Типовые офтальмологические информационные системы, являющиеся объектами критической информационной инфраструктуры
Ключевые слова:
критическая информационная инфраструктура, сфера здравоохранения, офтальмология, угрозы безопасности информации, модель нарушителя, критерии категорированияАннотация
Актуальность. Информационные системы, используемые в офтальмологии согласно Федеральному закону от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», могут относиться к значимым объектам критической информационной инфраструктуры, в случае если целенаправленная компьютерная атака на них может привести к причинению ущерба, оцениваемого по пяти показателям значимости.
Цель. Анализ типовых процессов, связанных с использованием информационных систем в сфере офтальмологии, обоснование выбора тех из них, которые могут относиться к категории критических.
Материал и методы. В рамках данной статьи рассматриваются общие объекты критической информационной инфраструктуры в сфере здравоохранения, проведен анализ типовых офтальмологических автоматизированных систем управления.
Результаты. Проведена оценка актуальных нарушителей для информационных систем в области офтальмологии и последствия от реализации ими угроз безопасности информации, на основании которых вырабатываются уточненные критерии по отнесению объектов к значимым.
Заключение. Первоочередным этапом в процессе категорирования является определение перечня объектов – информационных систем, наиболее критически важных с точки зрения последствий от компьютерных атак для функционирования субъекта критической инфраструктуры. Не все информационные системы предприятия обеспечивают
критические информационные процессы и обладают признаками наличия категории значимости.
Библиографические ссылки
1. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ. [Federal Law «On the Security of Critical Information Infrastructure of the Russian Federation» dated 26.07.2017 No. 187-FZ (In Russ.)]
2. Вус М.А., Кучерявый М.М., Шакин Д.Н. Методологические проблемы обеспечения информационной безопасности критически важных объектов топливно-энергетического комплекса Российской Федерации. Информатизация и связь. 2012;7: 42–47. [Vus MA, Kucheryavy MM, Shakin DN. Methodological problems of ensuring information security of critical facilities of the fuel and energy complex of the Russian Federation. Informatization and Communication. 2012;7: 42–47. (In Russ.)]
3. Абраменко Г.Т., Лансере Н.Н., Фадеев И.И. Анализ особенностей субъектов критической информационной инфраструктуры Российской Федерации, функционирующих в сфере науки. Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2022): XI Международная научно-техническая и научно-методическая конференция, Санкт-Петербург, 15–16 февраля 2022 г. Санкт-Петербург; 2022; 1: 49–54. [Abramenko GT, Lansere NN, Fadeev II. Analysis of the features of the subjects of the critical information infrastructure of the Russian Federation functioning in the field of science. Actual problems of infotelecommunications in Science and education (APINO 2022): XI International Scientific Technical and Scientific-Methodical Conference, St. Petersburg, February 15–16, 2022 St. Petersburg; 2022; 1: 49–54. (In Russ.)]
4. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия 1.0 (утв. Министерством здравоохранения РФ 5 апреля 2021 г.). [Methodological recommendations for categorizing objects of critical information infrastructure in the healthcare sector. Version 1.0 (approved by the Ministry of Health of the Russian Federation on April 5, 2021). (In Russ.)]
5. Приказ ФСТЭК России от 11.02.2013 № 17 (ред. от 28.05.2019) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 № 28608) (с изм. и доп., вступ. в силу с 01.01.2021). [Order of the FSTEC of Russia dated 11.02.2013 No. 17 (ed. dated 28.05.2019) «On Approval of Requirements for the Protection of Information not constituting a State Secret contained in State Information systems» (Registered with the Ministry of Justice of Russia on 31.05.2013 No. 28608) (with amendments and additions, intro. effective from 01.01.2021) (In Russ.)]
6. Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 № 28375). [Order of the FSTEC of Russia dated 18.02.2013 No. 21 (ed. dated 14.05.2020) «On approval of the Composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems» (Registered with the Ministry of Justice of Russia on 14.05.2013 No. 28375) (In Russ.)]
7. Вус М.А., Кучерявый М.М., Шакин Д.Н., Юсупов Р.М. Эскиз системного подхода к формированию понятийного аппарата информационной безопасности. Информатизация и связь. 2012;9: 7–15. [Vus MA, Kucheryavy MM, Shakin DN, Yusupov RM. Sketch of a systematic approach to the formation of the conceptual apparatus of information security. Informatization and communication. 2012;9: 7–15. (In Russ.)]
8. Кучерявый М.М., Шакин Д.Н., Гвритишвили П.П. К вопросу о сущности и содержании информационной безопасности. Информатизация и связь. 2014;1: 17–20. [Kucheryavy MM, Shakin DN, Gvritishvili PP. On the issue of the essence and content of information security. Informatization and Communication. 2014;1: 17–20. (In Russ.)]
9. Малюгин Б.Э., Сахнов С.Н., Аксенова Л.Е. и др. Применение методов машинного обучения при разработке алгоритма диагностики кератоконуса. Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2022;1: 79–86. [Malyugin BE, Sakhnov SN, Aksenova LE, et al. Application of machine learning methods in the development of an algorithm for the diagnosis of keratoconus. Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizaina. Seriya 1: Estestvennye i tekhnicheskie nauki. 2022;1: 79–86. (In Russ.)] doi: 10.46418/2079-8199_2022_1_12
10. ICS Advisory (ICSA-22-228-06). Available from: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-06 [Accessed 12th January 2023]
11. ICS Advisory (ICSA-22-228-05). Available from: https://www.cisa.gov/uscert/ics/advisories/icsa-22-228-05 [Accessed 12th January 2023]
12. Интернет-форум breached. Available from: https://breached.to [Accessed 12th January 2023]
13. Андрианов В.И., Красов А.В., Липатников В.А. Инновационное управление рисками информационной безопасности: учебное пособие. СПб: СПбГУТ, 2012. [Andrianov VI, Krasov AV, Lipatnikov VA. Innovative information security risk management: textbook. St. Petersburg: SPbGUT, 2012. (In Russ.)]
14. Билятдинов К.З., Красов А.В., Меняйло В.В. Исследование систем и анализ результатов испытаний. СПб: Центр научно-информационных технологий «Астерион», 2019. [Bilyatdinov KZ, Krasov AV, Menyailo VV. Research of systems and analysis of test results. St. Petersburg: Tsentr nauchno informatsionnykh tekhnologii «Asterion», 2019. (In Russ.)]
15. Красов А.В., Штеренберг С.И., Фахрутдинов Р.М. и др. Анализ информационной безопасности предприятия на основе сбора данных пользователей с открытых ресурсов и мониторинга информационных ресурсов с использованием машинного обучения. Телекоммуникации и транспорт. 2018;12(10): 36–40. [Krasov AV, Shterenberg SI, Fakhrutdinov RM, et al. Enterprise information security analysis based on user data collection from open resources and monitoring of information resources using machine learning. T-Comm. 2018;12(10): 36–40. (In Russ.)] doi: 10.24411/2072 8735-2018-10154
16. Котенко И.В., Левшун Д.С., Чечулин А.А. и др. Комплексный подход к обеспечению безопасности киберфизических систем на основе микроконтроллеров. Вопросы кибербезопасности. 2018;3(27): 29–38. [Kotenko IV, Levshun DS, Chechulin AA, et al. An integrated approach to ensuring the security of cyber-physical systems based on microcontrollers. Voprosy kiberbezopasnosti. 2018;3(27): 29–38. (In Russ.)] doi: 10.21681/2311 3456-2018-3-29-38
17. Шакин Д.Н. Этапы развития безопасности средств информационных коммуникаций. Национальная безопасность и стратегическое планирование. 2013;2(2): 11–22. [Shakin DN. Stages of development of information communications security. Natsional’naya bezopasnost’ i strategicheskoe planirovanie. 2013;2(2): 11–22. (In Russ.)]
18. Миняев А.А., Красов А.В. Методика оценки эффективности системы защиты информации территориально-распределенных информационных систем. Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2020;3: 26–32. [Minyaev AA, Krasov AV. Methodology for evaluating the effectiveness of the information security system of geographically distributed information systems. Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizaina. Seriya 1: Estestvennye i tekhnicheskie nauki. 2020;3: 26–32. (In Russ.)] doi: 10.46418/2079-8199_2020_3_4
19. Миняев А.А., Красов А.В., Сахаров Д.В. Метод оценки эффективности системы защиты информации территориально-распределенных информационных систем персональных данных. Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2020;1: 29–33. [Minyaev AA, Krasov AV, Sakharov DV. Method of evaluating the effectiveness of the information protection system of geographically distributed personal data information systems. Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizaina. Seriya 1: Estestvennye i tekhnicheskie nauki. 2020;1: 29–33. (In Russ.)] doi: 10.46418/2079-8199_2020_1_5
20. Гельфанд А.М., Лансере Н.Н., Ложкина А.А., Фадеев И.И. Организация концептуальной модели критической информационной инфраструктуры. Методы и технические средства обеспечения безопасности информации. Материалы конференции. 2020;29: 39–40. [Gelfand AM, Lancere NN, Lozhkina AA, Fadeev II. Organization of a conceptual model of critical information infrastructure. Methods and technical means of ensuring information security. Conference materials. 2020;29: 39–40. (In Russ.)]
Опубликован
Лицензия
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.
