في الموسم الحالي ، أدى النمو السريع للتكنولوجيا والاتصالات وخاصة الحجم الكبير للمعلومات إلى قيام العديد من الشركات والمؤسسات باستخدام أنظمة تكنولوجيا المعلومات لإدارة وسلامة المعلومات.
الهدف الرئيسي من هذا المشروع هو تنفيذ تقييم أمني كامل للمستشفى الخاص «Elpis». يمكن للشركات التي تخصص مواردها بشكل فعال من أجل فهم أفضل للمخاطر التي تواجهها ، أن تتجنب بسهولة المواقف "غير المتوقعة" وتحرر الموارد في اتجاهات أخرى وأنشطة مربحة (أي استثمارات جديدة) ، والتي من المحتمل أن ترفضها لولا ذلك باعتبارها خطيرة للغاية. لذلك ، فإن اعتماد الإجراءات التي تركز على تحليل المخاطر وإدارتها يمكن أن يساعد الشركات بشكل كبير على منع المواقف الخطرة أو السيطرة عليها. مرة واحدة ، حددت الشركات طريقة فعالة لقياس العلاقة بين المخاطر والمكافآت التي يمكنها تحسين عملياتها الحالية بشكل كبير أو العثور على أنشطة مربحة جديدة.
يبحث هذا المشروع في المخاطر المتعلقة بأمن مستشفى «Elpis». على وجه التحديد ، يركز على تنظيم المستشفى ، ومصادر المخاطر التشغيلية ويقدم وصفًا تفصيليًا للتقنيات المتاحة التي يمكن أن تضمن إدارة هذه المخاطر والسيطرة عليها. يقع المستشفى في أثينا وله شركتان تابعتان آخرتان تسمى «ميتيرا» في خالكيذا. نعلم أن المستشفيات الخاصة تتبادل المعلومات الطبية الهامة المتعلقة بمرضاها. تم إنشاء قسم تكنولوجيا المعلومات المركزي في أثينا ويتعامل مع خدمات مختلفة مثل بيانات تسجيل المرضى وتشخيص المرضى وإدارة المعلومات الطبية وحفظ البيانات الأخرى وما إلى ذلك. من ناحية أخرى ، فإن قسم تكنولوجيا المعلومات في مستشفى "ميتيرا" عفا عليه الزمن مع محدودية القدرة على إرسال واستقبال كمية كبيرة من البيانات. وبالتالي،
يتألف مستشفى «Elpis» من خمسة أقسام: الدائرة الإدارية ، وإدارة الموارد البشرية ، وقسم الشؤون المالية ، وأمانة سر إدارة المرضى وقسم تكنولوجيا المعلومات ، في حين أن مستشفى «ميتيرا» مقسم إلى قسمين ، الأمانة العامة. قسم المرضى وقسم تكنولوجيا المعلومات. نقوم بتحليل قسم تكنولوجيا المعلومات في مستشفى «Elpis» الذي يعمل به رئيس قسم تكنولوجيا المعلومات ، ومسؤول الشبكة ، ومسؤول البرامج الطبية ، ومسؤول قاعدة البيانات ، ومسؤول أمن المعلومات. يكشف تحليلنا عن بعض القواعد والممارسات التي يمكن أن تضمن سلامة المعلومات في المستشفى الخاص. أيضًا ، لقد أدركنا أن مصادر الخطر الهامة تأتي من البيئة الخارجية والأفراد الذين يعملون في المستشفى.
بعد ذلك ، نقدم الحلول التكنولوجية المحتملة التي يمكن للمستشفى اعتمادها بتكلفة مالية إجمالية قدرها 5000 يورو. وهي تشمل نظام كشف التسلل (IDS) ، ومكافحة الفيروسات ، وبرامج التجسس ، والبرامج الإعلانية وجدار الحماية ، وتنفيذ RAID 5 ، وآليات الكشف التلقائي عن الحرائق ، مولد الطوارئ UPS والتحكم التلقائي في تكييف الهواء وسياسة المستخدم وسياسة كلمة المرور.
تحليل تفصيلي
وصف البنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة
في هذا القسم ، نقدم الهيكل التنظيمي لمستشفيات "Elpis" و "Mitera" بالإضافة إلى جزء البرنامج الخاص بهم من شبكتهم. نواصل تحليلنا باستخدام منهجية CRAMM من أجل الكشف عن التهديدات ونقاط الضعف في أقسام تكنولوجيا المعلومات. أخيرًا ، نقدم الحلول الممكنة التي يمكن أن تواجه جميع هذه المخاطر ذات الصلة بتشغيل قسم تكنولوجيا المعلومات. يقع المستشفى الخاص «Elpis» في أثينا في مبنى مكون من 3 طوابق. في الطابق الأول نجد إدارة المستشفى وغرفة الكمبيوتر مع معدات تكنولوجيا المعلومات. في الطابق الثاني يوجد عيادة الباثولوجيا والجراحة وأمانة العيادات والمكتبة الطبية. الطابق الثالث يضم عيادة القلب وأمانة العيادة وغرفة التطبيب عن بعد. جميع المكاتب لكل سقف متصلة بنفس الشبكة المحلية.
يتكون الهيكل التنظيمي للمستشفى الخاص «Elpis» من خمسة أقسام:
الدائرة الإدارية: تتولى المسؤولية الإدارية الكلية للمستشفى. تطبق القرارات والقواعد الإستراتيجية التي يتخذها المجلس الإداري. يهدف إلى التوزيع المناسب للمسؤوليات للموظفين وتوفير أقصى بيئة عمل جيدة. وهي مسؤولة عن الشكاوى وتنفيذ اللوائح.
إدارة الموارد البشرية: الترتيب لأي أمر يتعلق بالوضع الرسمي لموظفي المستشفى ، وكذلك لمراقبة وتنظيم ومراقبة العاملين في جميع خدمات المستشفى.
الدائرة المالية: رعاية دراسة الاحتياجات الاقتصادية للمستشفى ، ومساهمتها في إعداد ميزانية المستشفى وعمل المصروفات وتصفية قبول الموظفين والتعويضات المتبقية والمشتريات وإدارة وتخزين المستلزمات والمواد. التي تحتاج إلى تشغيل المستشفى ، وتدريب الميزانية والتقييم ، والمسؤولية عن حماية ثروة المستشفى ومراقبة العناصر الإحصائية الاقتصادية.
اقتراح أمانة قسم المرضى: الترتيب لأي مسألة تتعلق بتنظيم الدعم السكرتاري وفقًا لقرارات الإدارة والخدمات الأخرى في المستشفى. ينظم نشر تذاكر دخول المرضى والامتثال لقائمة الانتظار. كما يحتفظ بإحصائيات تفصيلية عن حركة التمريض ويمنح شهادات للمرضى ، وبعد ذلك يتم تقديم طلب قريب.
قسم تكنولوجيا المعلومات: مسؤول عن تنظيم وتشغيل الحوسبة ، ومعالجة وصيانة البيانات الإحصائية المحوسبة ، وتوفير وتوزيع المعلومات في خدمات المستشفى ، في وزارة الصحة والرعاية الاجتماعية والهيئات الأخرى ذات الصلة و كل عمل آخر ذي صلة. وهي مسؤولة عن البحث عن تقنيات جديدة بهدف توفير المال وزيادة إنتاجية المستشفى. تقدم الدعم الفني والتدريب لموظفي المستشفى لكل تقنية - برنامج يستخدم. كما أنها مسؤولة عن أمن برامج تكنولوجيا المعلومات وأجهزة تكنولوجيا المعلومات.
تتكون البنية التحتية لتكنولوجيا المعلومات في مستشفى «Elpis» من خوادم تقوم بتشغيل التطبيق الطبي أو خدمات أخرى والقدرة على تخزين جميع البيانات ، وأجهزة الشبكة (switches-Ethernet) التي تستخدم لتوصيل خوادم غرفة الكمبيوتر وأجهزة الكمبيوتر الشخصية الخاصة بـ موظفي المستشفى وجدار الحماية الذي تم تكوينه من مسؤول الشبكة ومراقبة حركة البيانات من المستشفى على الإنترنت بمعايير محددة. في الشكل 1 يعرض طوبولوجيا النظام.
معدات مستشفى "Elpis":
جهاز التوجيه (قطعة واحدة): جهاز التوجيه هو جهاز يربط محطة العمل على شبكة المستشفى. يربط جهاز التوجيه الشبكة المحلية للمستشفى بالإنترنت ، باستخدام خط مؤجر 4 ميغابت في الثانية.
جدار الحماية (قطعة واحدة): جدار الحماية هو جهاز أو برنامج يمنع الوصول إلى أو من شبكة خاصة تم التصريح له بها. يمكن أيضًا تطبيق جدران الحماية على الأجهزة والبرامج ، أو مزيج من الاثنين معًا. كان يستخدم لردع مستخدمي الإنترنت غير المصرح لهم من الوصول إلى الشبكات الخاصة. يتحكم جدار الحماية أيضًا في حركة البيانات للمنطقة المسؤولة.
سويتش (4 قطع): جهاز ويستخدم لربط مكونات مختلفة بنفس الشبكة. تعمل المفاتيح على قطع حركة المرور غير المجدية على الإنترنت وتتيح لك شبكة عالية الأداء ميسورة التكلفة. يمكن استخدام المفتاح لتقسيم الشبكة المحلية الفعلية في شبكتين محليتين صغيرتين. في شبكة المستشفى ، يقسم هذا المحول الشبكة المحلية المادية إلى شبكتين محليتين صغيرتين. يتم توصيل مفتاح مركزي بثلاثة مفاتيح أخرى تربط محطات العمل. بينما يربط مفتاح آخر الخوادم.
خادم قاعدة البيانات (سلام واحد): خادم قاعدة البيانات هو جهاز يستخدمه جهاز واحد أو أكثر كقاعدة بيانات خاصة بهم. باستخدام خادم قاعدة البيانات ، يتمتع مستخدمو المستشفى بالقدرة على إدارة البيانات الطبية وتنظيمها
خادم الويب (سلام واحد): خادم الويب O عبارة عن جهاز كمبيوتر يسمح لأجهزة الكمبيوتر الأخرى بالوصول إلى الملفات التي تديرها باستخدام بروتوكول HTTP (بروتوكول نقل النص التشعبي). يرجى ملاحظة أن مسؤول خادم الويب الأساسي لديه "التحكم" النهائي بالخادم ، على عكس المستخدم البسيط الذي تستخدمه المستشفى خادم Apache.
خادم البريد (سلام واحد): يتلقى وكيل البريد البريد الإلكتروني من المستخدمين المحليين (الوارد) ، ويعرض الاستسلام للمستخدمين الخارجيين. يسمى الكمبيوتر المخصص لتشغيل مثل هذه التطبيقات أيضًا خادم البريد. نقل النتائج الطبية من مستشفى "ميتيرا" إلى مستشفى "Elpis" عبر البريد الإلكتروني.
خادم النسخ الاحتياطي (سلام واحد): خادم النسخ الاحتياطي هو طريقة لحفظ ملفاتك الطبية المهمة في ملف واحد مضغوط. أفضل جزء من Backup Server هو سعره المناسب ويمكنك نقل الملف المضغوط إلى كمبيوتر آخر أو محرك أقراص ثابت. بالإضافة إلى ذلك ، فإن خادم النسخ الاحتياطي لديه إمكانية إدارة آلة النسخ الاحتياطي للشريط.
آلة النسخ الاحتياطي للشريط (سلام واحد): توفر آلة النسخ الاحتياطي أسهل طريقة لإجراء نسخ احتياطي للمجلدات والملفات الهامة ، مما يتيح الوصول إلى الأدلة المحلية والشبكات. يجب استبدال القرص على فترات منتظمة وتخزينه في مكان محمي.
جهاز كمبيوتر Workstastion (50): يحتوي كل مكتب على جهاز كمبيوتر مكتبي واحد أو أكثر فقط للوصول إلى الخدمات الداخلية وتطويرها.
برنامج مستشفى "Elpis":
Microsoft Exchange Server 2003
نظام التشغيل Windows XP Professional
أوراكل 8
يحتوي مستشفى "ميتيرا" على اقتراح سكرتارية لقسم المرضى والعيادة الباثولوجية وقسم تكنولوجيا المعلومات. يتم تبادل المعلومات الطبية (بيانات المريض ، تشخيصات المريض ، إلخ) بين المستشفيات من خلال استضافة الويب أو البريد الإلكتروني. الاتصال كما تحقق مع ADSL 4 ميغابت في الثانية. الخصائص التقنية (انظر الشكل 2) لمستشفى "ميتيرا" هي نفسها مع مستشفى "Elpis".
معدات مستشفى «ميتيرا»:
راوتر (قطعة واحدة) ،
جدار الحماية (قطعة واحدة)
التبديل (4 قطع)
خادم البريد (سلام واحد)
خادم الويب (سلام واحد)
أجهزة التخزين (1): تستخدم لتخزين البيانات الطبية. تعد أجهزة التخزين من أهم مكونات نظام الكمبيوتر.
محطة العمل بي سي (5)
العاملين
سيتعهد أعضاء المجموعة بإجراء تحليل المخاطر في مستشفى خالكيس. يجب تدريبهم على تحليل مخاطر المشروع من أجل تحقيق هدفهم. على وجه التحديد ، يتكون الفريق من الأعضاء التالية أسماؤهم:
مدير الإدارة: لديه المسؤولية الكاملة عن المشروع من أجل النجاح. إنه مسؤول عن التنظيم المناسب للفريق وهو مسؤول في النهاية عن تقييم تحليل المخاطر.
الرئيس: مسؤول عن تنظيم أعضاء الفريق. يتحمل مسؤولية تقييم وظيفة كل عضو في الفريق. وهو مسؤول عن تنفيذ برنامج إدارة المخاطر.
نظام المدير والمعلومات: يتحملون المسؤولية عن سلامة وتوافر الأنظمة والمعلومات
قسم الأمن: يتحملون مسؤولية البرامج الأمنية وتحديد المخاطر والقضاء عليها باستخدام تحليل المخاطر
ممارسو الأمن: يتحملون مسؤولية تقييم متطلبات الأمن لكل أنظمة تكنولوجيا المعلومات.
تحليل المخاطر
وصفنا في القسم السابق الهيكل التنظيمي والمعلوماتي لمستشفيات "Elpis" و "Mitera". الآن ، نحن نصف الأصول التي تم تصنيفها إلى ثلاث فئات: أ) أصول البرامج ، ب) أصول الأجهزة ، ج) أصول البيانات.
يمكن وصف النظام بأنه موثوق وآمن عندما يكون: أ) سريًا: يوفر الوصول إلى الأشخاص المصرح لهم فقط. لديهم إمكانية الوصول إلى المعلومات الهامة (المعلومات الطبية ، بيانات المريض الشخصية) ، ب) التوافر: يجب أن تكون الخدمة التي توفرها مرافق تكنولوجيا المعلومات مستمرة ، ج) النزاهة: يجب أن يكون النظام جاهزًا في أي وقت لتقديم أي معلومات موثوقة. أيضا ، لا ينبغي تغيير المعلومات من قبل أشخاص غير مصرح لهم.
أصول البيانات
يدير المستشفى المعلومات الطبية الهامة. وبالتالي ، يجب ألا يكون الوصول إلى الشبكة الداخلية مجانيًا ويجب أن يتسم الاتصال بين المستشفيات بالأمان والموثوقية.
يمكن أن تحتوي أصول البيانات الخاصة بمستشفى Elpis الخاص على ما يلي:
سجلات المريض: البيانات الشخصية للمريض (التاريخ الطبي للمريض)
سجلات الموظفين: البيانات الشخصية للموظفين
السجلات المالية: البيانات المالية الخاصة بالمستشفيين
سجلات الإحصاء: بيانات إحصائية تتعلق بعدد العمليات الجراحية ومداخل المرضى والوفيات وغيرها.
في هذا المشروع ، نقوم بتحليل وإدارة المخاطر لأصلين من البيانات ، ملفات المريض والبيانات الإحصائية.
أصول الأجهزة
في هذه الفئة ، يتم تصنيف الأصول المادية مثل مرافق المعدات والمباني. نحن نركز تحليلنا على أصول الأجهزة. على وجه التحديد ، يمكن أن تكون أصول أجهزة مستشفى «Elpis» على النحو التالي:
خادم التطبيقات: وهو أهم جزء في النظام. يتم تثبيت التطبيق الطبي على خادم التطبيق حيث يتم تنفيذ معالجة البيانات الطبية. علاوة على ذلك ، يتم تثبيت الموظفين الآخرين والتطبيقات المالية على خادم التطبيق.
خادم قاعدة البيانات: يمكّن البرامج المختلفة من طلب المعلومات وتحديث البيانات وحذفها.
خادم النسخ الاحتياطي: يوفر الوصول إلى البيانات المحفوظة المختلفة في النظام ذات الصلة بالبيانات الطبية وبيانات المريض الشخصية وبيانات الموظفين وبيانات المستشفى العامة الأخرى
خادم البريد: يسهل تبادل الرسائل بين مستشفى «Elpis» والمستشفى في خالكيذا.
كما نقوم بإجراء تحليل وإدارة مخاطر لأهم أصول الأجهزة: ؟؟ خادم التطبيق وخادم قاعدة البيانات.
أصول البرمجيات
تحتوي هذه الفئة من التطبيقات على برامج يستخدمها طاقم المستشفى لمعالجة البيانات. يمكن تقسيم أصول البرامج الخاصة بمستشفى Elpis الخاص إلى:
برامج الموظفين: هي تطبيقات تدير بيانات موظفي المستشفى. أنها تسمح بتسجيلات جديدة وحذف السجلات والتعديلات.
برنامج مجلدات المرضى: تدير هذه التطبيقات البيانات المتعلقة بالمرضى (البيانات الشخصية - التاريخ الطبي للمريض).
برمجيات التحليل الإحصائي للبيانات: هي تطبيقات تعالج البيانات الإحصائية وتساعد في إنشاء التقارير السنوية
تحديد التدابير المضادة
في القسم أعلاه تم تحقيق تحليل التهديدات ونقاط الضعف لكل أصول (الشكل 3). في هذا القسم نقوم بتحليل الإجراءات المضادة التي يجب اتخاذها لكل تهديد. بالإضافة إلى ذلك ، اقترحنا الحلول والتقنية نسبيًا مع القسم المادي والأجهزة وكذلك البنيات والسياسات الأمنية. من المفترض أن تكون الإجراءات المضادة في مثل هذه الدرجة حتى يعمل المستشفى في بيئة متسامحة مع الخطأ.
سيكون لكل موظف الامتيازات المناسبة في النظام فيما يتعلق بالعمل الذي يؤديه. يجب تغيير سياسة كلمة المرور. يجب على المستخدمين تجديد كلمة المرور مرة واحدة في الشهر واستخدام كلمات مرور السلسلة. بالنسبة للأجهزة التي تحتوي على معلومات طبية مهمة ، يجب تغيير كلمة المرور مرة واحدة في الأسبوع ويجب فحص حقوق حسابات المستخدمين من قبل المديرين كل أسبوعين. كمرجع ، يجب أن تصف سياسة المستخدم القواعد التي ستمنع المستخدم من العمليات غير القانونية (حتى لو كانت عرضية) التي تهدف إلى سرية البيانات.
يجب على الشركة تنفيذ سياسة النسخ الاحتياطي من أجل تخزين المعلومات الطبية الهامة (ملف المريض) والبيانات المرتبطة بالشركة (أي شركة ، معلومات شخصية). تعتبر النسخ الاحتياطية كبيرة لأن هناك خطر فقدان البيانات المهمة من كارثة المعدات أو التهديدات الخارجية أو بسبب خطأ بشري (متعمد أو عرضي). سيتم إجراء النسخ الاحتياطي كل يوم وفي الوقت الذي يكون فيه عبء العمل في المستشفى صغيرًا. كما يجب إنشاء نسخة احتياطية شهرية يتم تخزينها في مكان منفصل ، في حالة تعرض النسخ الأولية للتلف بسبب كارثة طبيعية أو تلف المعدات أو خطأ بشري. سيتم تحقيق تخزين البيانات باستخدام تقنية Raid 5 نظرًا لتخفيض سعر القرص بشكل كبير وتصبح تكاليف تنفيذ Raid 5 الآن ضمن ميزانيات معظم الكائنات الحية.
التدبير الذي يجب اتخاذه هو تركيب مولد يو بي إس للطوارئ والذي سيضمن التشغيل المستمر لمعدات تكنولوجيا المعلومات حتى لو تسبب في مشاكل في UPS المركزية. كما يجب توصيل مولد يو بي إس للطوارئ بنظام التبريد الخاص بغرفة الكمبيوتر.
يوجد في غرفة الكمبيوتر نظام تبريد بسيط قد لا يضمن التشغيل السليم لأنظمة تكنولوجيا المعلومات. الإجراء الأكثر فاعلية هو تركيب نظام تبريد مكتمل يحتوي على تحكم آلي في تكييف الهواء بهدف تقليل مخاطر الارتفاع المفاجئ في درجة الحرارة.
تعتبر السرية وسلامة البيانات جزءًا مهمًا من المستشفى. يوفر تركيب جهاز IDS التحكم في الشبكة وكشف التسلل الذي يمكن أن يأتي من داخل المستشفى أو خارجها واكتشاف انتهاكات السياسات الأمنية. IDS لديه القدرة على إنتاج تقارير عن الأحداث المذكورة أعلاه.
بالإضافة إلى ذلك ، فإن الإجراء الذي يجب اتخاذه هو تركيب معدات الحماية من الحرائق المكتملة في جميع مساحات المستشفى (غرف المرضى ، المكاتب ، غرفة الكمبيوتر). سيكون لنظام الإطفاء القدرة على اكتشاف الدخان أو الحريق وبشكل أكثر عمومية التغير في درجة الحرارة أيضًا في حالة الطوارئ إمكانية الاتصال الهاتفي مع محطة الإطفاء المحلية والشرطة.
يجب أن يتحقق تعليم وتدريب أعضاء المستشفى في قضايا السلامة والسرية والتنظيم كل شهرين. وبالتالي ، يكتسب أعضاء المستشفى الشعور بالمسؤولية الشخصية والبراعة.
أخيرًا ، يجب تثبيت تطبيقات برمجية تحمي شبكة المستشفى من البرامج الخبيثة. يتم تثبيت برنامج Antivirus - Spyware في الخادم بهدف تثبيت برامج مكافحة الفيروسات وتحديثها تلقائيًا على كل محطة عمل.
استنتاج
الهدف الرئيسي من هذا التقرير هو تقييم السلامة في المستشفى الخاص "Elpis" باستخدام طريقة تحليل المخاطر. نفذ المستشفى بعض الإجراءات للتشغيل الصحيح والآمن للأجهزة والبرامج ، لكن هذه الإجراءات لا تغطي العديد من التهديدات.
أهم المجالات التي يجب أن توفر للمستشفى هي سرية وسلامة وتوافر البيانات. يجب تطبيق هذه المناطق بدرجة أكبر في سياسة المستخدم وسياسة الأمان. أيضًا ، يجب أن يتم تطبيق تقنيات محددة تضمن حسن سير العمل في المستشفى. يجب حماية الوصول إلى معلومات المريض الحساسة والأبحاث الطبية على وجه التحديد من قبل أشخاص غير مصرح لهم. أخيرًا ، اقترح معدات للمساعدة في حالة الطوارئ.
الهدف الرئيسي من هذا المشروع هو تنفيذ تقييم أمني كامل للمستشفى الخاص «Elpis». يمكن للشركات التي تخصص مواردها بشكل فعال من أجل فهم أفضل للمخاطر التي تواجهها ، أن تتجنب بسهولة المواقف "غير المتوقعة" وتحرر الموارد في اتجاهات أخرى وأنشطة مربحة (أي استثمارات جديدة) ، والتي من المحتمل أن ترفضها لولا ذلك باعتبارها خطيرة للغاية. لذلك ، فإن اعتماد الإجراءات التي تركز على تحليل المخاطر وإدارتها يمكن أن يساعد الشركات بشكل كبير على منع المواقف الخطرة أو السيطرة عليها. مرة واحدة ، حددت الشركات طريقة فعالة لقياس العلاقة بين المخاطر والمكافآت التي يمكنها تحسين عملياتها الحالية بشكل كبير أو العثور على أنشطة مربحة جديدة.
يبحث هذا المشروع في المخاطر المتعلقة بأمن مستشفى «Elpis». على وجه التحديد ، يركز على تنظيم المستشفى ، ومصادر المخاطر التشغيلية ويقدم وصفًا تفصيليًا للتقنيات المتاحة التي يمكن أن تضمن إدارة هذه المخاطر والسيطرة عليها. يقع المستشفى في أثينا وله شركتان تابعتان آخرتان تسمى «ميتيرا» في خالكيذا. نعلم أن المستشفيات الخاصة تتبادل المعلومات الطبية الهامة المتعلقة بمرضاها. تم إنشاء قسم تكنولوجيا المعلومات المركزي في أثينا ويتعامل مع خدمات مختلفة مثل بيانات تسجيل المرضى وتشخيص المرضى وإدارة المعلومات الطبية وحفظ البيانات الأخرى وما إلى ذلك. من ناحية أخرى ، فإن قسم تكنولوجيا المعلومات في مستشفى "ميتيرا" عفا عليه الزمن مع محدودية القدرة على إرسال واستقبال كمية كبيرة من البيانات. وبالتالي،
يتألف مستشفى «Elpis» من خمسة أقسام: الدائرة الإدارية ، وإدارة الموارد البشرية ، وقسم الشؤون المالية ، وأمانة سر إدارة المرضى وقسم تكنولوجيا المعلومات ، في حين أن مستشفى «ميتيرا» مقسم إلى قسمين ، الأمانة العامة. قسم المرضى وقسم تكنولوجيا المعلومات. نقوم بتحليل قسم تكنولوجيا المعلومات في مستشفى «Elpis» الذي يعمل به رئيس قسم تكنولوجيا المعلومات ، ومسؤول الشبكة ، ومسؤول البرامج الطبية ، ومسؤول قاعدة البيانات ، ومسؤول أمن المعلومات. يكشف تحليلنا عن بعض القواعد والممارسات التي يمكن أن تضمن سلامة المعلومات في المستشفى الخاص. أيضًا ، لقد أدركنا أن مصادر الخطر الهامة تأتي من البيئة الخارجية والأفراد الذين يعملون في المستشفى.
بعد ذلك ، نقدم الحلول التكنولوجية المحتملة التي يمكن للمستشفى اعتمادها بتكلفة مالية إجمالية قدرها 5000 يورو. وهي تشمل نظام كشف التسلل (IDS) ، ومكافحة الفيروسات ، وبرامج التجسس ، والبرامج الإعلانية وجدار الحماية ، وتنفيذ RAID 5 ، وآليات الكشف التلقائي عن الحرائق ، مولد الطوارئ UPS والتحكم التلقائي في تكييف الهواء وسياسة المستخدم وسياسة كلمة المرور.
تحليل تفصيلي
وصف البنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة
في هذا القسم ، نقدم الهيكل التنظيمي لمستشفيات "Elpis" و "Mitera" بالإضافة إلى جزء البرنامج الخاص بهم من شبكتهم. نواصل تحليلنا باستخدام منهجية CRAMM من أجل الكشف عن التهديدات ونقاط الضعف في أقسام تكنولوجيا المعلومات. أخيرًا ، نقدم الحلول الممكنة التي يمكن أن تواجه جميع هذه المخاطر ذات الصلة بتشغيل قسم تكنولوجيا المعلومات. يقع المستشفى الخاص «Elpis» في أثينا في مبنى مكون من 3 طوابق. في الطابق الأول نجد إدارة المستشفى وغرفة الكمبيوتر مع معدات تكنولوجيا المعلومات. في الطابق الثاني يوجد عيادة الباثولوجيا والجراحة وأمانة العيادات والمكتبة الطبية. الطابق الثالث يضم عيادة القلب وأمانة العيادة وغرفة التطبيب عن بعد. جميع المكاتب لكل سقف متصلة بنفس الشبكة المحلية.
يتكون الهيكل التنظيمي للمستشفى الخاص «Elpis» من خمسة أقسام:
الدائرة الإدارية: تتولى المسؤولية الإدارية الكلية للمستشفى. تطبق القرارات والقواعد الإستراتيجية التي يتخذها المجلس الإداري. يهدف إلى التوزيع المناسب للمسؤوليات للموظفين وتوفير أقصى بيئة عمل جيدة. وهي مسؤولة عن الشكاوى وتنفيذ اللوائح.
إدارة الموارد البشرية: الترتيب لأي أمر يتعلق بالوضع الرسمي لموظفي المستشفى ، وكذلك لمراقبة وتنظيم ومراقبة العاملين في جميع خدمات المستشفى.
الدائرة المالية: رعاية دراسة الاحتياجات الاقتصادية للمستشفى ، ومساهمتها في إعداد ميزانية المستشفى وعمل المصروفات وتصفية قبول الموظفين والتعويضات المتبقية والمشتريات وإدارة وتخزين المستلزمات والمواد. التي تحتاج إلى تشغيل المستشفى ، وتدريب الميزانية والتقييم ، والمسؤولية عن حماية ثروة المستشفى ومراقبة العناصر الإحصائية الاقتصادية.
اقتراح أمانة قسم المرضى: الترتيب لأي مسألة تتعلق بتنظيم الدعم السكرتاري وفقًا لقرارات الإدارة والخدمات الأخرى في المستشفى. ينظم نشر تذاكر دخول المرضى والامتثال لقائمة الانتظار. كما يحتفظ بإحصائيات تفصيلية عن حركة التمريض ويمنح شهادات للمرضى ، وبعد ذلك يتم تقديم طلب قريب.
قسم تكنولوجيا المعلومات: مسؤول عن تنظيم وتشغيل الحوسبة ، ومعالجة وصيانة البيانات الإحصائية المحوسبة ، وتوفير وتوزيع المعلومات في خدمات المستشفى ، في وزارة الصحة والرعاية الاجتماعية والهيئات الأخرى ذات الصلة و كل عمل آخر ذي صلة. وهي مسؤولة عن البحث عن تقنيات جديدة بهدف توفير المال وزيادة إنتاجية المستشفى. تقدم الدعم الفني والتدريب لموظفي المستشفى لكل تقنية - برنامج يستخدم. كما أنها مسؤولة عن أمن برامج تكنولوجيا المعلومات وأجهزة تكنولوجيا المعلومات.
تتكون البنية التحتية لتكنولوجيا المعلومات في مستشفى «Elpis» من خوادم تقوم بتشغيل التطبيق الطبي أو خدمات أخرى والقدرة على تخزين جميع البيانات ، وأجهزة الشبكة (switches-Ethernet) التي تستخدم لتوصيل خوادم غرفة الكمبيوتر وأجهزة الكمبيوتر الشخصية الخاصة بـ موظفي المستشفى وجدار الحماية الذي تم تكوينه من مسؤول الشبكة ومراقبة حركة البيانات من المستشفى على الإنترنت بمعايير محددة. في الشكل 1 يعرض طوبولوجيا النظام.
معدات مستشفى "Elpis":
جهاز التوجيه (قطعة واحدة): جهاز التوجيه هو جهاز يربط محطة العمل على شبكة المستشفى. يربط جهاز التوجيه الشبكة المحلية للمستشفى بالإنترنت ، باستخدام خط مؤجر 4 ميغابت في الثانية.
جدار الحماية (قطعة واحدة): جدار الحماية هو جهاز أو برنامج يمنع الوصول إلى أو من شبكة خاصة تم التصريح له بها. يمكن أيضًا تطبيق جدران الحماية على الأجهزة والبرامج ، أو مزيج من الاثنين معًا. كان يستخدم لردع مستخدمي الإنترنت غير المصرح لهم من الوصول إلى الشبكات الخاصة. يتحكم جدار الحماية أيضًا في حركة البيانات للمنطقة المسؤولة.
سويتش (4 قطع): جهاز ويستخدم لربط مكونات مختلفة بنفس الشبكة. تعمل المفاتيح على قطع حركة المرور غير المجدية على الإنترنت وتتيح لك شبكة عالية الأداء ميسورة التكلفة. يمكن استخدام المفتاح لتقسيم الشبكة المحلية الفعلية في شبكتين محليتين صغيرتين. في شبكة المستشفى ، يقسم هذا المحول الشبكة المحلية المادية إلى شبكتين محليتين صغيرتين. يتم توصيل مفتاح مركزي بثلاثة مفاتيح أخرى تربط محطات العمل. بينما يربط مفتاح آخر الخوادم.
خادم قاعدة البيانات (سلام واحد): خادم قاعدة البيانات هو جهاز يستخدمه جهاز واحد أو أكثر كقاعدة بيانات خاصة بهم. باستخدام خادم قاعدة البيانات ، يتمتع مستخدمو المستشفى بالقدرة على إدارة البيانات الطبية وتنظيمها
خادم الويب (سلام واحد): خادم الويب O عبارة عن جهاز كمبيوتر يسمح لأجهزة الكمبيوتر الأخرى بالوصول إلى الملفات التي تديرها باستخدام بروتوكول HTTP (بروتوكول نقل النص التشعبي). يرجى ملاحظة أن مسؤول خادم الويب الأساسي لديه "التحكم" النهائي بالخادم ، على عكس المستخدم البسيط الذي تستخدمه المستشفى خادم Apache.
خادم البريد (سلام واحد): يتلقى وكيل البريد البريد الإلكتروني من المستخدمين المحليين (الوارد) ، ويعرض الاستسلام للمستخدمين الخارجيين. يسمى الكمبيوتر المخصص لتشغيل مثل هذه التطبيقات أيضًا خادم البريد. نقل النتائج الطبية من مستشفى "ميتيرا" إلى مستشفى "Elpis" عبر البريد الإلكتروني.
خادم النسخ الاحتياطي (سلام واحد): خادم النسخ الاحتياطي هو طريقة لحفظ ملفاتك الطبية المهمة في ملف واحد مضغوط. أفضل جزء من Backup Server هو سعره المناسب ويمكنك نقل الملف المضغوط إلى كمبيوتر آخر أو محرك أقراص ثابت. بالإضافة إلى ذلك ، فإن خادم النسخ الاحتياطي لديه إمكانية إدارة آلة النسخ الاحتياطي للشريط.
آلة النسخ الاحتياطي للشريط (سلام واحد): توفر آلة النسخ الاحتياطي أسهل طريقة لإجراء نسخ احتياطي للمجلدات والملفات الهامة ، مما يتيح الوصول إلى الأدلة المحلية والشبكات. يجب استبدال القرص على فترات منتظمة وتخزينه في مكان محمي.
جهاز كمبيوتر Workstastion (50): يحتوي كل مكتب على جهاز كمبيوتر مكتبي واحد أو أكثر فقط للوصول إلى الخدمات الداخلية وتطويرها.
برنامج مستشفى "Elpis":
Microsoft Exchange Server 2003
نظام التشغيل Windows XP Professional
أوراكل 8
يحتوي مستشفى "ميتيرا" على اقتراح سكرتارية لقسم المرضى والعيادة الباثولوجية وقسم تكنولوجيا المعلومات. يتم تبادل المعلومات الطبية (بيانات المريض ، تشخيصات المريض ، إلخ) بين المستشفيات من خلال استضافة الويب أو البريد الإلكتروني. الاتصال كما تحقق مع ADSL 4 ميغابت في الثانية. الخصائص التقنية (انظر الشكل 2) لمستشفى "ميتيرا" هي نفسها مع مستشفى "Elpis".
معدات مستشفى «ميتيرا»:
راوتر (قطعة واحدة) ،
جدار الحماية (قطعة واحدة)
التبديل (4 قطع)
خادم البريد (سلام واحد)
خادم الويب (سلام واحد)
أجهزة التخزين (1): تستخدم لتخزين البيانات الطبية. تعد أجهزة التخزين من أهم مكونات نظام الكمبيوتر.
محطة العمل بي سي (5)
العاملين
سيتعهد أعضاء المجموعة بإجراء تحليل المخاطر في مستشفى خالكيس. يجب تدريبهم على تحليل مخاطر المشروع من أجل تحقيق هدفهم. على وجه التحديد ، يتكون الفريق من الأعضاء التالية أسماؤهم:
مدير الإدارة: لديه المسؤولية الكاملة عن المشروع من أجل النجاح. إنه مسؤول عن التنظيم المناسب للفريق وهو مسؤول في النهاية عن تقييم تحليل المخاطر.
الرئيس: مسؤول عن تنظيم أعضاء الفريق. يتحمل مسؤولية تقييم وظيفة كل عضو في الفريق. وهو مسؤول عن تنفيذ برنامج إدارة المخاطر.
نظام المدير والمعلومات: يتحملون المسؤولية عن سلامة وتوافر الأنظمة والمعلومات
قسم الأمن: يتحملون مسؤولية البرامج الأمنية وتحديد المخاطر والقضاء عليها باستخدام تحليل المخاطر
ممارسو الأمن: يتحملون مسؤولية تقييم متطلبات الأمن لكل أنظمة تكنولوجيا المعلومات.
تحليل المخاطر
وصفنا في القسم السابق الهيكل التنظيمي والمعلوماتي لمستشفيات "Elpis" و "Mitera". الآن ، نحن نصف الأصول التي تم تصنيفها إلى ثلاث فئات: أ) أصول البرامج ، ب) أصول الأجهزة ، ج) أصول البيانات.
يمكن وصف النظام بأنه موثوق وآمن عندما يكون: أ) سريًا: يوفر الوصول إلى الأشخاص المصرح لهم فقط. لديهم إمكانية الوصول إلى المعلومات الهامة (المعلومات الطبية ، بيانات المريض الشخصية) ، ب) التوافر: يجب أن تكون الخدمة التي توفرها مرافق تكنولوجيا المعلومات مستمرة ، ج) النزاهة: يجب أن يكون النظام جاهزًا في أي وقت لتقديم أي معلومات موثوقة. أيضا ، لا ينبغي تغيير المعلومات من قبل أشخاص غير مصرح لهم.
أصول البيانات
يدير المستشفى المعلومات الطبية الهامة. وبالتالي ، يجب ألا يكون الوصول إلى الشبكة الداخلية مجانيًا ويجب أن يتسم الاتصال بين المستشفيات بالأمان والموثوقية.
يمكن أن تحتوي أصول البيانات الخاصة بمستشفى Elpis الخاص على ما يلي:
سجلات المريض: البيانات الشخصية للمريض (التاريخ الطبي للمريض)
سجلات الموظفين: البيانات الشخصية للموظفين
السجلات المالية: البيانات المالية الخاصة بالمستشفيين
سجلات الإحصاء: بيانات إحصائية تتعلق بعدد العمليات الجراحية ومداخل المرضى والوفيات وغيرها.
في هذا المشروع ، نقوم بتحليل وإدارة المخاطر لأصلين من البيانات ، ملفات المريض والبيانات الإحصائية.
أصول الأجهزة
في هذه الفئة ، يتم تصنيف الأصول المادية مثل مرافق المعدات والمباني. نحن نركز تحليلنا على أصول الأجهزة. على وجه التحديد ، يمكن أن تكون أصول أجهزة مستشفى «Elpis» على النحو التالي:
خادم التطبيقات: وهو أهم جزء في النظام. يتم تثبيت التطبيق الطبي على خادم التطبيق حيث يتم تنفيذ معالجة البيانات الطبية. علاوة على ذلك ، يتم تثبيت الموظفين الآخرين والتطبيقات المالية على خادم التطبيق.
خادم قاعدة البيانات: يمكّن البرامج المختلفة من طلب المعلومات وتحديث البيانات وحذفها.
خادم النسخ الاحتياطي: يوفر الوصول إلى البيانات المحفوظة المختلفة في النظام ذات الصلة بالبيانات الطبية وبيانات المريض الشخصية وبيانات الموظفين وبيانات المستشفى العامة الأخرى
خادم البريد: يسهل تبادل الرسائل بين مستشفى «Elpis» والمستشفى في خالكيذا.
كما نقوم بإجراء تحليل وإدارة مخاطر لأهم أصول الأجهزة: ؟؟ خادم التطبيق وخادم قاعدة البيانات.
أصول البرمجيات
تحتوي هذه الفئة من التطبيقات على برامج يستخدمها طاقم المستشفى لمعالجة البيانات. يمكن تقسيم أصول البرامج الخاصة بمستشفى Elpis الخاص إلى:
برامج الموظفين: هي تطبيقات تدير بيانات موظفي المستشفى. أنها تسمح بتسجيلات جديدة وحذف السجلات والتعديلات.
برنامج مجلدات المرضى: تدير هذه التطبيقات البيانات المتعلقة بالمرضى (البيانات الشخصية - التاريخ الطبي للمريض).
برمجيات التحليل الإحصائي للبيانات: هي تطبيقات تعالج البيانات الإحصائية وتساعد في إنشاء التقارير السنوية
تحديد التدابير المضادة
في القسم أعلاه تم تحقيق تحليل التهديدات ونقاط الضعف لكل أصول (الشكل 3). في هذا القسم نقوم بتحليل الإجراءات المضادة التي يجب اتخاذها لكل تهديد. بالإضافة إلى ذلك ، اقترحنا الحلول والتقنية نسبيًا مع القسم المادي والأجهزة وكذلك البنيات والسياسات الأمنية. من المفترض أن تكون الإجراءات المضادة في مثل هذه الدرجة حتى يعمل المستشفى في بيئة متسامحة مع الخطأ.
سيكون لكل موظف الامتيازات المناسبة في النظام فيما يتعلق بالعمل الذي يؤديه. يجب تغيير سياسة كلمة المرور. يجب على المستخدمين تجديد كلمة المرور مرة واحدة في الشهر واستخدام كلمات مرور السلسلة. بالنسبة للأجهزة التي تحتوي على معلومات طبية مهمة ، يجب تغيير كلمة المرور مرة واحدة في الأسبوع ويجب فحص حقوق حسابات المستخدمين من قبل المديرين كل أسبوعين. كمرجع ، يجب أن تصف سياسة المستخدم القواعد التي ستمنع المستخدم من العمليات غير القانونية (حتى لو كانت عرضية) التي تهدف إلى سرية البيانات.
يجب على الشركة تنفيذ سياسة النسخ الاحتياطي من أجل تخزين المعلومات الطبية الهامة (ملف المريض) والبيانات المرتبطة بالشركة (أي شركة ، معلومات شخصية). تعتبر النسخ الاحتياطية كبيرة لأن هناك خطر فقدان البيانات المهمة من كارثة المعدات أو التهديدات الخارجية أو بسبب خطأ بشري (متعمد أو عرضي). سيتم إجراء النسخ الاحتياطي كل يوم وفي الوقت الذي يكون فيه عبء العمل في المستشفى صغيرًا. كما يجب إنشاء نسخة احتياطية شهرية يتم تخزينها في مكان منفصل ، في حالة تعرض النسخ الأولية للتلف بسبب كارثة طبيعية أو تلف المعدات أو خطأ بشري. سيتم تحقيق تخزين البيانات باستخدام تقنية Raid 5 نظرًا لتخفيض سعر القرص بشكل كبير وتصبح تكاليف تنفيذ Raid 5 الآن ضمن ميزانيات معظم الكائنات الحية.
التدبير الذي يجب اتخاذه هو تركيب مولد يو بي إس للطوارئ والذي سيضمن التشغيل المستمر لمعدات تكنولوجيا المعلومات حتى لو تسبب في مشاكل في UPS المركزية. كما يجب توصيل مولد يو بي إس للطوارئ بنظام التبريد الخاص بغرفة الكمبيوتر.
يوجد في غرفة الكمبيوتر نظام تبريد بسيط قد لا يضمن التشغيل السليم لأنظمة تكنولوجيا المعلومات. الإجراء الأكثر فاعلية هو تركيب نظام تبريد مكتمل يحتوي على تحكم آلي في تكييف الهواء بهدف تقليل مخاطر الارتفاع المفاجئ في درجة الحرارة.
تعتبر السرية وسلامة البيانات جزءًا مهمًا من المستشفى. يوفر تركيب جهاز IDS التحكم في الشبكة وكشف التسلل الذي يمكن أن يأتي من داخل المستشفى أو خارجها واكتشاف انتهاكات السياسات الأمنية. IDS لديه القدرة على إنتاج تقارير عن الأحداث المذكورة أعلاه.
بالإضافة إلى ذلك ، فإن الإجراء الذي يجب اتخاذه هو تركيب معدات الحماية من الحرائق المكتملة في جميع مساحات المستشفى (غرف المرضى ، المكاتب ، غرفة الكمبيوتر). سيكون لنظام الإطفاء القدرة على اكتشاف الدخان أو الحريق وبشكل أكثر عمومية التغير في درجة الحرارة أيضًا في حالة الطوارئ إمكانية الاتصال الهاتفي مع محطة الإطفاء المحلية والشرطة.
يجب أن يتحقق تعليم وتدريب أعضاء المستشفى في قضايا السلامة والسرية والتنظيم كل شهرين. وبالتالي ، يكتسب أعضاء المستشفى الشعور بالمسؤولية الشخصية والبراعة.
أخيرًا ، يجب تثبيت تطبيقات برمجية تحمي شبكة المستشفى من البرامج الخبيثة. يتم تثبيت برنامج Antivirus - Spyware في الخادم بهدف تثبيت برامج مكافحة الفيروسات وتحديثها تلقائيًا على كل محطة عمل.
استنتاج
الهدف الرئيسي من هذا التقرير هو تقييم السلامة في المستشفى الخاص "Elpis" باستخدام طريقة تحليل المخاطر. نفذ المستشفى بعض الإجراءات للتشغيل الصحيح والآمن للأجهزة والبرامج ، لكن هذه الإجراءات لا تغطي العديد من التهديدات.
أهم المجالات التي يجب أن توفر للمستشفى هي سرية وسلامة وتوافر البيانات. يجب تطبيق هذه المناطق بدرجة أكبر في سياسة المستخدم وسياسة الأمان. أيضًا ، يجب أن يتم تطبيق تقنيات محددة تضمن حسن سير العمل في المستشفى. يجب حماية الوصول إلى معلومات المريض الحساسة والأبحاث الطبية على وجه التحديد من قبل أشخاص غير مصرح لهم. أخيرًا ، اقترح معدات للمساعدة في حالة الطوارئ.