okienku lista uprawnień. Na wstępie najlepiej będzie przejrzeć całą listę i wyłączyć wszystkie uprawnienia lub te które na pewno nie będą w tej roli potrzebne. Następnie należy wypełnić sekcje Moduły. Określa ona dostęp do poszczególnych modułów programu. I tak np. lekarz powinien mieć dostęp do modułu lekarskiego, stomatolog do modułu Stomatolog, pracownik rejestracji do modułu Terminarz itd. Następnie należy przejść kolejno do wszystkich sekcji określających uprawnienia w modułach, do których ustawiliśmy dostęp dla danej roli. Czyli np. przechodzimy do sekcji Terminarz i określamy czy pracownicy posiadający daną rolę maja prawo do np. drukowania, umawiania i edycji wizyt, przeglądania terminarzy innych osób. Na karcie Użytkownicy okna nadawania ról możemy sprawdzić jacy pracownicy mają przypisane poszczególne role. Rys.4.3. Przeglądanie listy pracowników mających przypisane role Role można również sprawdzić na karcie pracownika, zakładka Hasła/Identyfikatory. Oczywiście istnieje możliwość przypisania pracownikowi więcej niż jednej roli. Będzie on miał wtedy dostęp do uprawnień zaznaczonych we wszystkich przypisanych mu rolach. Przypisanie pracownikowi poszczególnych ról wykonuje się w oknie nadawania uprawnień. Zaznaczamy pracownika a następnie klikamy dwa razy pole Może. W ten sam sposób odbieramy pracownikowi role.
Rys.4.4. Przypisywanie ról pracownikowi Po przypisaniu ról możemy przejrzeć ustawienia uprawnień. Uprawnienia nadane przez role oznaczone są znakiem. 4.2. Modyfikacja uprawnień Przypisanie pracownikom ról zazwyczaj jest dopiero pierwszym etapem nadawania uprawnień. Bardzo rzadko zdarza się żeby pracownik powinien mieć dokładnie takie uprawnienia jakie wynikają z rol mu przypisanych. Zazwyczaj wymagane są niewielkie korekty. W okienku nadawania uprawnień po zaznaczeniu pracownika, w prawej części okna pojawia się lista. Po kliknięciu na znak + przy poszczególnych pozycjach lista rozwija się. Przy poszczególnych pozycjach mogą pojawiać się następujące oznaczenia: - pracownik posiada uprawnienia do tej opcji - pracownik nie posiada uprawnień do tej opcji - Uprawnienia do tej opcji wynikają z przypisanych ról Oznaczenie zmienia się klikając myszką w nazwę pola bądź znaczek. Przeglądając listę możemy czasami nie mieć pewności, które tak naprawdę uprawnienia posiada dany pracownik. Znaczek może przecież oznaczać zarówno ze dane uprawnienie jest przyznane, jak też nie. Jeśli nie jesteśmy pewni jak zostało to zdefiniowane w rolach możemy skorzystać z przycisku Efektywne. Jego naciśnięcie powoduje otwarcie okienka, w którym wszystkie znaczki zastąpione są rzeczywistymi uprawnieniami, jakie dany pracownik posiada.
Rys.4.5. Uprawnienia efektywne Po zakończeniu modyfikacji uprawnień dobrze jest otworzyć okno uprawnień efektywnych i sprawdzić czy wszystkie uprawnienia zostały właściwie przypisane. Planując uprawnienia dla pracowników należy pamiętać o kilku zasadach, których należy bezwzględnie przestrzegać: - opracować i przestrzegać zasad nadawania lub modyfikacji uprawnień użytkownika do zasobów systemu informatycznego - prowadzić rejestr uprawnień wszystkich pracowników - wyznaczyć osobę odpowiedzialną za nadawanie, modyfikację oraz prowadzenie rejestru uprawnień - nadawanie i odbieranie uprawnień następuje wyłącznie na pisemny wniosek bezpośredniego przełożonego pracownika - pracownikowi należy dać tylko te uprawnienia, które są mu naprawdę niezbędne. - szczególną uwagę należy zwrócić na kilka najbardziej niebezpiecznych uprawnień: - nie należy dawać pracownikom dostępu do funkcji typu drukowanie czy eksport do excela np. listy pacjentów. Mając dostęp do tych funkcji bardzo łatwo można skopiować dane osobowe np. na dyskietkę a więc dane te mogą zostać w prosty sposób skradzione. - do modułu Administrator dostęp powinny mieć tylko osoby administrujące systemem - do do modułu lekarskiego powinny mieć dostęp tylko osoby mające prawo przeglądać dane medyczne - Bazy/Pacjent/Dane osobowe umożliwia między innymi zmianę nazwiska pacjenta. Powinno się to robić tylko w bardzo szczególnych wypadkach (pomyłka w nazwisku, gdy pacjent zmienił nazwisko). Nie wolno zmieniać nazwiska w celu np. wykorzystania kartoteki pacjenta wyrejestrowanego dla nowo rejestrowanego.
5. ZABEZPIECZENIE BAZ, SERWERÓW, POMIESZCZEŃ Niemniej ważne od systemu kontroli haseł i uprawnień jest fizyczne zabezpieczenie komputerów i danych przed kradzieżą lub zniszczeniem. Nawet najlepszy system haseł nie pomoże jeśli złodziej będzie miał fizyczny dostęp do komputera na którym przechowywane są dane i będzie mógł np. wymontować z niego dysk z bazą. Trudne do oszacowania straty może również spowodować uszkodzenie sprzętu czy zwykła awaria zasilania. 5.1. Zabezpieczenie komputerów oraz serwerów Przy prace przy komputerach należy stosować zasadę czystego ekranu. Dotyczy to serwerów, stacji roboczych oraz urządzeń przenośnych - laptopów oraz palmtopów. Każdorazowe odejście od stanowiska pracy powinno zostać poprzedzone zablokowaniem klawiatury i włączeniem wygaszacza ekranu zabezpieczonego hasłem. Oczywiście nie musi to wymagać wykonania akcji ze strony użytkownika - może odbywać się automatycznie, pod warunkiem, że czas aktywacji zabezpieczenia jest wystarczająco krótki (należy dopasować go do klasyfikacji przetwarzanych danych i ryzyka ich utraty). Zabezpieczenie takie dobrze jest stosować nawet wtedy, kiedy w systemie KS-SOMED mamy włączoną automatyczną blokadę. Na zakończenie pracy należy zamknąć aktywne sesje oraz wyrejestrować się (wylogować się) z serwerów lub też stosować oprogramowanie blokujące klawiaturę i wygaszacz ekranu zabezpieczony hasłem. Elementarnym sposobem zabezpieczenia systemu informacyjnego przed awariami, a tym samym przed utratą danych, jest zastosowanie urządzeń podtrzymujących zasilanie, czyli zasilaczy bezprzerwowych (UPS). Zabezpieczone w ten sposób powinny być przede wszystkim serwery ale również stacje robocze i newralgiczne urządzenia sieciowe. UPS pozwala na prace przez krótki czas po zaniku zasilania ale przede wszystkim umożliwia bezpieczny zapis danych w przypadku awarii zasilania. Kolejnym elementem podnoszącym bezpieczeństwo danych jest stosowanie tzw. macierzy dyskowych. Umożliwiają one odzyskanie danych nawet w przypadku uszkodzenia dysku, na którym zapisana jest baza danych. 5.2. Wykonywanie kopii baz i ich zabezpieczenie Równie ważne jak ochrona przed niepowołanym dostępem jest ochrona newralgicznych dla firmy danych przed zniszczeniem w wyniku kataklizmu lub awarii sprzętu. Dane należy kopiować na bieżąco lub w niewielkich odstępach czasu, aby bez problemu odtworzyć informacje utracone w wyniku awarii klub kataklizmu. Kopie awaryjne nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco. Kopie awaryjne należy: - przechowywać w sposób uniemożliwiający ich zniszczenie (np. sejf ognioodporny) - zabezpieczyć przed dostępem osób niepowołanych - okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu - bezzwłocznie usuwać po ustaniu ich użyteczność 5.3. Zabezpieczenie dostępu do pomieszczeń Nie warto budować kosztownego i złożonego systemu programowych zabezpieczeń, jeśli zasoby komputerowe nie będą fizycznie dobrze chronione, a osoba nieuprawniona bez trudu będzie mogła wyjąć z serwera dysk i skopiować lub zniszczyć dane. Fizyczny dostęp do serwerów powinny mieć tylko osoby bezpośrednio odpowiedzialne za ich funkcjonowanie - administratorzy czy pracownicy serwisu. W przypadku bardzo cennych zasobów lub dużej grupy osób mających dostęp do krytycznych zasobów dobrą praktyką jest zainstalowanie systemu alarmowego z indywidualnym dostępem na hasło czy kartę magnetyczną lub systemu biometrycznego, rejestrującego osoby wchodzące do pomieszczenia. Do czasu wprowadzenia takiego rozwiązania pomieszczenie z serwerami powinno być zamykane na klucz, wydawany jedynie po wpisaniu się danej osoby do rejestru. Minimum ochrony fizycznej należy się stacjom roboczym jako miejscom dostępu do danych firmy. Chociaż są one zabezpieczone hasłem, należy ocenić, czy i w jaki sposób powinny być chronione. Na pewno trzeba zabezpieczyć fizycznie stacje robocze administratorów ze względu na ich uprzywilejowany charakter, a także wszelką dokumentację związaną z budową i eksploatacją systemów komputerowych. 5.4. Przeglądanie raportu zdarzeń systemu KS-SOMED Znaczna część wyświetlanych przez system komunikatów jest zapamiętywana w bazie danych. Pozwala to na odtworzenie informacji, jakie wyświetlane są przez system KS-SOMED, a w niektórych sytuacjach także na rozstrzygnięcie spraw spornych dzięki zapamiętywaniu również odpowiedzi operatora. Dzięki temu możliwe jest między innymi wykrycie prób nieupoważnionego dostępu do systemu. Lista zdarzeń systemu KS-SOMED dostępna jest w module Administrator (menu Funkcje/Przeglądanie raportu zdarzeń). Nie jest ona dodatkowo chroniona uprawnieniem, jako że do tego modułu i tak dostęp powinna mieć garstka uprawnionych operatorów.
Rys.5.1. Okno przeglądania raportu zdarzeń Każde zdarzenie systemu określone jest następującymi atrybutami: - data i godzina zdarzenia - operator, jaki był zalogowany w momencie zdarzenia; uwaga: dane operator zapamiętane są tekstowo, jeśli więc dokonamy zmiany nazwiska pracownika w rejestrze zdarzeń będzie widnieć stare nazwisko - numer stanowiska - rodzaj zdarzenia: - ERR - błąd: praktycznie wszystkie komunikaty o błędach są zapisywane - WRN ostrzeżenie - QST pytane, zapamiętywana jest również odpowiedź operatora (Tak, Nie) - INF informacja - OTH - inne - kod błędu, jeśli zdarzenie jest błędem, - klasa zdarzenia: - AUT błędy niezdefiniowane inaczej, a więc wszystkie błędy automatycznie zapisywane, których programista nie zakwalifikował do innej klasy - LOG zdarzenia rejestrowane, czyli te zdarzenia, które programista świadomie zdecydował się zapisywać do rejestru - BEZ naruszenia bezpieczeństwa, np. błędnie wpisane hasło - LIC naruszenia licencji - WRN ostrzeżenia systemu - U0x zdarzenia zdefiniowane dla konkretnych Użytkowników, w obecnej chwili dostępna jest klasa U01 definiująca zdarzenia związane z blokadą wykonania usługi, jeśli nie minął czas trwania innej usługi pacjenta Okno z listą zdarzeń pozwala oczywiście na filtrowanie i wyszukiwanie zdarzeń według zadanych kryteriów.