S
Size: a a a
2018 October 12
S
S
DK
Sergey Pariev
Если система обязана по ТЗ предоставлять корректную карточку пациента (а это очевидно так) то несанкционированная модификация карточки ведёт к нарушению функционирования системы
Что такое "корректная карточка пациента"?
И
Sergey Pariev
Могу модифицировать метаинформацию в бд .. часть карточек будет недоступна .. это нарушение?
Но сама ИС то будет работать. Работа ее не остановится. Будут недоступны данные из нее. Не все. Но часть.Функционально нарушений нет. Вопрос в нарушении работоспособности самой системы как таковой! Вот когда не будут доступны все карты - это да
И
И да я согласен с тем, что нужно отталкиваться от требований прописанных в ТЗ
SP
Открываете ТЗ и смотрите на функциональные трбеования. Если функционирование системы соответствует всем этим требованиям она работоспособна. Мне лень прокручивать обсуждение далеко вверх, но мой тезис "модификация данных - не всегда инциденрт" относился к случаю, когда нарушитель модифицирует данные в карточке так же, как это мог бы сделать врач. Естественно, что есть примеры модификации, выводящии систему из строя
Возможно не всегда инцидент - тут соглашусь. Но модификация критических данных, ради которых система собственно и создавалась явно инцидент
SP
Что такое "корректная карточка пациента"?
Карточка, которая модифицировалась исключительно санкционированный образом
SP
Опять же повторюсь, тип КИ с модификацией данных не просто так указан в форме категорирования из 236-го приказа
AP
Иван
А кто давал ответ? Есть фамилия?
в письме нет. все что есть я выложил.
И
Sergey Pariev
Карточка, которая модифицировалась исключительно санкционированный образом
"санкционированный образом" - вопрос. У меня доступ к модификации данных. Он санкционирован. Я внес некорректные данные. Эта карточка, в Вашем понимании, корректная?
SP
Иван
"санкционированный образом" - вопрос. У меня доступ к модификации данных. Он санкционирован. Я внес некорректные данные. Эта карточка, в Вашем понимании, корректная?
С точки зрения системы она корректна
И
Sergey Pariev
С точки зрения системы она корректна
Именно
DK
Sergey Pariev
Карточка, которая модифицировалась исключительно санкционированный образом
Вы сперва попробуйте написать такое в ТЗ, а потом написать программу и методики испытаний, демонстрирующие выполнение этого требования :) Но если вам это удастся - тогда да, любое несанкционированное изменение данных конкретно в этой системе можно будет считать нарушением ее работоспособности
В реальности в ТЗ пишется, что система должна обеспечить возможность ввода, хранение и модификации вот таких полей данных. И пока она такую возможность обеспечивает, нет нарушения ее работоспособности.
В реальности в ТЗ пишется, что система должна обеспечить возможность ввода, хранение и модификации вот таких полей данных. И пока она такую возможность обеспечивает, нет нарушения ее работоспособности.
И
в письме нет. все что есть я выложил.
Спасибо, но в любом случае должен быть ответственный! Так не бывает. Кто дал ответ?! Целый отдел или все-таки человек подписался под словами?
DK
в письме нет. все что есть я выложил.
Это был ответ по электронной почте? Тогда тем боле ене стоит на него ориентироваться
SP
И если вернуться к изначальному вопросу - если не нравится пример с модификацией данных, можно взять пример с нарушением доступности .. например, функции, которая возвращает карточку пациента
SP
Изначальный вопрос был про подсчёт ущерба
SP
Как злоумышленник, я могу например заблокировать доступ к карточкам пациентов, фамилии которых, например, начинаются на "А" .. в остальном систему будет работать как обычно
SP
Сколько пациентов при этом погибнет?