4. Kruchinin D. V. Superposition's properties of logarithmic generating functions [Электронный ресурс]. URL: http://arxiv.org/abs/1109.1683 (дата обращения: 19.09.2013).
References
1. Agraval M., Kajal N., Saksena N. Primes is in p // Annals of mathematics. 2004. S. 781-793.
2. Kruchinin D. V., Kruchinin V. V. Metod postroenija algoritmov proverki prostoty natural'nyh
chisel dlja zashhity informacii // Doklady TUSUR. 2011. № 2(24). S. 247-251.
3. Kruchinin D. V. O svojstvah kojefficientov superpozicii nekotoryh proizvodjashhih funkcij // Prikladnaja diskretnaja matematika. 2012. № 1 (15). S. 55-59.
4. Kruchinin D. V. Superposition's properties of logarithmic generating functions [Jelektronnyj resurs]. URL: http://arxiv.org/abs/1109.1683 (data obrashhenija: 19.09.2013).
© ma6jifl ro. B., KpyHHHHH fl. B., 2013
УДК 004.056
МАСШТАБИРОВАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ПЕРСОНАЛЬНЫМИ ДАННЫМИ В БЮДЖЕТНОМ МЕДИЦИНСКОМ УЧРЕЖДЕНИИ
Н. П. Шевцов1, Г. И. Хмызников2, М. М. Кучеров3
Сибирский федеральный университет Россия, 660041, г. Красноярск, просп. Свободный, 79 Е-шаЛ: [email protected], [email protected], [email protected]
Рассматриваются вопросы обеспечения защиты персональных данных в бюджетных медицинских учреждениях, приводится перечень организационно-правовых и программно-технических мероприятий по снижению класса специальных защищенных информационных систем (ИС) при разработке и дальнейшей эксплуатации ИС.
Ключевые слова: информационная безопасность, персональные данные, конфиденциальность
SCALABILITY OF MANAGEMENT MEDICAL PERSONAL DATA INFORMATION SYSTEMS
IN BUDGETARY HEALTH FACILITIES
N. P. Shevtsov1, G. I. Khmyznikov2, M. M. Kucherov3
Siberian Federal University 79, Svobodny prosp., Krasnoyarsk, 660041, Russia E-mail: [email protected], [email protected], [email protected]
The important questions of providing personal medical data information security in budgetary health facilities are analysed. The law- and technical providing methods to increase the class of special secured medical information system in the process of development and exploitation of information systems are provided.
Keywords: information security, personal data protection, privacy, confidentiality.
Отсутствие необходимых мер по защите персональных данных в медицинских учреждениях влечет за собой их утечку, что несет сугубо негативные финансовые риски и последствия для учреждений и для субъектов персональных данных - влечет утрату их доверия.
Обработка персональных данных в больницах, поликлиниках, госпиталях, амбулаториях и в прочих лечебных учреждениях согласно Федеральному закону от 27.07.2006 г. «О персональных данных» (№ 152-ФЗ) носит свою специфику, имеющую дополнительные ограничения и требования, характерные только для операторов вышеперечисленных заведений [1].
По каждому из пациентов ведутся электронные персональные медицинские записи (ЭПМЗ), состоящие из полей для внесения в них сведений, совокупность которых составляет историю болезни пациента (электронную амбулаторную карту пациента).
Характер вносимых в поля защищаемой ЭПМЗ сведений определяется ст. 13 Федерального закона от 21.11.2011 г. № 323-ф3 «Об основах охраны здоровья граждан в Российской Федерации»:
- сведения о факте обращения гражданина за оказанием медицинской помощи;
- сведения о состоянии здоровья и диагнозе;
- иные сведения, полученные при его медицинском обследовании и лечении.
Методы и средства защиты информации
Концептуальная модель движения информационных потоков в ЗИС
ЭПМЗ хранятся в специальных ИСПДн, обязательную классификацию которых принято проводить самими операторами (медицинскими учреждениями) в порядке, предусмотренном приказом ФСТЭК России, ФСБ России и Мининформсвязи от 13.02.2008 г. № 55/86/20 [2; 3] (см. рисунок).
С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, необходимо:
а) классифицировать информационную систему в соответствии с определяющими целями и содержанием обработки МПДн на этапе её создания;
б) произвести ряд мероприятий организационно-правового и программно-технического характера по реинжинирингу ИСПДн для последующей минимизации финансовых затрат медучреждения на системы защиты информации и упрощения вопросов обязательной сертификации СЗИ.
Библиографические ссылки
1. Столбов А. П., Кузнецов П. П. Автоматизированная обработка и защита персональных данных в медицинских учреждениях. М. : Менеджер здравоохранения, 2010. 172 с.
2. Об утверждении Порядка проведения классификации информационных систем персональных
данных : Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. № 55/86/20, г. [Электронный ресурс]. URL: http://www.rg.ru/2008/04/12/informaciya-doc.html, свободный (дата обращения: 18.09.2013).
3. ГОСТ Р 34.11-2012. Национальный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Функция хэширования. Издание официальное. М. : Стан-дартинформ, 2012.
References
1. Stolbov A. P., Kuznecov P. P. Avtomatizirovannaja obrabotka i zashhita personal'nyh dannyh v medicinskih uchrezhdenijah M. : Menedzher zdravoohranenija, 2010. 172 s.
2. Prikaz Federal'noi sluzhby po tehnicheskomu i jeksportnomu kontrolju (FSTJeK Ros-sii) Federal'noi sluzhby bezopasnosti Rossiiskoi Federacii (FSB Rossii) Ministerstva informacionnyh tehnologii i svjazi Rossiiskoi Federacii (Mininformsvjazi Rossii) ot 13 fevralja 2008 g. No 55/86/20, g. Moskva, «Ob
utverzhdenii Porjadka provedenija klassifikacii informacionnyh sistem personal'nyh dannyh» [Jelektronnyi recurs]. Rezhim dostupa: http://www.rg.ru/2008/04/12/informaciya-doc.html, svobodnyi (data obrashhenija: 18.09.2013).
3. GOST R 34.11-2012: Nacional'nyj standart Rossijskoj Federacii. Informacion- naja tehnologija. Kriptograficheskaja zashhita informacii. Funkcija hjeshirovanija. Izdanie oficial'noe. M. Standartinform, 2012.
© Шевцов Н. П., Хмызников Г. И., Кучеров М. М., 2013
УДК 004.056
МЕТОДИКА И ПРОГРАММНОЕ СРЕДСТВО ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ
В БИНАРНОМ КОДЕ
М. О. Шудрак
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 E-mail: [email protected]
Рассматривается обнаружение уязвимостей в бинарном коде с использованием сочетания технологий динамической бинарной инструментации, анализа покрытия кода и так называемого фаззинга - технологии генерации потенциально ошибочных данных и мониторинга результата. Результатом станет программное средство для поиска уязвимостей в сетевых и файловых приложениях, позволяющее значительно оптимизировать процесс динамического тестирования. В результате с помощью описываемой системы будут найдены уязвимости «нулевого дня» в последней версии DNS сервера BIND9.
Ключевые слова: динамический анализ, уязвимость, фаззинг, бинарная инструментация.
THE TECHNIQUE AND ORIGINAL SOFTWARE FOR BINARY EXECUTABLE VULNERABILITY DETECTION
M. O. Shudrak
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. E-mail: [email protected]
The dynamic analysis of techniques and cloud-based platform for software security and reliability testing are dealt with. The research is a contribution to dynamic execution analysis techniques. In the first part the technique of dynamic binary analysis which is referred to as «fuzzing» is described. The basic architecture of the tool for security and reliability testing of application and vulnerabilities detection are shown. Due to the use of the dynamic binary instrumentation this technique's implementation is much faster than those applied previously. The technique described has been implemented as the software platform which includes: web-interface, virtual machine dispatcher, dynamic instrumentation library, debugger, special dll, protocol description and fuzzing manager tool. The results of zero-day vulnerability detection in the popular software the consistency of the technique are confirmed.
Keywords: dynamic analysis, vulnerability, fuzzing, binary instrumentation.
На сегодняшний день компании-разработчики ПО сталкиваются с серьёзнейшими рисками, связанными с безопасностью собственных продуктов. Эти риски возникают вследствие того, что процесс разработки невозможен без тех или иных ошибок и недочетов. Так, за предыдущий год эксперты обнаружили более 9 000 различных уязвимостей «нулевого дня», а это 26 уязвимостей в день! Для решения этой проблемы используется множество различных методик и подходов, которые могут эффективно применяться на том или ином этапе разработки и эксплуатации ПО [1]. В данной статье мы остановимся лишь на динамиче-
ском анализе, являющемся наиболее эффективным для анализа бинарного кода, так как метод взаимодействует с реально работающим приложением [2; 3]. Наиболее существенным недостатком динамического анализа на сегодняшний день является сложность и высокая ресурсозатратность для полноценного поиска уязвимостей. Мы попытаемся частично решить эти проблемы.
Методика динамической бинарной инструмента-ции предусматривает проведение тестирования приложения в процессе его исполнения. Как правило, уязвимость в ПО возникает в процессе обработки