Przeprowadzenie audytu bezpieczeństwa systemu Zdrowotny Informator Pacjenta dla Narodowego Funduszu Zdrowia

Data projektu: 2009

Wyzwanie:

Przeprowadzenie analizy bezpieczeństwa systemu Zdrowotny Informator Pacjenta (ZIP) w Wielkopolskim Oddziale Wojewódzkim NFZ.

Co zrobiliśmy:

  • testy penetracyjne (black-box) systemu ZIP wykonane zgodnie z metodyką i wytycznymi OWASP Project 2007, ze szczególnym uwzględnieniem ataków typu Dos, Injection i XSS,
  • analizę infrastruktury informatycznej pod kątem bezpieczeństwa aplikacji ZIP i współpracujących z nią systemów,
  • analizę dokumentacji oraz zgodności aplikacji ZIP z rozporządzeniem MSWiA odnośnie danych osobowych.

Korzyści:

  • wskazanie zagrożeń i podatności związanych z bezpieczeństwem IT aplikacji Zintegrowany Informator Pacjenta (ZIP),
  •  rekomendacje dotyczące bezpieczeństwa IT systemu ZIP w NFZ.

Zastosowane narzędzia i modele:

  • wymagania dotyczące Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).,
  • testy penetracyjne typu black-box,
  • skanery automatyczne i półautomatyczne,
  • wytyczne dot. sprzętu i systemów IT zastosowanych w infrastrukturze systemu Zintegrowany Informator Pacjenta (ZIP).

Wybrane projekty