1、2001 Carnegie Mellon University C-1附录:一个完整的 OCTAVE 示例与结果Appendix: Complete Example Results目的这个示例的结果是在一个虚拟的机构的框架中实施 OCTAVE 的结果,包括每一个阶段行为的结果以及准备工作和下一步工作。 背景这些示例结果与一个虚拟的医学治疗机构相关,该医学治疗机构(MTF)是一个有几个门诊室和研究室的医院,其中有些距离比较远。它具有: 一个永久性的管理机构 永久和暂时的 内科医生 外科医生 医务人员 设备人员 维护 一个小的信息技术(IT)部门 (三个人)负责计算机和网络的维护与更新,以及处理简
2、单的用户帮助需求 图 1: MTF 机构图MTF 管理者管理部门远程门诊实验室医疗部门维护IT记录 - 手术室- 住院部- 门诊部- 等C-2 2001 Carnegie Mellon University一个主要的系统是患者信息数据系统(PIDS),包括网络、个人电脑、连接与综合应用程序与其它较小的、老的、特定功能的数据库(包括患者照顾、实验室数据等)。患者数据可以由任何工作站在任何时候加入到 PIDS 中或者其它数据库。 在 2000 年 8 月, MTF 高层管理者决定对他们的信息安全进行全面审查,在与其它医疗机构管理者进行讨论和协商以后,决定使用 OCTAVE。 2001 Carneg
3、ie Mellon University C-31 OCTAVE 预备阶段Smith 与 MTF 的高级管理层进行了初步的讨论来选择一个分析小组 (Table 1),明确可选的 IT成员,所有 IT 职员的工作时间表服从紧急情况的中断。分析组成员(包括可选成员)已经接受过 OCTAVE 方法的培训,与 Smith 合作开发全局时间表,并选择执行范围进行评估以及要会见的高级经理 (Table 2) 。Table 1:分析小组成员核心分析小组成员名称 在 MTF 中的工作功能L. Pierce (分析小组领导) 外科室 A 的执行管理者J. Cutter (记录员 ) 对档案的中级管理S. 否 l
4、an IT 职员R. Green 作为候补 IT 成员K. Brown 负责后勤保障 (兼职) 设备助理Table 2: 高级经理,执行范围和执行层经理高级经理 执行范围 执行层经理P. Rollins (医院管理者) 信息技术 J. DonaldsonB. Houston (Director of Admissions)门诊部记录 M. DavisM. Samuelson (Director of Medical Operations)住院部治疗 L. RolandR. Smith (病理学主任 ) 第二实验室 J. LivingstonC. Davidson (门诊部 D 管理者)一旦确定
5、了执行范围管理者,分析组就要跟他们商讨选择参与的职员. C-4 2001 Carnegie Mellon UniversityTable 3: 综合和 IT 职员执行范围 职员名字 工程信息技术 C. JonesL. GunnarS. LeedsIT 职员工程门诊部记录 K. AmbroseS. WoodsW. Goodman综合职员工程 1综合职员工程 2综合职员工程 2住院部治疗 J. SimmonsS. CallerM. DavidsonL. Madison综合职员工程 1综合职员工程 2综合职员工程 2综合职员工程 1第二实验室 J. FleetK. HarrimanS. Thomas
6、综合职员工程 1综合职员工程 1综合职员工程 2一旦选定了职员名单,建立最终的时间进度表 (Figure 2) 并以最初的简报提供所有参与者。后勤协调者,K. Brown,确保所有必需的设备物资在工程开始前到位。在 2000 年 9 月 11 日总结参与者,2000 年 10 月同高级管理层合作的最后的工程审核保护策略和风险回避计划。 OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-5Figure 2: OCTAVE 时间表
7、Event 9/11 9/18 9/25 10/2 10/9 10/16 10/23参与者简报P1: 高级管理层工程P2:执行管理层工程P3:员工工程 (2)P3: IT 职员工程P4: 威胁统计工程P5: 关键组件工程P6: 运行漏洞工具P6: 漏洞评估工程P7:风险分析工程P8:保护策略工程 AP8: 保护策略工程 B (与高级管理者一起)Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-6 2001 Carnegie Mellon University2 高级管理层工程 (Proce
8、ss 1)2.1 重要资产 Table 4 描述了一些高级管理者的资产,他们认为重要的资产列在左边一列。 Table 4: 高级管理层资产重要资产 其它资产 患者信息数据系统 (PIDS) 大部分重要患者信息的数据库。ABC 系统为 MTF 运行PIDS。 纸质医疗记录 用纸记录的完整的患者记录,如果丢失无法恢复。 财政记录保持系统 (FRKS) 所有保险、帐单记录、支付时间表和其它相关信息。 Providers credentials - Credentials of medical personnel. 紧急护理数据系统 (ECDS) 诊断、看护病人的人员、患者统计、护理类型等。 电子邮件
9、 带有重要信息、历史数据的普通服务器。 职员管理系统 (PMS) 人口统计、工作历史记录、任务、技能、训练记录。有很多需要保护的信息。 互联网连接 医疗后勤系统 (MLS) 供应和不动产、设备,通过它进行定购。2.2 关注的范围2.2.1 对重要资产的关注范围Table 5 表明了高级管理者认为重要的资产的关注范围 OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-7Table 5: 高级管理层对重要资产的关注范围资产 关注范
10、围- 暴露职员范围未授权的信息- 暴露、修改职员能够故意 PIDS 输入错误数据- 中断让有资格的职员维护 PIDS 有困难- 中断、丢失、修改PIDS 于新的系统不兼容,导致系统故障PIDS- 暴露、修改外部对 PIDS 攻击的风险远高于新系统的风险- 中断能源损耗,洪水以及其它外部事件导致 PIDS 的拒绝服务,实际上相当于关闭了医院- 丢失/破坏关注的重要信息意外丢失纸质医疗记录- 暴露、丢失、修改检查记录可能被查看、修改或丢失数据 - 暴露检查记录放在不该在的地方 - 暴露医疗记录的数据可能被用来伪造处方- 丢失/破坏屋顶漏洞、水、火等可能毁坏物理医疗记录- 丢失/破坏职员的误操作可能
11、毁坏物理医疗记录FRKS - 暴露职员可能有意无意的向家人或朋友透露秘密的患者财政信息- 丢失/破坏、修改职员可能改变或删除登录进入的系统中的患者信息。- 中断能源损耗可能导致 FRKS 的拒绝服务- 暴露职员登录进入 FRKS 的屋子可能被人看见显示的秘密信息 Provider Credentials- 修改对记录的故意修改可能导致使用一个不合格的供应者 Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-8 2001 Carnegie Mellon University2.3 对重要资产
12、的安全需求高级管理者认为重要的资产的安全需求在 Table 6 中显示,最重要的需求用 黑体字标出。 Table 6: 高级管理层的安全需求资产 安全需求PIDS 可用性 系统可用性是必需的 24/7.机密性 信息应该保持机密.完整性 只有授权用户可以修改信息纸质医疗记录可用性 记录必须可用 24/7.完整性 只有授权用户可以向文件增加信息机密性 信息应该保持机密性FRKS 完整性 只有授权用户能增加、修改或删除信息可用性 在日常的办公时间系统可用性是必需的机密性 患者财政信息应该保持机密Provider Credentials完整性 只有授权用户可以修改信息机密性 信息应该保持机密可用性OC
13、TAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-93 执行管理层工程 (Process 2) 3.1 资产信息Table 7 描述了执行管理层确认的资产,分为重要资产与其它资产 Table 7: 执行管理层资产重要资产 其他资产纸质医疗记录 所有的患者信息、实验室结果等 PIDS 有各种信息:配药、预约历史纪录、患者历史纪录等等。ECDS 配药系统 - 支持自动药物分发医疗后勤系统 Providers Credentials 3
14、2 或 33 其它自动系统 不是同等重要 3.2 关注的范围3.2.1 重要资产的关注范围Table 8 显示了执行管理层对重要资产的关注范围Table 8: 执行管理层关注的范围资产 关注的范围纸质医疗记录- 修改太多人输入错误数据,导致不正确记录,以及/或者一个个体有多个文件以及记录- 丢失/破坏、修改在记录上的“松散” 控制 没有措施阻止患者获取或修改它们,没有拷贝和在需要时释放的机制,威胁到记录的完整性。 - 丢失/破坏、修改如果开出了相反的药物或者没有考虑患者的过敏史,可能造成护理的低质量或者患者的死亡 Appendix C: Complete Example Results OCT
15、AVE Method Implementation Guide v2.0C-10 2001 Carnegie Mellon University资产 关注的范围- 暴露太多人访问太多信息,基于角色的访问随着时间变化 PIDS- 修改太多人输入了错误的数据,导致不正确的记录,大量文件和记录是属于个人的- 中断连通性是一个问题,包括对 PIDS 访问可用的问题。合同中正常运行时间是针对服务器的,不是对连通性。- 修改、丢失/损失网络连通的损失。系统容易受到恶意代码和病毒行为(部分因为防火墙的位置/配置). - 中断防火墙限制了连通性,防火墙支持的合时可能影响系统性能 - 中断- 丢失/损失、修改如
16、果开出了相反的药物或者没有考虑患者的过敏史,可能造成护理的低质量或者患者的死亡. - 服务的中断ABC 系统有许多消费者,他们没有意识到医院的重要性,没有理解医院的优先级ECDS - 修改、丢失/损失网络连通的丢失系统容易受到恶意代码和病毒行为(部分因为防火墙的位置/配置).- 中断ABC 系统没有意识到医院/ 健康护理机构的重要性,没有理解医院的优先级。- 丢失/损失、修改如果开出了相反的药物或者没有考虑患者的过敏史,可能造成护理的低质量或者患者的死亡. - 修改太多人输入错误 数据,导致不正确的记录,大量文件和记录属于个人3.3 重要资产的安全需求在 Table 9 中记录了执行经理层确定
17、的重要资产的安全需求,最重要的安全需求用黑体字标出。OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-11Table 9: 重要资产的安全需求资产 安全需求 ( 相关级别 )纸质医疗记录 可用性 对记录的访问是必需的 24/7. 患者的记录必须是可用的完整性 必须完成。所有患者遇到的信息应该可用 正确性机密性 只能被“需要知道”的人查看 患者信息服从秘密行为PIDS 完整性 必须完成,所有患者遇到的信息应该可用 正确性可用性
18、对记录的访问是必需的 24/7. 患者的记录必须是可用的机密性 只能被“需要知道”的人查看 患者信息服从秘密行为ECDS 完整性 必须正确和完整可用性 对记录的访问是必需的 24/7. 所有患者遇到的信息应该可用机密性 只能被“需要知道”的人查看 患者信息服从秘密行为Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-12 2001 Carnegie Mellon University4 员工工程 (Process 3) 4.1 资产信息 Tables 10 和 11 描述了职员确定的资产。
19、 Table 10: 综合员工资产重要资产 其它资产 纸质医疗记录 PIDS 与纸质医疗记录、实验室结果等相同的数据类型 外部关联 控制信息发布的人员分组,他们保证不会将危及安全的数据向外部发布 电子邮件 - LAN 和 PIDS. 医疗后勤系统 互联网访问OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-13Table 11: IT 职员资产重要资产 其它资产 ABC 系统 所有主要改变、维护的管理,没有它不能创建新的网络用
20、户。 连通性 ( 对互联网 ) 商业 ISP. MTF 帮助 五个 PC 技师 (不是核心 IT 职员的一部分 ) 对其它系统的功能服务器 Mr. Smith 高级 IT 职员 PIDS 个人电脑 对系统、电子邮件等的访问 有 30+ 功能系统 4.2 员工的关注范围4.2.1 重要资产的关注范围Tables 12 和 13 显示了一些职员重要资产的关注范围,注意 IT 职员将 ABC 系统作为重要资产,但是没有确认关注范围, 在工程完成后,决定等待看 ABC 系统是否是阶段 4 选择的关键资产 Table 12: 员工的关注范围资产 员工关注的范围PIDS - 暴露医生在离开治疗室以后开着屏
21、幕,患者和其他人可能访问,口令、注销、超时设定和屏幕保护使用不一致- 暴露设备配置允许患者和来访者对系统和医疗记录不适当的查看 - 暴露、损坏/丢失、中断、修改可能利用关键应用中的固有缺陷和漏洞- 暴露医生和雇员在公共场合讨论患者情况- 中断存在网络/连通性问题,对 PIDS 的访问常常因为系统故障而受到限制- 中断本地网络的不稳定影响对多个系统的访问并创建备份日志- 中断对大多数系统的访问受到 ABC 系统的支持,负责硬件和软件维护。- 中断因为洪水可能需要将设备从一楼移走外部关系 - 暴露对规则和法律条款不熟悉导致机密信息的暴露给保险公司和出版社 Appendix C: Complete
22、Example Results OCTAVE Method Implementation Guide v2.0C-14 2001 Carnegie Mellon University资产 员工关注的范围- 暴露保险公司的人可能用约会信息来看是否例行常规纸质医疗记录- 暴露员工可能在未授权或以不适当的方式查看医疗记录- 暴露信息故意暴露给外部人员纸质医疗记录- 暴露文档错误归类可能允许人员查看他人记录- 修改数据登录的意外问题可能影响信息完整性- 丢失/损坏纸质记录的丢失可能意味着关键信息的永久丢失Email - 暴露医疗人员通过电子邮件来讨论患者的治疗计划- 暴露职员可能认为 PIDS 电子邮
23、件更安全- 中断LAN 的不稳定影响对 email 的访问 Table 13: IT 员工关注的范围资产 IT 职员关注的范围对互联网的连通性- 中断连接经常中断,这影响医疗职员研究新的治疗 - 中断过去六个月的连接变得很慢 Help Desk - 中断help desk 员工缺乏培训Help Desk - 中断IT 的预算有限功能服务器 - 中断、丢失/损坏一些较小的系统使用没有职责的服务器,通常未经培训的职员进行维护- 修改不知道其它服务器的安全,但信息还是被复制或移动到这些服务器,得到了不正确的数据OCTAVE Method Implementation Guide v2.0 Appen
24、dix C: Complete Example Results2001 Carnegie Mellon University C-154.3 重要资产的员工安全需求综合员工和 IT 员工的安全需求列在 Tables 14 和 15 中,最重要的安全需求用黑体字标出 Table 14: 重要资产的综合员工安全需求资产 安全需求( 相关级别 )纸质医疗记录 可用性 对需求的信息的访问完整性 信息只能被正确授权的人修改机密性 秘密动作 “需要知道”PIDS 可用性 对需求的信息的访问.机密性 “需要知道” 秘密动作 完整性 信息只能被具有适当安全密钥的人修改外部关系 可用性 在正常的办公时间访问信息
25、Email 可用性 对需求的信息的访问机密性 应该只能被授权或既定的接受者查看Table 15: 重要资产的 IT 员工安全需求资产 安全需求( 相关级别 )ABC 系统 可用性 支持是必需的互联网的连通性可用性 对需求的信息的访问Help Desk 可用性 在正常工作时间可用Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-16 2001 Carnegie Mellon University资产 安全需求( 相关级别)功能服务器 可用性 对需求的信息的访问.完整性 服务器信息的完整性必须
26、进行维护机密性 必须支持患者信息和其它机密数据的机密性OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-175 创建威胁统计 (Process 4)5.1 前期工作: 数据合并结果 Data Consolidation Results下面的表格列出了每个组织级别确定的资产,分成重要资产和其它资产 Table 16: 合并的资产列表重要资产 其它资产PIDS 纸质医疗记录财政纪录保持系统 Providers Credential
27、s ECDS 外部关系 Email ABC 系统连通性( 与互联网 ) 商业 ISPMTF Help Desk 功能服务器职员管理系统 医疗后勤系统配药系统Mr. Smith 高级 IT 职员个人计算机 32 或 33 个其它自动系统 下面两个表格列出 PIDS 和纸质医疗记录的关注范围Table 17: 合并的 PIDS 的关注范围 级别 对 PIDS 的关注范围高级管理者- 暴露职员在未授权使用时访问信息- 暴露、修改职员可能故意向 PIDS 输入错误数据- 中断获得和保持有资格人员帮助维护 PIDS 很困难- 中断、丢失/损坏、修改PIDS 与较新的系统不一致,导致系统崩溃Appendi
28、x C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-18 2001 Carnegie Mellon University级别 对 PIDS 的关注范围- 暴露、修改外部攻击对 PIDS 的风险远高于新的系统- 中断能源、洪水或其它的外部事件可能导致 PIDS 的拒绝服务- 丢失/损坏重要资产的意外损失执行经理层- 暴露太多人访问太多信息,基于角色的访问随着时间变化- 暴露太多人输入了错误的数据,导致不正确的记录,大量文件和记录是属于个人的- 中断连通性,包括对 PIDS 访问的可用性问题- 修改、丢失/损
29、坏互联网连接的失效,系统受到恶意代码和病毒的影响 - 中断防火墙限制了连通性 - 中断ABC 系统不能识别医疗职员访问当前信息的互联网的重要性- 修改、丢失/损坏、中断如果用错药物或者没有考虑过敏史可能影响治疗质量甚至造成患者生命危险 - 中断ABC 系统有很多消费者,没有意识到医院的重要性,没有理解医院的优先级职员 - 暴露医生在离开治疗室开着 PIDS 显示器- 暴露配置允许患者和来访者对系统或记录的不适当查看 - 修改、损坏/丢失可能利用关键应用的固有错误和漏洞- 暴露医生和员工在公开场合讨论病人的问题- 中断这是网络/连通性问题,对 PIDS 的访问常常因为系统崩溃而受到限制- 中断网
30、络本地区域的不稳定影响对众多系统的访问- 中断对大多系统的访问是被 ABC 系统支持的,负责硬件和软件维护- 中断因为洪水的影响可能需要将设备从一层移走OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-19Table 18: 纸质医疗记录合并的关注范围 级别 对纸质医疗记录的关注范围高级管理层- 暴露医疗记录留在了不应该的位置- 暴露、丢失/损坏、修改医疗报告可能被任何人查看、修改 - 暴露医疗记录中的数据可能被用来“伪造”处
31、方- 丢失/损坏房屋漏洞、水、火等,可能损坏物理医疗记录- 损坏/丢失职员的意外错误处理可能导致物理医疗记录的损坏执行经理层- 暴露太多人输入错误数据,导致错误记录,大量文件和记录是属于个人的- 丢失/损坏、修改在记录上的“松散” 控制 没有措施阻止患者获取或修改它们,没有拷贝和在需要时释放的机制,威胁到记录的完整性。- 修改、丢失/损坏、中断如果用错药物或者没有考虑过敏史可能影响治疗质量甚至造成患者生命危险职员 - 暴露职员可能在未授权情况下查看医疗记录- 暴露故意将信息让外部人员知道- 暴露文档的错误归类可能导致未授权的人员产看其它记录- 修改数据登录的意外问题可能影响信息的完整性- 丢失
32、/损失纸质记录的丢失可能意味着关键信息的永久丢失下面的表格记录了两种重要资产合并的安全需求,用黑体字标出最重要需求。Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-20 2001 Carnegie Mellon UniversityTable 19:合并的 PIDS 的安全需求级别 对 PIDS 的安全需求(相关级别) 高级管理层可用性 需要系统可用性机密性 信息应该保持机密 可以发起任何人向他人传送数据的访问完整性 只有授权用户可以修改信息执行经理层完整性 患者信息应该可用 正确性可用
33、性 对需求的记录的访问,患者信息应该可用机密性 只能被 “需要知道” 的人查看 患者信息服从机密行动职员 可用性 对需求的信息的访问机密性 “需要知道” 机密行动 完整性 信息只能被有正确安全密钥的人修改OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-21Table 20:合并的纸质医疗记录的安全需求级别 对纸质医疗记录的安全需求(相关级别)高级管理层可用性 记录必须可用完整性 只有授权用户可以向文件增加信息机密性 信息应该
34、保持机密性 可以发起任何人向他人传送数据的访问执行经理层可用性 需要对记录的访问,患者的记录必须可用完整性 必须完成,所有信息应该可用 正确性机密性 只能被“需要知道” 的人查看 患者信息服从机密行动职员 可用性 对需求的信息的访问完整性 信息只能被授权的人修改机密性 机密行动 “需要知道”5.2 阶段 4 工程的结果最终的关键资产和选择的基本原则列在 Table 21 中Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-22 2001 Carnegie Mellon University
35、Table 21: 关键资产关键资产 选择原则纸质意料记录 第一文档资源个人电脑 几乎所有员工都依赖个人电脑进行工作PIDS 98%患者治疗依赖于它ABC 系统 几乎所有员工完全依赖于它并控制网络ECDS 病例记录、帐单信息等,ECDS 被选作其它 32 或者 33 其它被 MTF使用的系统.下面部分提供了每种关键资产的威胁统计与相关信息5.2.1 PIDSTable 22: PIDS 的安全需求 安全需求类型 具体细节可用性 需求的信息的访问,患者信息必须可用 需要有足够的数据登录的终端,注意这是由分析组增加的 机密性 信息应该保持机密性 信息服从秘密行动完整性 记录应该保持正确和完整,所有
36、信息应该可用 只有授权用户可以修改信息Table 23: PIDS 的威胁类型分组的关注范围威胁类型 PIDS 关注的范围 使用网络访问的人类参与者 暴露访问未经授权的信息 暴露太多人访问太多信息,基于角色的访问随着时间变化 暴露太多人输入了错误的数据,导致不正确的记录,大量文件和记录是属于个人的. 暴露、修改职员可能故意向 PIDS 输入错误数据OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-23威胁类型 PIDS 关注的
37、范围 暴露、修改对 PIDS 的外部攻击的风险远高于新系统 丢失/损坏患者信息的意外损失 修改、丢失/损坏、中断如果用错药物或者没有考虑过敏史可能影响治疗质量甚至造成患者生命危险 暴露医生和职员电子邮件在不安全的 LAN 上传输敏感的患者信息 暴露、修改PIDS 可能被外部攻击 暴露共享网络包括敏感信息 修改、丢失/损坏可能利用关键应用的固有错误和漏洞使用物理访问的人类参与者 暴露医生在离开治疗室开着 PIDS 显示器,患者和其它人可能访问其中信息 暴露医生和员工保持终端/PCs 开着,造成可能的未授权访问系统问题 中断PIDS 与新系统不一致,导致系统崩溃 中断连通性,包括 PIDS 以及对
38、它进行访问的可用性。 中断有网络/连通性问题,对 PIDS 的访问常常因为系统崩溃受到限制 中断网络本地区域的不稳定性影响对大量系统的访问其它问题 中断维护 PIDS 的难度 中断对大部分系统的访问由 ABC 系统支持,他们负责硬件和软件维护 中断ABC 系统不能识别医疗职员访问当前信息的互联网的重要性 中断能源损耗、洪水和其它外部事件可能导致 PIDS 的拒绝服务,潜在导致医院的停工 中断ABC 系统有很多消费者,没有识别医院的重要性,没有理解医院的优先级 中断不适当配置允许患者和来访者对系统和医疗记录的不适当查看 暴露医生和职员在公开场合讨论患者问题和信息Appendix C: Compl
39、ete Example Results OCTAVE Method Implementation Guide v2.0C-24 2001 Carnegie Mellon University威胁类型 PIDS 关注的范围 中断因为洪水的影响可能需要将设备从一层移走PIDS 威胁统计在下面显示,PIDS 有四个威胁树使用网络访问的人类参与者资产 访问 参与者 动机 结果 影响暴露意外 修改丢失、损坏中断内部暴露故意 修改丢失、损坏中断PIDS 网络暴露意外 修改丢失、损坏中断外部暴露故意 修改丢失、损坏中断OCTAVE Method Implementation Guide v2.0 Appen
40、dix C: Complete Example Results2001 Carnegie Mellon University C-25使用物访问的人类参与者资产 访问 参与者 动机 结果 影响暴露意外 修改丢失、损坏中断内部暴露故意 修改丢失、损坏中断PIDS 物理暴露意外 修改丢失、损坏中断外部暴露故意 修改丢失、损坏中断Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-26 2001 Carnegie Mellon University系统问题资产 参与者 结果 影响暴露软件缺点 修改
41、丢失、损坏中断暴露病毒 修改丢失、损坏中断PIDS暴露系统崩溃 修改丢失、损坏中断暴露长途通讯问题或者不稳定 修改丢失、损坏中断OCTAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-27其他问题资产 参与者 结果 影响暴露能源供应问题 修改丢失、损坏中断暴露缺乏培训的维护员工 修改丢失、损坏中断PIDS暴露ABC 系统不同于需求 修改丢失、损坏中断暴露自然灾害 修改(例如洪水、火灾) 丢失、损坏中断暴露设备配置 修改丢失、损坏中断
42、暴露对硬件和软件的缺乏控制 修改丢失、损坏中断Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-28 2001 Carnegie Mellon University5.2.2 纸质医疗记录Table 24: 纸质医疗记录的安全需求安全需求类型 具体细节完整性 记录必须保证正确和完整 记录应该只被适当授权的人修改可用性 对需求的记录进行访问,信息必须可用机密性 信息应该保持机密 信息服从秘密行动下面的表格描述了由威胁类型进行分组的关注类型 Table 25: 纸质医疗记录威胁类型分组的关注范
43、围 威胁类型 纸质医疗记录的关注范围 使用物理访问的人类参与者 暴露医疗记录留在不应该在的位置 暴露医疗记录中的数据可能用来伪造处方 暴露文档的归类错误允许未授权的职员查看他人的记录 暴露太多人输入了错误数据,导致不正确的记录 暴露职员可能在未授权的情况下查看医疗记录 暴露信息故意向外界传播 暴露、丢失/损坏、修改任何人可以查看、修改医疗报告 暴露医疗记录可能标记到不正确的人 修改数据登录的意外问题可能影响信息完整性 损坏/丢失意外的错误处理可能导致医疗记录的损坏- 丢失/损坏、修改在记录上的“松散” 控制 没有措施阻止患者获取或修改它们,没有拷贝和在需要时释放的机制,威胁到记录的完整性。OC
44、TAVE Method Implementation Guide v2.0 Appendix C: Complete Example Results2001 Carnegie Mellon University C-29威胁类型 纸质医疗记录的关注范围 修改、丢失/损失、中断如果用错药物或者没有考虑过敏史可能影响治疗质量甚至造成患者生命危险 丢失/损坏纸质记录的丢失意味着关键信息的永久丢失其它问题 暴露配置的问题允许对医疗记录的不适当查看 丢失/损坏房屋漏洞、水、火可能对医疗记录造成损害 中断因为洪水可能需要将设备从一楼移走下面是纸质医疗记录的威胁统计树使用物理访问的人类参与者资产 访问 参与
45、者 动机 结果暴露意外 修改丢失、损坏中断内部暴露故意 修改丢失、损坏纸质医疗记录 中断物理暴露意外 修改丢失、损坏中断外部暴露故意 修改丢失、损坏中断Appendix C: Complete Example Results OCTAVE Method Implementation Guide v2.0C-30 2001 Carnegie Mellon University其它问题资产 参与者 结果暴露自然灾害 修改纸质医疗记录丢失、损坏中断暴露设备配置 修改丢失、损坏中断5.2.3 个人电脑Table 26: 个人电脑的安全需求安全需求类型 具体细节可用性 计算机资产应该可用机密性 PC 中存储的患者信息应该保持机密完整性 软件应该统一和保持最新,信息应该完整和正确其它 所有 PC 应该受到口令保护,确定事件报告过程下面是个人电脑的威胁统计
