MODEL OF INDIVIDUALLY GROUP ASSIGNMENT OF ACCESS TO HIERARCHICALLY ORGANIZED OBJECTS OF CRITICAL INFORMATION SYSTEMS USING MOBILE TECHNOLOGIES

2021 ◽  
Vol 14 (1) ◽  
pp. 73-79
Author(s):  
E. Rogozin ◽  
Viktor Khvostov ◽  
Valeriy Suhanov ◽  
D. Korobkin ◽  
D. Mochalov
Keyword(s):  
Information Systems ◽  
Access Control ◽  
Role Models ◽  
Medical Information ◽  
Mobile Systems ◽  
Mobile Technologies ◽  
Security Systems ◽  
Advantages And Disadvantages ◽  
Group Assignment ◽  
Access Control Models

The analysis of access control models currently used in information security systems (SPI) is carried out. Based on the analysis of the advantages and disadvantages of discretionary, authoritative and role models in the implementation of access of mobile systems of subjects with different needs and roles to hierarchically organized information objects of medical information systems (MIS), it is proposed to use access control based on a thematic - hierarchical policy. The methods of forming thematic grids that provide security control of information flows are proposed. The article offers methods for setting the reachability matrix for reading, writing, and executing different access subjects to access objects with monorubricated and multi-rubricated hierarchical thematic classification.

MODEL OF INDIVIDUALLY GROUP ASSIGNMENT OF ACCESS TO HIERARCHICALLY ORGANIZED OBJECTS OF MEDICAL INFORMATION SYSTEMS USING MOBILE TECHNOLOGIES

2021 ◽  
pp. 135-146
Author(s):  
Владимир Павлович Гулов ◽  
Виктор Анатольевич Хвостов ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч
Keyword(s):  
Information Systems ◽  
Access Control ◽  
Role Models ◽  
Medical Information ◽  
Mobile Systems ◽  
Mobile Technologies ◽  
Medical Information Systems ◽  
Advantages And Disadvantages ◽  
The Subject ◽  
Access Rights

Проведен анализ моделей управления доступа используемых в настоящее время в системах защиты информации. На основе анализа достоинств и недостатков дискреционной, полномочной и ролевой моделей при осуществлении доступа мобильных систем субъектов с различными потребностями и ролями к иерархически организованным информационным объектам медицинских информационных систем предложено использовать управление доступом на основе тематическо - иерархической политики. На основе анализа организационной структуры медицинской организации и типовых модулей медицинских информационных систем, имеющих иерархическую структуру при которой тематика объекта доступа определяется тематическими узлами классификатора с автоматическим распространением на объекты классификации всех соответствующих подчиненных тематических узлов, субъектам доступа предоставляются права на доступ к объектам, тематика которых соответствует одному или нескольким узлам классификатора с автоматическим распространением прав работы на документы с тематикой соответствующих подчиненных узлов. Предложены методы формирования тематических решеток, обеспечивающие контроль безопасности информационных потоков. В статье предлагаются методы задания матрицы достижимости по чтению, записи и выполнению разных субъектов доступа к объектам доступа с монорубрицированной и мультирубрицированной иерархической тематической классификацией The analysis of access control models currently used in information security systems is carried out. Based on the analysis of the advantages and disadvantages of discretionary, authoritative and role models when accessing mobile systems of subjects with different needs and roles to information objects of medical information systems, it is proposed to use access control based on a thematic hierarchical policy. Based on the analysis of the organizational structure of a medical institution and typical MIS modules, having a hierarchical structure in which the subject of the access object is determined by the thematic nodes of the classifier with automatic distribution to the classification objects of all corresponding subordinate thematic nodes and access subjects are granted access rights to objects whose subject matter corresponds to one or several to the nodes of the classifier with automatic distribution of the rights to work on documents with the subject of the corresponding subordinate nodes, methods for the formation of thematic lattices are proposed to ensure the security control of information flows. The article discusses methods for setting the reach ability matrix for reading, writing and executing different subjects of access to access objects with monorubric and multi-categorized hierarchical thematic classification

MANAGEMENT ORGANIZATION ACCESS TO MEDICAL INFORMATION SYSTEMS USING THE METHODS SEMANTIC PROXIMITY

2021 ◽  
pp. 79-87
Author(s):  
Владимир Павлович Гулов ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч ◽  
Виктор Анатольевич Хвостов
Keyword(s):  
Information Systems ◽  
Access Control ◽  
Medical Information ◽  
Hasse Diagram ◽  
Medical Information Systems ◽  
Access Control Models ◽  
Control Models ◽  
Access Rights ◽  
Semantic Proximity ◽  
Hierarchical Classifier

На основе анализа применения моделей управления доступом с использованием тематических иерархических классификаторов в медицинских информационных системах с применением мобильных систем в качестве элементов предложены методы формирования доверительных прав на доступ к объектам. При использовании традиционных тематически иерархических моделей управления доступа логическая информационная архитектура ресурсов медицинских информационных систем формирует собой тематический иерархический классификатор (рубрикатор). Диаграмма Хассе вводит отношения порядка в тематическом классификаторе на решетке безопасности для формирования доверительно - тематических полномочий пользователей медицинских информационных систем. Построение диаграмм Хассе на решетке безопасности включающей несколько уровней безопасности достаточно сложная алгоритмическая задача. При построении доверительно - тематических полномочий пользователей для избегания неопределенности при неполноте построенной диаграммы Хассе и завышения предоставленных полномочий при формировании прав доступа предлагается использовать семантическую близость запроса на доступ пользователя и тематической рубрики иерархического классификатора. Анализ существующих подходов к формированию метрик семантической близости показал, что в качестве наилучшей метрики для задания доверительных полномочий пользователя может использоваться меры близости, основанные на иерархии понятий Based on the analysis of the application of access control models using thematically hierarchical classifiers in medical information systems using mobile technologies (MS), methods of forming access rights to objects are proposed. When using traditional thematically hierarchical access control models, the logical information architecture of the medical information systems resources forms a thematic hierarchical classifier (rubricator). The Hasse diagram introduces order relations into the thematic classifier on the security grid to form the trust-thematic powers of the medical information systems users. The construction of Hasse diagrams on a security grid that includes several security levels is a rather complex algorithmic task. When constructing trust-thematic user powers to avoid ambiguity in the case of incompleteness of the constructed Hasse diagram and overestimation of the granted powers when forming access rights, it is proposed to use the semantic proximity of the user's access request and the thematic heading of the hierarchical classifier. An analysis of existing approaches to the formation of semantic proximity metrics showed that proximity measures based on a hierarchy of concepts can be used as the best metric for setting the user's trust authority

METHODS OF ENSURING THE SECURITY OF PERSONAL DATA IN MEDICAL INFORMATION SYSTEMS USING MOBILE TECHNOLOGIES

2020 ◽  
pp. 132-140
Author(s):  
Владимир Павлович Гулов ◽  
Виктор Анатольевич Хвостов ◽  
Алексей Васильевич Скрыпников ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч
Keyword(s):  
Information Systems ◽  
Information Security ◽  
Mobile Devices ◽  
Medical Information ◽  
Personal Data ◽  
Mobile Systems ◽  
Mobile Technologies ◽  
Smart Devices ◽  
Medical Information Systems ◽  
Mobile Access

Проведен анализ использования мобильных технологий при обработке персональных данных в медицинских информационных системах. Мобильные технологии как объект обеспечения информационной безопасности характеризуются рядом критических уязвимостей, связанных с недостатками реализации мобильных устройств (смартфонов, планшетов, смарт устройств, различных периферийных устройств смартфонов и т.п.), технологий предоставления доступа к интернету для мобильных систем (используемые в сетях сотовой связи, беспроводного доступа) и серверной части медицинских информационных систем. В связи с обработкой в медицинских информационных системах с мобильными устройствами персональных данных специальной категории защита от угроз безопасности информации требует особого внимания и определена на законодательном уровне. В руководящих документах регуляторов обработки персональных данных России вопросы защиты информации при использовании мобильных технологий не рассматриваются в связи с новизной проблемы. В этой связи проблема обеспечения безопасности персональных данных в медицинских информационных системах с применением мобильных технологий является актуальной. В статье рассматриваются принципы построения мобильных приложений, используемых для работы с медицинскими информационными системами, и их серверных частей. На основе анализа актуальной модели угроз безопасности информации мобильных технологий и средств защиты информации, применяемых при использовании мобильных систем, предлагается система защиты для медицинских информационных систем, использующих мобильный доступ The analysis of the use of mobile technologies in the processing of personal data (PD) in medical information systems (MIS). Mobile technologies as an object of information security are characterized by a number of critical vulnerabilities associated with the implementation flaws of mobile devices (smartphones, tablets, smart devices, various peripheral devices of smartphones, etc.), technologies for providing Internet access for mobile systems (used in cellular networks, wireless access) and the server part of the MIS. In connection with the processing of personal data of a special category in MIS with mobile devices, protection against BI threats requires special attention and is defined at the legislative level. In the guidance documents of the regulators of the processing of personal data in Russia, the issues of information protection when using mobile technologies are not considered due to the novelty of the problem. In this regard, the problem of ensuring the security of PD in MIS using mobile technologies is urgent. The article discusses the principles of building mobile applications used to work with MIS and their server parts. Based on the analysis of the current threat model of information security mobile technologies and information security tools used when using mobile systems, a protection system for MIS using mobile access is proposed

Location-Aware Access Control for Mobile Workflow Systems

2011 ◽  
pp. 44-62 ◽  
Author(s):  
Michael Decker
Keyword(s):  
Information Systems ◽  
Access Control ◽  
Business Processes ◽  
Workflow Management ◽  
Mobile Technologies ◽  
Special Focus ◽  
Wireless Data ◽  
Workflow Systems ◽  
Location Aware ◽  
Wireless Data Transmission

Workflow management systems (WfMS) are a special class of information systems (IS) which support the automated enactment of business processes. Meanwhile there are WfMS which allow the execution of tasks using mobile computers like PDA with the ability of wireless data transmission. However, the employment of workflow systems as well as mobile technologies comes along with special security challenges. One way to tackle these challenges is the employment of location-aware access control to enforce rules that describe from which locations a user is allowed to perform which activities. The data model behind access control in termed Access Control Model (ACM). There are special ACM for mobile information systems as well as for WfMS, but no one that addresses mobile as well as workflow specific aspects. In the article we therefore discuss the specific constraints such a model should be able to express and introduce an appropriate ACM. A special focus is on location constraints for individual workflow instances.

scholarly journals РОЗРОБЛЕННЯ МОДЕЛІ КЕРУВАННЯ ДОСТУПОМ ДО ПРИВАТНОЇ МЕДИЧНОЇ ІНФОРМАЦІЇ

2018 ◽  
pp. 26-32
Author(s):  
Андрій Сергійович Андрійчук ◽  
Анастасія Андріївна Стрєлкіна
Keyword(s):  
Access Control ◽  
Security Policy ◽  
Medical Information ◽  
Health Care Facilities ◽  
High Tech ◽  
Technical Equipment ◽  
Regulatory Document ◽  
Medical Systems ◽  
Normative Documents ◽  
Advantages And Disadvantages

Modern medicine has grown to an insurmountable level over the past decades. Today, this sector of human life is a high-tech industry, where all areas that can save lives of previously hopeless patients are successfully developing. The technical equipment of health care facilities has been substantially improved, it has become possible to diagnose diseases at an early stage and to quickly restore the working capacity of patients. Nevertheless, with all the advantages and capabilities of modern technology in this area, there are many problems. One of the most significant is the provision of privacy of medical information, which should be considered from both sides, both technical and regulatory. Ensuring the confidentiality of data in medical systems depends on the correct and timely organization of managing access to medical information. The US Health Insurance Portability and Accountability Act (HIPAA) is the most widespread and comprehensive regulatory document for the security of medical data. Regarding the Ukrainian normative documents, they realize the rights of the patient to receive information about their state of health, and medical systems do not have a certificate on the compliance of a comprehensive system of protection of information in accordance with the requirements of normative documents on the technical protection of information. In this article, the authors are considering designing an access control model that solves the problem of providing information security for medical systems and is based on access control based on roles with minimal constraints. The model to be developed should determine the actions and resources that are available to the user, as well as provide individual access to resources. The authors examined the existing models of access control, identified the advantages and disadvantages that formed the basis of their own model. The paper describes the creation of a role-based security policy that defines the information flows permitted by the system, based on the international regulatory document HIPAA. With the help of the developed model, it is possible to execute its storage in different ways and in any case, it is very easy to convert into a relational database

PERSONAL DATA PROTECTION FEATURES IN MOBILE MEDICINE

2020 ◽  
pp. 171-176
Author(s):  
Владимир Павлович Гулов ◽  
Виктор Анатольевич Хвостов ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч
Keyword(s):  
Mobile Communications ◽  
Medical Information ◽  
Personal Data ◽  
Mobile Systems ◽  
Mobile Technologies ◽  
Smart Devices ◽  
Security Architecture ◽  
Medical Organization ◽  
Personal Data Protection ◽  
Mobile Medicine

Проведен анализ особенностей применения медицинских технологий, использующих мобильные приложения для повышения эффективности оказания медицинских услуг пациентам (мобильная медицина). На основе анализа уязвимостей характерных для мобильных систем и уязвимости медицинских информационных систем с мобильным доступом пациентов и сотрудников медицинской организации, новых атак, направленных на уязвимости мобильных технологий и протоколов сотовой связи и беспроводного доступа скорректированы цели безопасности и контекст безопасности организации. Для решения задач безопасности, возникающих при использовании технологий мобильной медицины, предложены типовая архитектура безопасности, способы защиты информации и проведен анализ возможных технических средств защиты. Целью архитектуры безопасности мобильной медицины является обеспечение конфиденциальности, целостности и доступности информационных ресурсов медицинской организации при доступе к ней с мобильных станций (смартфонов, планшетов, смарт устройств и т.п.). Основой архитектуры безопасности мобильной медицины могут являться средства обеспечения безопасности, такие как виртуальные частные сети, системы обнаружения вторжений, системы слежения за действиями пользователя, а также такие средства защиты информации как менеджер мобильных устройств и менеджер мобильных приложений The analysis of the features of the application of medical technologies using mobile applications to improve the efficiency of the provision of medical services to patients (mobile medicine) is carried out. Based on the analysis of vulnerabilities characteristic of mobile systems and the vulnerability of medical information systems with mobile access for patients and employees of a medical organization, new attacks aimed at vulnerabilities of mobile technologies and protocols of mobile communications and wireless access, the security objectives and the security context of the organization are adjusted. To solve the security problems arising from the use of mobile medicine technologies, a typical security architecture, methods for protecting information, and an analysis of possible technical means of protection are proposed. The purpose of the security architecture of mobile medicine is to ensure the confidentiality, integrity and accessibility of information resources of a medical organization when accessing it from mobile stations (Smartphone's, tablets, smart devices, etc.). The basis of the mobile medicine security architecture can be security tools such as virtual private networks, intrusion detection systems, user activity tracking systems, and information security tools such as a mobile device manager and mobile application manager

ANALYSIS OF THE THREAT OF INFORMATION SECURITY DURING PROCESSING OF PERSONAL DATA IN MOBILE MEDICINE

2020 ◽  
pp. 129-138
Author(s):  
Владимир Павлович Гулов ◽  
Виктор Анатольевич Хвостов ◽  
Алексей Васильевич Скрыпников ◽  
Владимир Петрович Косолапов ◽  
Галина Владимировна Сыч
Keyword(s):  
Mobile Application ◽  
Medical Information ◽  
Personal Data ◽  
Mobile Systems ◽  
Mobile Technologies ◽  
Smart Devices ◽  
Mobile Medicine ◽  
Mobile Stations ◽  
Quality Of Medical Care ◽  
The Impact

Проведен анализ технологий мобильной медицины, используемых для повышения качества оказания медицинской помощи. На основе анализа уязвимостей мобильных станций (смартфонов, планшетов, смарт устройств, различных периферийных устройств смартфонов и т.п.), технологий предоставления доступа к интернет для мобильных систем (используемые в сетях сотовой связи, беспроводного доступа), а также мобильных сервисов медицинских информационных систем предложена классификация угроз мобильной медицины и проведен анализ возможностей по реализации этих угроз. Целью работы является разработка актуальной модели угроз безопасности мобильной медицины, проведение исследований по оценке полноты и непротиворечивости применяемых в настоящее время средств защиты мобильных систем, таких как менеджер мобильных устройств, менеджер мобильных приложений, магазин доверенных мобильных приложений, шлюз безопасности мобильных приложений и др. В статье рассматриваются источники угроз, уязвимости технологий мобильной медицины, каналы воздействия угроз, объекты воздействия и возникающие ущербы от реализации угроз, характерные для мобильных технологий и имеющие отличные от традиционных точки приложения реализаций угроз и векторы. Проведен анализ контекста применения мобильной медицины и влияния на процессы предоставления медицинских услуг The analysis of mobile medicine technologies used to improve the quality of medical care. Based on the analysis of vulnerabilities of mobile stations (Smartphone's, tablets, smart devices, various peripheral devices of Smartphone's, etc.), technologies for providing Internet access for mobile systems (used in cellular networks, wireless access), as well as mobile medical information services systems, the classification of threats to mobile medicine is proposed, and an analysis of the possibilities for implementing these threats is carried out. The aim of the work is to develop an up-to-date model of threats to the security of mobile medicine, to conduct studies to assess the completeness and consistency of currently used protection systems for mobile systems, such as a mobile device manager, mobile application manager, trusted mobile application store, mobile application security gateway, etc. The article discusses the sources of threats, vulnerabilities of technologies of mobile medicine, the channels of exposure to threats, the objects of exposure and the resulting damage from the implementation of threats that are characteristic of mobile technologies and have different applications of threat implementations and vectors. The analysis of the context of the use of mobile medicine and the impact on the processes of providing medical services is carried out

Sign in / Sign up

Export Citation Format

Share Document