Актуальные угрозы безопасности информации в сфере здравоохранения и офтальмологии
Ключевые слова:
критическая информационная инфраструктура, сфера здравоохранения, офтальмология, угрозы безопасности информации, модель нарушителя, актуальные угрозы, компьютерные инцидентыАннотация
Актуальность. Учреждения здравоохранения, в том числе занимающиеся вопросами офтальмологии в соответствии со сферой своей деятельности, относятся к субъектам критической информационной инфраструктуры, определенным Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». Для данных организаций необходимо провести соответствие объектов критической информационной инфраструктуры установленным критериям и показателям значимости. Цель. Анализ специфики процесса категорирования для организаций офтальмологии, разработка алгоритма принятия решений о присвоении категории значимости объекта критической информационной инфраструктуры.
Материал и методы. В статье рассмотрены вопросы оценки рисков информационной безопасности и процесса категорирования применительно к организациям офтальмологии. Исследование выполнено в рамках реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации».
Результаты. Рассмотрены последствия реализации атак на информационные системы, являющиеся значимыми для конкретных типов объектов критической информационной инфраструктуры в сфере здравоохранения и, в частности, в области офтальмологии. Обоснован выбор критериев значимости исходя из специфики профиля деятельности предприятий в области офтальмологии. Разработан алгоритм принятия решения о присвоении категории значимости.
Заключение. Были проведены исследования по анализу актуальных угроз для объектов критической информационной инфраструктуры в сфере здравоохранения. На основе проделанной работы выявлено, что в существующей методологии недостаточно широко рассмотрена возможность присвоения объекту первой категории значимости, что может привести к необоснованным затратам для обеспечения необходимого уровня безопасности объектов сферы здравоохранения и офтальмологии.
Библиографические ссылки
1. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ. [Federal Law «On the security of critical information infrastructure of the Russian Federation» dated 26.07.2017 No. 187-FZ (In Russ.)]
2. Приказ Росстата от 30.12.2019 № 830 (ред. от 31.12.2020) «Об утверждении форм федерального статистического наблюдения с указаниями по их заполнению для организации Министерством здравоохранения Российской Федерации федерального статистического наблюдения в сфере охраны здоровья». [Rosstat Order No. 830 dated 12/30/2019 (as amended on 12/31/2020) «On approval of federal statistical observation forms with instructions for filling them out for the organization by the Ministry of Health of the Russian Federation of federal statistical observation in the field of health protection» (In Russ.)]
3. Постановление Правительства РФ от 08.02.2018 № 127 (ред. от 19.08.2022) «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». [Decree of the Government of the Russian Federation No. 127 dated 08.02.2018 (ed. dated 19.08.2022) «On approval of the rules for categorizing objects of critical information infrastructure of the Russian Federation, as well as a list of indicators of criteria for the significance of objects of critical information infrastructure of the Russian Federation and their values» (In Russ.)]
4. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия 1.0 (утв. Министерством здравоохранения РФ 5 апреля 2021 г.) [Methodological recommendations for categorizing objects of critical information infrastructure in the healthcare sector. Version 1.0 (approved by the Ministry of Health of the Russian Federation on April 5, 2021) (In Russ.)]
5. Обзор законодательства РФ о критической информационной инфраструктуре [Электронный ресурс]. Доступно по: https://www.spsib.ru/analitika: obzor_zakonodatelstva_o_kriticheskoj informacionnojinfrastrukture (Ссылка активна на 26.10.2022). [Review of the legislation of the Russian Federation on critical information infrastructure [Electronic resource]. [Accessed October 26th 2022]. (In Russ.)]
6. Андрианов В. И. Инновационное управление рисками информационной безопасности: учебное пособие. СПб: СПбГУТ; 2012. [Andrianov VI. Innovative risk management of information security: textbook. Saint-Petersburg: SPbGUT; 2012. (In Russ.)]
7. Анализ информационной безопасности предприятия на основе сбора данных пользователей с открытых ресурсов и мониторинга информационных ресурсов с использованием машинного обучения. T-Comm: Телекоммуникации и транспорт. 2018;12(10): 36–40. [Analysis of enterprise information security based on user data collection from open resources and monitoring of information resources using machine learning. T-Comm: Telekommunikatsii i transport. 2018;12(10): 36–40. (In Russ.)] doi: 10.24411/2072-8735-2018-10154
8. Миняев А.А., Красов А.В. Методика оценки эффективности системы защиты информации территориально-распределенных информационных систем. Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2020;3: 26–32. [Minyaev AA, Krasov AV. Methodology for evaluating the effectiveness of the information protection system of geographically distributed information. Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizaina. Seriya 1: Estestvennye i tekhnicheskie nauki. 2020;3: 26–32. (In Russ.)] doi: 10.46418/2079-8199_2020_3_4
9. Миняев А.А., Красов А.В., Сахаров Д.В. Метод оценки эффективности системы защиты информации территориально-распределенных информационных систем персональных данных. Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2020;1: 29–33. [Minyaev AA, Krasov AV, Sakharov DV. Method of evaluating the effectiveness of the information protection system of geographically distributed information systems of personal data. Vestnik Sankt-Peterburgskogo gosudarstvennogo universiteta tekhnologii i dizaina. Seriya 1: Estestvennye i tekhnicheskie nauki. 2020;1: 29–33. (In Russ.)] doi: 10.46418/2079 8199_2020_1_5
10. Гельфанд А.М., Лансере Н.Н., Ложкина А.А., Фадеев И.И. Организация концептуальной модели критической информационной инфраструктуры. Методы и технические средства обеспечения безопасности информации. 2020;29: 39–40. [Gelfand AM, Lansere NN, Lozhkina AA, Fadeev II. Organization of the conceptual model of critical information infrastructure. Metody i tekhnicheskie sredstva obespecheniya bezopasnosti informatsii. 2020;29: 39–40. (In Russ.)]
11. Абраменко Г.Т., Лансере Н. Н., Фадеев И.И. Анализ особенностей субъектов критической информационной инфраструктуры Российской Федерации, функционирующих в сфере науки. Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2022): XI Международная научно-техническая и научно-методическая конференция. Материалы конференции. СПб: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича. 2022;1: 49–54. [Abramenko GT, Lansere NN, Fadeev II. Analysis of the features of the subjects of the critical information infrastructure of the Russian Federation functioning in the field of science. Actual problems of infotelecommunications in science and education (APINO 2022): XI International Scientific-technical and Scientificmethodological Conference. Conference materials. Saint-Petersburg: St. Petersburg State University of Telecommunications named after Prof. M.A. Bonch-Bruevich. 2022;1: 49–54. (In Russ.)]
12. Вус М.А., Кучерявый М.М., Шакин Д.Н. Методологические проблемы обеспечения информационной безопасности критически важных объектов топливно-энергетического комплекса Российской Федерации. Информатизация и связь. 2012;7: 42–47. [Vus MA, Kucheryavy MM, Shakin DN. Methodological problems of ensuring information security of critically important objects of the fuel and energy complex of the Russian Federation. Informatization and communication. 2012;7: 42–47. (In Russ.)]
13. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах. Труды СПИИРАН. 2012;1(20): 27–56. [Kotenko IV, Saenko IB, Polubelova OV, Chechulin AA. Application of information management technology and security events to protect information in critical infrastructures. Proceedings of SPIIRAN. 2012;1(20): 27–56. (In Russ.)]
14. Котенко И.В., Паращук И.Б. Информационные и телекоммуникационные ресурсы критически важных инфраструктур: особенности интервального анализа защищенности. Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. 2022;2: 33–40. [Kotenko IV, Paraschuk IB. Information and telecommunication resources of critical infrastructures: features of interval security analysis. Bulletin of the Astrakhan State Technical University. Series: Management, Computer Engineering and Computer Science. 2022;2: 33–40. (In Russ.)] doi: 10.24143/2073-5529-2022-2-33-40
15. Котенко И., Хмыров С.С. Анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности при реали- зации целевых атак. Вопросы кибербезопасности. 2022;4(50): 52–79 [Kotenko I, Khmyrov SS. Analysis of models and techniques used for attribution of cybersecurity violators in the implementation of targeted attacks. Voprosy kiberbezopasnosti. 2022;4(50): 52–79. (In Russ.)] doi: 10.21681/2311-3456-2022-4-52-79
Опубликован
Лицензия
Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.
