Przeprowadzenie audytu bezpieczeństwa systemu Zdrowotny Informator Pacjenta dla Narodowego Funduszu Zdrowia
Data projektu: 2009
Wyzwanie:
Przeprowadzenie analizy bezpieczeństwa systemu Zdrowotny Informator Pacjenta (ZIP) w Wielkopolskim Oddziale Wojewódzkim NFZ.
Co zrobiliśmy:
- testy penetracyjne (black-box) systemu ZIP wykonane zgodnie z metodyką i wytycznymi OWASP Project 2007, ze szczególnym uwzględnieniem ataków typu Dos, Injection i XSS,
- analizę infrastruktury informatycznej pod kątem bezpieczeństwa aplikacji ZIP i współpracujących z nią systemów,
- analizę dokumentacji oraz zgodności aplikacji ZIP z rozporządzeniem MSWiA odnośnie danych osobowych.
Korzyści:
- wskazanie zagrożeń i podatności związanych z bezpieczeństwem IT aplikacji Zintegrowany Informator Pacjenta (ZIP),
- rekomendacje dotyczące bezpieczeństwa IT systemu ZIP w NFZ.
Zastosowane narzędzia i modele:
- wymagania dotyczące Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).,
- testy penetracyjne typu black-box,
- skanery automatyczne i półautomatyczne,
- wytyczne dot. sprzętu i systemów IT zastosowanych w infrastrukturze systemu Zintegrowany Informator Pacjenta (ZIP).
Wybrane projekty
