Analiza ryzyka zgodna z ISO 27001 SZPITAL. Bieńkowski Mikołaj (s6020) Domański Jakub (s4711) Graczyk Hubert (s6215) Kwit Przemysław (s6190)



Podobne dokumenty
ANALIZA RYZYKA ZGODNA Z ISO DLA FIRMY UBEZPIECZENIOWEJ WRAZ Z USŁUGĄ E-UBEZPIECZENIA

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Przykładowa lista zagroŝeń dla systemu informatycznego

Sposób funkcjonowania

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

KONFERENCJA technologie sieciowe

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

ISO bezpieczeństwo informacji w organizacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

System Zarządzania Bezpieczeństwem Informacji. Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Systemy macierzowe. www. qsantechnology. com

Spis treści. 1. Utworzenie konta Dodanie zgłoszenia Realizacja zgłoszenia...7

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Audytowane obszary IT

Szczegółowy opis przedmiotu zamówienia:

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Załącznik Dotyczy: połączeń SAN

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

System do projektowania i dokumentowania sieci komputerowych Projekt konceptualny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

CASE STUDY NOWE MOŻLIWOŚCI ROZWOJU SZPITALA W MIĘDZYRZECZU DZIĘKI ROZWIĄZANIOM HUAWEI ENTERPRISE BRANŻA MEDYCZNA

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER

Podstawowe możliwości programu Spectro Market Faktura

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

SPECYFIKACJA TECHNICZNA SYSTEMU TELEWIZJI PRZEMYSŁOWEJ Łódź 2015

POLITYKA BEZPIECZEŃSTWA DANYCH

Audyt infrastruktury IT i systemów informatycznych w

Firma Informatyczna ASDER. Prezentacja. Centrum zarządzania. Przemysław Kroczak ASDER

AE/ZP-27-16/14. Załącznik nr Z2

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Reforma ochrony danych osobowych RODO/GDPR

1. Instalacja jednostanowiskowa Instalacja sieciowa Instalacja w środowisku rozproszonym Dodatkowe zalecenia...

Gil, Piotr Trybuchowicz zwraca się o prośbą o przedstawienie oferty cenowej na zakup:

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Wszyscy uczestnicy postępowania NS: SZW/NZ/ /PN/2013

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Oferta firmy MemoTech.PL dotycząca wszystkich usług IT.

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Marcin Soczko. Agenda

Wewnętrzny Pomiar Ryzyka* (WPR)

THB Systemy Informatyczne Sp. z o.o. Wrocław. s p e c j a l i s t y c z n e s y s t e m y i n f o r m a t y c z n e. Szanowni Państwo!

Protokół powykonawczy

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

ZARZĄDZANIE RYZYKIEM CYBERNETYCZNYM NASZE ROZWIĄZANIA

Produkty. MKS Produkty

INFRA. System Connector. Opis systemu

Weryfikacja skuteczności stosowanych zabezpieczeń systemów teleinformatycznych

Cena powinna zawierać koszt użytkowania niezbędnego oprogramowania serwera i bazy danych na okres obowiązywania umowy.

ZAŁACZNIK NR 1D KARTA USŁUGI Utrzymanie Systemu Poczty Elektronicznej (USPE)

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Axence nvision Nowe możliwości w zarządzaniu sieciami

Doskonalenie podstaw programowych kluczem do modernizacji kształcenia zawodowego

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Analiza kosztów stosowania bilingu

Ochrona biznesu w cyfrowej transformacji

Elektroniczna Ewidencja Materiałów Wybuchowych

REGULAMIN KORZYSTANIA Z USŁUGI DOSTĘPU DO SIECI INTERNET BEZ POBIERANIA OPŁAT. 1 Postanowienia ogólne

REGULAMIN. I. Definicje

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

A. Definicje: 1. Testy odtworzeniowe

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Warszawa, dnia r.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

WAKACYJNA AKADEMIA TECHNICZNA

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Transkrypt:

Analiza ryzyka zgodna z ISO 27001 SZPITAL Bieńkowski Mikołaj (s6020) Domański Jakub (s4711) Graczyk Hubert (s6215) Kwit Przemysław (s6190) 17 czerwca 2013

Spis treści 1 Mapowanie zasobów................................ 2 1.1 Informacje.................................... 2 1.2 Oprogramowanie................................ 2 1.3 Urządzenia usługowe.............................. 3 1.4 Zasoby fizyczne................................. 3 2 Opis zagrożeń dla zasobów............................ 4 2.1 Informacje.................................... 4 2.2 Oprogramowanie................................ 5 2.3 Zasoby fizyczne................................. 6 2.4 Urządzenia usługowe.............................. 7 2.5 Dodatkowe niewymienione zasoby....................... 8 3 Szacowanie ryzyka................................. 11 3.1 Określenie możliwości wystąpienia zagrożeń wg. NIST............ 11 3.2 Określenie poziomu podatności skutków zagrożeń według NIST...... 11 3.3 Macierz ryzyka według NIST.......................... 12 3.4 Poziom bezpieczeństwa według NIST..................... 12 3.5 Ocena ryzyka.................................. 13 3.6 Definiowanie poziomów ryzyka......................... 13 4 Wnioski....................................... 14 5 Uwagi do raportu................................. 15 6 Korespondencja z klientem........................... 16 6.1 Pytanie 1.................................... 16 1

Rozdział 1 Mapowanie zasobów W związku z brakiem identyfikatorów nazw zasobów, w celu ułatwienia dalszych prac zastosowaliśmy następujące, własne, mapowania. 1.1 Informacje Nazwa zasobu Identyfikator zasobu Baza danych pacjentów I 1 Terminarz wizyt I 2 Baza danych wystawionych recept I 3 Baza danych wystawionych rachunków I 4 Baza danych przeprowadzonych zabiegów I 5 Baza danych historii rozmów telefonicznych z klientami I 6 Baza danych historii opieki nad pacjentami I 7 1.2 Oprogramowanie Nazwa zasobu Identyfikator zasobu Serwer aplikacji firmy ds. rejestracji O 1 Serwer wykrywania włamań na WEB Serw O 2 Serwer archiwizacji danych O 3 MS Windows 7 Enterprise Edition O 4 Norton AntyVirus 2013 O 5 MS Windows SQL Serwer O 6 2

1.3 Urządzenia usługowe Nazwa zasobu Identyfikator zasobu Firewall Cisco ASA5525X Firewall Edition Z 1 Routery Cisco 3945 with 3 onboard GE Z 2 Switche core owewsc3750 X48PS Z 3 Switche dostępowe WSC2960 S48LPDL Z 4 SerweryDell PowerEdge R720 z VMware 5 Z 5 Macierze EMC VNX5100 Z 6 1.4 Zasoby fizyczne Nazwa zasobu Identyfikator zasobu Agregat prądotwórczy U 1 Klimatyzacja serwerowni U 2 Panele słoneczne U 3 Oczyszczacz powietrza U 4 Klimatyzacja / ogrzewanie U 5 Wentylacja szpitala U 6 3

Rozdział 2 Opis zagrożeń dla zasobów Braki i uwagi ogólne: 1. W chwili uszkodzenia switcha na którymkolwiek z pięter infrastruktura sieci na danym piętrze i piętrach poniższych straci połączenie. 2. Drukarki sieciowe są niewymienione w liscie zasobów, a znajdują się na schemacie. Zakładamy że drukarki sieciowe mają ID U 7 3. Brak informacji o zastosowanym w macierzach systemie RAID. 4. W obecnej konfiguracji macierze dysków są zbędne. Dyski są umieszczone bezpośrednio w serwerze. 5. Na diagramie struktury teleinformatycznej brak umieszczonych urządzeń usługowych co utrudnia identyfikacje zagrożeń. 6. Komputery są niewymienione w liście zasobów, a znajdują się na schemacie. Zakładamy, że komputery mają ID Z 7 2.1 Informacje I 2 Zmiana terminów wizyt spotkań pacjentów I 1 Uzyskanie danych osobowych klienta przesyłanych w procesie Urządzenia sieciowe - atak typu APR spoof + man in the middle - brak kontroli pro- Poufność ZAG 1 tokołu APR Brak aktualnych Integralność ZAG 2 sygnatur złośliwego oprogramowania Kontynuacja na następnej stronie 4

Kontynuacja z poprzedniej strony I 3 Zafałszowanie informacji Urządzenia sieciowe - Integralność ZAG 3 dotyczących atak typu APR spo- wystawionych recept of + man in the middle - skutek: problemy - brak kontroli pro- z urzędem skarbowym, tokołu APR niezgodność przychodów szpitala I 4 Zmienione dane (zafałszowane) Urządzenia sieciowe - Integralność ZAG 4 na fakturze atak typu APR spo- w procesie przesyłania danych do faktury of + man in the middle - brak kontroli pro- I 5 I 6 I 7 Uzyskanie konta administratora w serwerze bazy danych przeprowadzonych zabiegów - skutek : ujawnienie historii przeprowadzonych zabiegów Uzyskanie konta administratora w serwerze bazy danych przeprowadzonych rozmów telefonicznych - skutek: utrata poufnych danych Uzyskanie konta administratora w serwerze bazy danych pacjentów - skutek : ujawnienie historii pacjentów szpitala 2.2 Oprogramowanie tokołu APR Atak słownikowy z sieci wewnętrznej na konto roota Atak słownikowy z sieci wewnętrznej na konto roota Atak słownikowy z sieci wewnętrznej na konto roota Integralność ZAG 5 Poufność ZAG 6 Poufność ZAG 7 O 1 Uzyskanie danych Urządzenia sieciowe - Poufność ZAG 8 osobowych pacjentów atak typu APR spo- przesyłanych w of + man in the mid- procesie dle - brak kontroli protokołu APR Kontynuacja na następnej stronie 5

Kontynuacja z poprzedniej strony O 2 Uzyskanie dostępu do Systemy teleinformatyczne Poufność ZAG 9 konta administratora - skutek: wyłączenie zabezpieczeń, przekłamanie serwera system użyt- kowe atak słownikowy z sieci wewnętrznej na konto roota O 3 Uzyskanie dostępu do konta administratora - skutek: wyłączenie zabezpieczeń, przekłamanie serwera O 4 Podatność na wirusy - skutek: kradzież danych, przejęcie kontroli, odmowa działania O 5 Podatność na wirusy - skutek: kradzież danych, przejęcie kontroli, odmowa działania O 6 Podatność na wirusy - skutek: kradzież danych, przejęcie kontroli, odmowa działania 2.3 Zasoby fizyczne Systemy teleinformatyczne system użytkowe atak słownikowy z sieci wewnętrznej na konto roota Brak aktualizacji oprogramowania Brak aktualizacji oprogramowania Brak aktualizacji oprogramowania Poufność ZAG 10 Poufność ZAG 11 Poufność ZAG 12 Poufność ZAG 13 Z 1 Modyfikacja konfiguracji Systemy teleinformatyczne Poufność ZAG 14 firewalla z sieci we- wnętrznej system opera- cyjny brak aktuali- Z 2 Z 3 Z 4 Modyfikacja konfiguracji routera sieci internet lub wewnętrznej zacji firmwaru Systemy teleinformatyczne system operacyjny brak aktualizacji firmwaru Modyfikacja konfiguracji switcha z sieci wewnętrznej Systemy teleinformatyczne system operacyjny brak aktualizacji firmwaru Modyfikacja konfiguracji switcha z sieci wewnętrznej Systemy teleinformatyczne system operacyjny brak aktualizacji firmwaru Poufność ZAG 15 Poufność ZAG 16 Poufność ZAG 17 Kontynuacja na następnej stronie 6

Kontynuacja z poprzedniej strony Z 5 Uzyskanie konta administratora Systemy teleinformatyczne Poufność ZAG 18 na serwerze, ataki z sieci wewnętrznekowe system użyt- atak słownikowy z sieci wewnętrznej na konto roota 2.4 Urządzenia usługowe U 1 Restart wszystkich serwerógły System zasilania - na- Dostępność ZAG 20 spadek mocy U 2 Podgrzewanie się urządzeń System wentylacji / Dostępność ZAG 21 w serwerowni klimatyzacji - awaria klimatyzatora / wen- U 3 Uszkodzenia mechaniczne tylatora Uszkodzenie fizyczne w wyniku zjawisk pogodowych (silne wiatry, grad) U 4 Uszkodzony filtr Zanieczyszczenie może spowodować zniszczenie filtru. U 5 Uszkodzenie mechaniczne klimatyzatora U 6 Rozprzestrzenie się bakterii / skażenia Uszkodzenie fizyczne w wyniku zjawisk pogodowych (silne wiatry, grad, zamarznięcie wymiennika) Poprzez przewody wentylacyjne możliwe jest przenoszenie się zarazków/ materiałów skażonych Dostępność ZAG 22 Dostępność ZAG 23 Dostępność ZAG 24 Integralność ZAG 25 7

2.5 Dodatkowe niewymienione zasoby U 7 Uzyskanie dostępu do Podłączając się poprzez Dostępność ZAG 26 drukarek poprzez sieć Wi-Fi do sie- Wi-Fi ci każdy użytkownik ma dostęp do drukarki - brak informacji o jakiejkolwiek ochronie przed użyciem drukar- Brak Brak wykwalifikowanej kadry w szpitalu w chwili zdarzenia. ki sieciowej (np. hasło) W systemie informatycznym szpitala brak jest jakiegokolwiek systemu umożliwiającego synchronizację zwolnień/urlopów lekarzy. Możliwe jest więc, że podczas zdarzenia (np. wypadek Integralność ZAG 27 samochodowy) w szpitalu nie będzie lekarza, który mógłby udzielić natychmiastowej pomocy (np operacji). Kontynuacja na następnej stronie 8

Kontynuacja z poprzedniej strony Brak Wysłanie karetki pod W systemie teleinformatycznym Integralność ZAG 28 zły adres. szpitala brak jest systemu umożliwiającego nagrywanie rozmów. W chwili stresowej dyspozytor może zapomnieć gdzie miał wysłać pomoc i brak takiego systemu uniemożliwi mu szybką reakcję. Dodatkowo w systemie brak jakiejkolwiek informacji o zastosowanych telefonach - nie wiemy czy dyspozytor w takiej sytuacji mógłby oddzwonić na numer osoby wzywającej pomoc (może nie mieć danego numeru). Brak Brak systemu monitorującego Brak informacji o Poufność ZAG 29 jakimkolwiek systemie monitorującym. Urządzenia takie mogłyby być wykorzystane do monitoringu np sali operacyjnej - w chwili wypadku można by było stwierdzić czy kadra zareagowała zgodnie z obowiązującym ich prawem. Kamery mogłyby być także umieszczone nad pokojami z lekami, przez co zmalałoby ryzyko wykradnięcia leków. Kontynuacja na następnej stronie 9

Kontynuacja z poprzedniej strony Z 7 Brak osoby odpowiedzialnej W chwili awarii Integralność ZAG 30 za jeden z komputera brak jest głównych zasobów - osoby, która zajełaby komputery się naprawą danej szkody. W chwili jednoczesnej dużej awarii (przepięcie w układzie elektrycznym szpitala co spowoduje przepalenie kilku komputerów) niemożliwe będzie zapisywanie nowych pacjentów, bądź sprawdzanie historii leczenia pacjenta. 10

Rozdział 3 Szacowanie ryzyka 3.1 Określenie możliwości wystąpienia zagrożeń wg. NIST 1. Poziom wysoki (1) - Czynnik o wysokiej motywacji, posiadający potencjał do dużego rażenia, zabezpieczenia mające chronić przed wykorzystaniem podatności są niesktuczne. 2. Poziom średni (0,5) - Czynnik sprawczy o średniej motywacji, posiadający możliwości, zabezpieczenia są w stanie skutecznie przecistawić się wykorzystaniu podatności. 3. Poziom niski (0,1) - Czynnik niski nie posiada motywacji lubnie posiada wystarczającego potencjału rażeni. Zabezpieczenia są skuteczne albo przynajmniej spełniają swoje zadania 3.2 Określenie poziomu podatności skutków zagrożeń według NIST 1. Poziom bardzo wysoki (100) - Wykorzystanie podatności może: spowodować najwyższe możliwe straty dla ważnych zasobów zakłócić realizację ciągłości funkcjonowania wstrzymać realizację ciągłości funkcjonowania zaszkodzić w dużym stopniu reputacji szpitala spowodować utratę życia spowodować utratę zdrowia 2. Poziom wysoki (75) 3. Poziom średni (50) - Wykorzystanie podatności może: spowodować duże straty w zakresie ważnych zasobów zakłócić realizację celów organizacji 11

zaszkodzić interesom zaszkodzić reputacji szpitala spowodować utratę zdrowia 4. Poziom niski (30) - Wykorzystanie podatności może: spowodować stratę niektórych ważnych zasobów zakłócić w sposób zauważalny realizację celów szpitala wpłynąć negatywnie na reputację szpitala wpłynąć negatywnie na interesy szpitala 5. Poziom bardzo niski (10) 3.3 Macierz ryzyka według NIST Możliwe Poziom Poziom niski Poziom Poziom Poziom bar- zagrożenie bardzo (30) średni wysoki dzo wysoki niski (10) (50) (75) (100) wysokie (1) 1 10 = 10 1 30 = 30 1 50 = 50 1 75 = 75 1 100 = 100 Średnie (0.5) 0, 5 10 = 5 0, 5 30 = 15 0, 5 50 = 25 0, 5 75 = 37,5 0, 5 100 = 50 Niskie (0.1) 0, 1 10 = 1 0, 1 30 = 3 0, 1 50 = 5 0, 1 75 = 7,5 0, 1 100 = 10 3.4 Poziom bezpieczeństwa według NIST Poziom wysoki Następuje silna potrzeba redukcji działań korygujących, wdrożenia systemu zabezpieczeń. System mógłby działać dalej jednak plan bezpieczeństwa / zabezpieczeń powinien być wdrożony w trybie natychmiastowym. Poziom średni Działania korygujące są konieczne. System mógłby działać dalej jednak plan bezpieczeństwa / zabezpieczeń powinien być wdrożony w rozsądnym przedziale czasowym. Poziom niski Osoba odpowiedzialna za bezpieczeństwo systemu powinna niezwłoczenie podjąć decyzję o podjęciu działań korygujących ewentualnie akceptacji ryzyka o dopuszczeniu systemu do eksploatacji. 12

3.5 Ocena ryzyka Zagrożenie Waga szkody Możliwość wystąpienia szkody ZAG 1 100 0,1 10 ZAG 2 100 0,1 10 ZAG 3 100 0,1 10 ZAG 4 50 0,1 5 ZAG 5 100 0,1 10 ZAG 6 25 0,1 2,5 ZAG 7 100 0,1 10 ZAG 8 100 0,1 10 ZAG 9 100 0,1 10 ZAG 10 100 0,1 10 ZAG 11 100 0,5 50 ZAG 12 100 0,5 50 ZAG 13 100 0,5 50 ZAG 14 50 0,1 5 ZAG 15 50 0,1 5 ZAG 16 50 0,1 5 ZAG 17 50 0,1 5 ZAG 18 100 0,1 10 ZAG 20 75 0,1 7,5 ZAG 21 75 0,5 37,5 ZAG 22 50 0,1 5 ZAG 23 75 0.1 7,5 ZAG 24 75 0,5 37,5 ZAG 25 100 0,1 10 ZAG 26 10 1 10 ZAG 27 100 0,5 50 ZAG 28 100 0,1 10 ZAG 29 50 0,5 25 ZAG 30 50 0,1 5 3.6 Definiowanie poziomów ryzyka Wyliczone ryzko Poziom wysoki (51-100): ZAG 11, ZAG 12, ZAG 13, ZAG 27 Poziom średni (11-50): ZAG 21, ZAG 24, ZAG 29 Poziom niski (0-10): ZAG 1, ZAG 2, ZAG 3, ZAG 4, ZAG 5, ZAG 6, ZAG 7, ZAG 8, ZAG 9, ZAG 10, ZAG 14, ZAG 15, ZAG 16, ZAG 17, ZAG 18, ZAG 20, ZAG 22, ZAG 23, ZAG 25, ZAG 26, ZAG 28, ZAG 30. 13

Rozdział 4 Wnioski Ocena ryzyka wykryła trzy najgroźniejsze zagrożenia, które oznaczone są następująco: ZAG 11, ZAG 12, ZAG 13, ZAG 27. Podatność na ataki wirusowe jest duża ze względu na brak aktualizacji oprogramowania. Skutkiem może być wykradnięcie danych między innymi: historia zabiegów, wydane recepty (zwłaszcza, które opierają na leki nie dostępne bez recepty), baza i historia leczenia pacjentów co nie jest korzystne dla szpitala. Do tej grupy groźnych zagrożeń również zalicza się brak wykwalifikowanej kadry w szpitalu w chwili zdarzenia co spowodowane jest brakiem systemu do obsługi grafiku szpitala. Do średnich zagrożeń zaliczamy jedynie dwa oznaczone następująco: ZAG 21, ZAG 24, ZAG 29. Zagrożenia nie są niskiego poziomu więc im również należy poświęcić więcej uwagi aby ich działanie nie przeszkodziło w funkcjonowaniu szpitala. Podgrzewanie się urządzeń w serwerowni jest poważnym zagrożeniem, ponieważ niesie za sobą nieprzewidziane skutki tak samo klimatyzator, który powinien być niezawodny. Szpital jest miejscem gdzie przechowywane są różne zasoby, które powinny mieć odpowiednią temperaturę i stosowne miejsce przechowywania. Osoba odpowiedzialna za bezpieczeństwo, agregująca dane powinna jak najszybciej podjąć stosowne kroki w celu wyeliminowania powyższych zagrożeń. 14

Rozdział 5 Uwagi do raportu Brak identyfikatórów nazw: wprowadzono własną mapę. Wprowdzono dodatkowe zasoby, które są uwzględnione w tabeli zasobów jednak na diagramie istnieją 15

Rozdział 6 Korespondencja z klientem 6.1 Pytanie 1 Nadawca: mykhi@pjwstk.edu.pl Odbiorca: lukasz.leszko@gmail.com Data: 13 czerwca 2013, 18:11 Temat: Pytanie macierze dyskowe - projekt Szpital ZMI Treść pytania: Witam, Proszę o wyjaśnienie zawartości dokumentacji. Dyski twarde znajdują się bezpośrednio w serwerze a nie w macierzy. Innymi słowy Macierz jest pusta. Czy tak jest w rzeczywistości czy może jest to błąd w dokumentacji. Proszę o wyjaśnienie. Nadawca: lukasz.leszko@gmail.com Odbiorca: mykhi@pjwstk.edu.pl Data: 14 czerwca 2013, 17:13 Temat: Re: Pytanie macierze dyskowe - projekt Szpital ZMI Odpowiedź: Witam, Dyski w serwerach zawierają dane systemu hosta (VMware), macierze zawierają dyski z danymi maszyn wirtualnych i są podpięte do serwera za pośrednictwem switcha przez iscsi. Z poważaniem Tomasz Witkowski 16

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres