Блог 

Проблемные вопросы аттестации защищаемых информационных систем в медицинских учреждениях Ханты-Мансийского автономного округа — Югры

В целях обеспечения деятельности медицинских учреждений и автоматизации необходимых типовых задач, решаемых в процессе оказания медицинских услуг, в работу данных учреждений интегрируются медицинские информационные системы (далее – МИС), в которых обрабатывается конфиденциальная информация.

Что же такое МИС? МИС – комплексная автоматизированная информационная система для автоматизации деятельности медицинской организации, в которой объединены система поддержки принятия медицинских решений, электронные медицинские записи о пациентах, данные медицинских исследований, данные контроля состояния пациента от диагностического оборудования, средства общения между сотрудниками, финансовая и административная информация.

      Опыт работы с медицинскими учреждениями ХМАО-Югры, позволил выявить ряд характерных проблем и(или) несоответствий МИС ограничивающих выполнение всех требований приказов ФСТЭК в необходимом и достаточном объеме. Как правило, классифицируются данные информационные системы, как информационные системы персональных данных (далее — ИСПДн), в которых необходимо обеспечить второй 2 уровень защищённости (далее — УЗ) персональных данных. Основанием данной классификации является наличие специальных персональных данных более 100000 субъектам ПДн.

 

 

В случае же обработки меньшего количества субъектов ПДн, ИСПДн классифицируется по 3 УЗ, что в свою очередь сокращает базовый набор мер, определенный приказом ФСТЭК № 21 от 18.02.2013 года, основным отличием которого от УЗ2, является исключение необходимости применения средств обнаружения компьютерных атак. При этом рассматривается только  3 тип актуальных угроз, исключая актуальность угроз связанных с не декларированными возможностями в системном и прикладном программном обеспечении. Угрозы 1-го и 2-го типа признаются не актуальны в связи с тем, что планируется работа основных технических средств (далее — ОТСС) ИСПДн в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации, которые будут обеспечивать контроль действий общесистемного и прикладного программного обеспечения ИС.
      Автоматизация технологических процессов оказания медицинских услуг имеет высокий уровень проникновения, и в том числе рынок автоматизированных медицинских информационных систем достаточно широк. При этом, с точки зрения обеспечения информационной безопасности, все представленные на рынке решения программных комплексов МИС, имеют схожие особенности в механизмах прикладного и системного программного обеспечения, а именно: механизмы идентификации и аутентификации пользователей, разграничение прав доступа (назначение полномочий каждой учетной записи), регистрация событий безопасности реализованы встроенными механизмами прикладного ПО «МИС». Одновременно с этим, данные о всех событиях безопасности хранятся в журналах аудита, на уровне прикладного ПО. Помимо этого, все запросы, выполняемые в БД, выполняются от имени единственной учетной записи, что в свою очередь исключает возможность реализации мер обеспечения безопасности информации наложенными средствами защиты, прошедшими соответствующие процедуры сертификации.
      Возникает резонный вопрос, а как же возможно реализовать базовый и затем, адаптированный набор мер в данных информационных системах, для прохождения аттестационных испытаний, с получением положительного заключения о соответствии требованиям руководящих документов по безопасности информации к информационным системам персональных данных 2 и 3 уровня защищенности.
Варианты могут рассматриваться следующие:
      1.     Сертификация прикладного программного обеспечения «МИС».
Для использования механизмов ПО «МИС» в качестве средств защиты информации необходима её сертификация в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации», утвержденным приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199.
Процедура сертификации подразумевает проведение сертификационных испытаний единичного экземпляра на соответствие следующим требованиям:
—          Технических условий, определяющих меры защиты информации, реализуемые ПО, определенные в Приказе ФСТЭК России № 21 для 2 уровня защищенности. В части реализации следующих требований:
•         ИАФ.1: Идентификация и аутентификация пользователей, являющихся работниками оператора;
•         ИАФ.3: Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
•         ИАФ.4: Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
•         ИАФ.5: Защита обратной связи при вводе аутентификационной информации;
•         ИАФ.6: Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
•         УПД.1: Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
•         УПД.2: Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
•         УПД.4: Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
•         УПД.5: Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
•         УПД.6: Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
•         УПД.10: Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;
•         УПД.11: Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации;
•         РСБ.1: Определение событий безопасности, подлежащих регистрации, и сроков их хранения;
•         РСБ.2: Определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
•         РСБ.3: Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения;
•         РСБ.4: Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти;
•         РСБ.5: Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них;
•         РСБ.7: Защита информации о событиях безопасности.
— Руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) — по 5 классу защищенности.
— Руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля.
Работы по сертификации должны включать следующие этапы:
— этап №1. Экспертиза готовности Изделия к сертификационным испытаниям.
— этап №2. Доработка Изделия.
-этап №3. Сертификационные испытания Изделия.
      2.        Модернизация прикладного ПО «МИС», с учетом выноса механизмов идентификации, регистрации событий и разграничения прав, на уровень сертифицированных операционных систем (ОС) и(или) систем управления базами данных (СУБД).
 Данный вариант возможно реализовать максимально эффективно только в случае однозначной заинтересованности разработчика данного продукта в момент текущей эксплуатации МИС, либо, что наиболее предпочтительней, на этапе формирования требований к созданию МИС.
В этом варианте, помимо значительных временных и финансовых затрат, актуален вопрос подбора возможных к применению наложенных средств защиты информации (далее — СЗИ). Суть вопроса — это совместимость наложенных средств защиты информации с системным программным обеспечением, на базе которого будут функционировать сертифицированные СУБД. Отсутствие действующих сертифицированных СЗИ может привести к необходимости проведения научно-исследовательских и опытно-конструкторских работ (далее — НИОКР) для разработки СЗИ от несанкционированного доступа (далее — НСД) и модуля доверенной загрузки (далее — МДЗ).
      К примеру, на текущий момент сертифицированные СЗИ от НСД для ОС «Оracle L inux» отсутствуют, при этом базовый пакет сертификации на СУБД Oracle , возможно получить только при условии функционирования СУБД под управлением ОС «Оracle L inux».
      3.     И третий вариант:
 Признание Оператором ИСПДн «МИС» не актуальным внутреннего нарушителя, определение равных прав для всех пользователей системы, что предопределит отсутствие необходимости в функционале разграничения полномочий доступа в ИСПДн, при этом права доступа к ИСПДн будут разграничиваться на уровне средств межсетевого экранирования и средств криптографической защиты информации (СКЗИ), локальными средствами защиты от несанкционированного доступа и средствами доверенной загрузки. Применение компенсирующих организационных мероприятий  по регистрации и доступу пользователей к СВТ, входящих в состав ИСПДн, при этом ограничиваясь достаточностью регистрации событий безопасности на уровне локальных СЗИ от НСД, фиксирующих факт запуска исполняемых файлов по доступу к ИСПДн, при этом осуществляя  контроль целостности массивов данных МИС.
Данный вариант, требует рассмотрения и обсуждения экспертным сообществом в области информационной безопасности (ИБ), так как признание актуальности тех или иных угроз, а также формирование уточненного, адаптированного набора мер, в большей степени предопределяется экспертным мнением.
      Достаточность описанных выше реализуемых мер, возможно, определить на этапе эксплуатации ИСПДн при проведении контроля эффективности подсистемы безопасности информации, и при определении необходимости дополнительных мероприятий реализовать их.
      А как Вы считаете уважаемые читатели, имеет ли право на легальное существование третий вариант реализации достаточных мер обеспечения безопасности информации в МИС?
      Второй вопрос, требующий внимания при рассмотрении обеспечения информационной безопасности на объектах информатизации медицинских информационных систем, предопределяет ограничение удаленного доступа для администрирования ИСПДн.
      На текущий момент, в процессе внедрения и эксплуатации МИС, Оператор ИСПДн, не располагает квалифицированными кадрами, способными самостоятельно администрировать такие сложные информационные системы, что приводит к необходимости привлечения разработчиков на осуществление технического сопровождения. Как правило, разработчики прикладного программного обеспечения МИС и операторы ИСПДн «МИС» находятся территориально в разных населенных пунктах, в связи с чем, для оперативного реагирования и восстановления работоспособности МИС, разработчиком используются механизмы удаленного доступа к ресурсам ИСПДн, посредством использования сетей связи общего пользования. Средства вычислительной техники, с которых, привлекаемый для технического сопровождения разработчик ПО, осуществляет доступ к ИСПДн, должен рассматриваться как внешняя информационная система, которая инициирует процессы, позволяющие администрировать средства ИСПДн, СЗИ в рамках технического сопровождения. При этом, оператору ИСПДн, необходимо обеспечить реализацию защищенного удаленного доступа субъектов доступа (внешняя информационная система инициирующая процессы фактически является субъектом доступа) к объектам доступа через внешние информационно-телекоммуникационные сети.
Защита удаленного доступа должна обеспечиваться при всех видах доступа и включать:
-Требования к реализации мер управления доступом (УПД.13):
-установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы. ограничение на использование удаленного доступа в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2;
-предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
-мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа информационной системы;
-контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой (передачи защищаемой информации).
Требования к усилению реализации мер управления доступом (УПД.13):
2) в информационной системе должно использоваться ограниченное (минимально необходимое) количество точек подключения к информационной системе при организации удаленного доступа к объектам доступа информационной системы;
3) в информационной системе должен исключаться удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации;
5) в информационной системе должен обеспечиваться мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с информационной системой;
— Требования к реализации мер управления доступом (УПД.16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)).
      Оператором должно быть обеспечено управление взаимодействием с внешними информационными системами, включающими информационные системы и вычислительные ресурсы (мощности) уполномоченных лиц, информационные системы, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными информационными системами, информационное взаимодействие с которыми необходимо для функционирования информационной системы.
Управление взаимодействием с внешними информационными системами должно включать:
-предоставление доступа к информационной системе только авторизованным (уполномоченным) пользователям в соответствии с УПД.2;
-определение типов прикладного программного обеспечения информационной системы, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних информационных систем;
-определение системных учетных записей, используемых в рамках данного взаимодействия;
-определение порядка предоставления доступа к информационной системе авторизованными (уполномоченным) пользователями из внешних информационных систем;
-определение порядка обработки, хранения и передачи информации с использованием внешних информационных систем.
Управление взаимодействием с внешними информационными системами в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется, в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.
Правила и процедуры управления взаимодействием с внешними информационными системами регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению реализации мер управления доступом УПД.16:
1) оператор может предоставлять доступ к информационной системе авторизованным (уполномоченным) пользователям внешних информационных систем или разрешать обработку, хранение и передачу информации с использованием внешней информационной системы при выполнении следующих условий:
а) при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней информационной системы;
б) при наличии подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации (наличие аттестата соответствия требованиям по безопасности информации или иного подтверждения).
Все указанные выше требования должны реализовываться средствами межсетевого экранирования и СКЗИ, средствами СЗИ от НСД, а также условиями политики безопасности оператора ИСПДн, а также условиями, отраженными в соглашении об информационно-технологическом взаимодействии, между Оператором и привлекаемой для технического сопровождения стороной.
На сегодняшний день профессиональным сообществом в области ИБ, совместно с представителями медицинских учреждений, накоплен большой практический опыт аудита исходной защищенности МИС, а также последующей разработки и реализации подсистемы ИБ, с учетом требований регуляторов и вышеуказанных особенностей, отраженных в политике безопасности, которая в совокупности с техническими мерами, позволит получить Оператору МИС, не только положительное заключение по результатам аттестационных испытаний, но и что не мало важно, в отличии от альтернативных предложений, действенную подсистему ИБ.

 

Share on VKShare on Google+Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *