Блог 

Проблемы в организации систем защиты информации медицинских учреждений ХМАО-Югры

«Шашечки или ехать» …

Проблемы в организации систем защиты информации медицинских учреждений ХМАО-Югры

В последнее время по вопросам защиты персональных данных «оживились» медицинские учреждения (ЛПУ) Югры. Видимо появилось понимание, что оператор ПДн они, пожалуй, один из самых крупных, да и данные серьезные, а вопросы защиты информации далеко не первостепенная задача и не на слуху у руководства ЛПУ, потому и уровень защиты оставляет желать лучшего и держится в основном на энтузиастах айтишниках (благо, что и такие попадаются!)

Так вот в ходе проработки проектов по защите информации разнообразных больниц, диспансеров и т.п. охватила меня грусть-печаль не проходящая ) – не видно «просвета безопасности» (или как мы придумали в постах ниже — «ИБ-счастья»J) в тьме больничных коридоров..
Разделять апатию и пессимизмом все тех же (спасибо им не за пессимизм, а за терпение и работу) айти спецов не хочется, да и профессионализм не позволяет. «Напишу я лучше пост о том как достичь желаемого «ИБ-счастья» и передам его в Департамент здравоохранения!» — осенило меня в 2 часа сегодняшней ночи !
Не судите строго, получите причины отсутствия действенной системы защиты информации в медицинских учреждениях, а также методы борьбы с ними
1. Отсутствие подсистемы управления ИБ и её отдельных элементов. Особое значение имеет отсутствие такого элемента как подразделение по защите информации. Данный факт не позволяет сохранить состав и топологию защищённых объектов информатизации, добиться соблюдения политик ИБ в ЛПУ, организовать техническое сопровождение и модернизацию и самой системы защиты информации и отдельных подсистем в её составе. Результатом данного обстоятельства является не соответствие построенных систем защиты информации и защищаемых объектов информатизации действующему законодательству по истечении всего нескольких недель после сдачи систем защиты информации в эксплуатацию. Это реальные факты !!! Деньги (и не малые, и они есть кстати) «в трубу» …!!!
Решение данной проблемы должно достигаться реализацией следующих мероприятий:
Создание действенной кадровой структуры менеджмента ИБ через создание самостоятельного подразделения по защите информации в каждом ЛПУ, наделенного полномочиями по руководству и контролю состояния защиты информации во всех подразделениях ЛПУ и подчиненного заместителю главного врача ЛПУ, ответственному за организацию и руководство работами по защите информации.
Должности и квалификация назначаемых специалистов должны соответствовать требованиям соответствующих квалификационных справочников (Приказ Минздравсоцразвития РФ от 22.04.2009 N 205).
Плановое прохождение переподготовки и повышения квалификации штатными специалистами по защите информации ЛПУ.
2.  Лишение подразделения (специалистов) по защите информации ЛПУ инструментов и механизмов управления ИБ. Особое отрицательное значение имеет:
— отсутствие у специалистов подразделения возможности повышения квалификации;
— отсутствие статьи финансирования расходов на модернизацию, переаттестацию, техническое сопровождение систем защиты информации и другие необходимые мероприятия по ИБ;
— отсутствие автоматизированных подсистем управления событиями (инцидентами) ИБ
Результатом данного обстоятельства является невозможность поддерживать систему защиты информации ЛПУ в необходимом в соответствии с законодательством состоянии и как следствие не эффективное расходование средств, затраченных на создание системы защиты информации, выраженное в полном несоответствии и не работоспособности системы защиты информации в целом и отдельных её элементов по истечении короткого времени после ввода системы в эксплуатацию. Низкая квалификация сотрудников подразделений по защите информации в ЛПУ не позволяет им осуществить (добиться от Исполнителей работ по созданию систем защиты информации) приемку систем защиты информации в составе и качестве, обеспечивающем выполнение всех требований законодательства. Отсутствие полноценного дееспособного подразделения по ЗИ приводит к нарушению работоспособности (корректного функционирования) средств и элементов систем защиты информации, что ведет к нарушениям технологического процесса обработки информации пользователями и жалобам от них и как следствие к выводу из строя (или нарушению правил эксплуатации, отключению настроек) средств защиты информации. Уже через три дня после внедрения всем (и особенно айтишникам, на которых свалилось сие счастье) легче отключить все !!!!!!! ((((
Решение данной проблемы должно достигаться участием руководства ЛПУ в решении вопросов ИБ, включением вопроса обеспечения ИБ в один из основных видов деятельности по обеспечению деятельности ЛПУ.
В помощь по бесконечной бумажной работе, обновлению матриц и техпаспортов должны быть системы автоматизированного учета и создания этих документов !!!
А в помощь по администрированию множества средств защиты информации (МЭ, антивирусы, НСД, СОВ) должны быть системы SIEM !
3. Использование для обработки и хранения защищаемой информации прикладного программного обеспечения, не соответствующего требованиям безопасности информации действующего законодательства и не позволяющего решить данную проблему наложенными имеющимися на рынке средствами защиты информации.
Необходимо рассматривать сертификацию данного ПО на соответствие требованиям по разграничению прав (при необходимости), регистрации действий пользователей и т.п. Или предложить действенные компенсирующие меры с соблюдением требований, а не писать в заключениях или моделях угроз (как я видел на одном из объектов) : «меры не реализуются, потому что для данной операционной системы (МИС и т.п.) не существует средств защиты информации на рынке» J)
4.  Внедрение систем защиты информации на неподготовленной ИТ инфраструктуре ЛПУ.
Во избежание повторного внедрения средств защиты информации, полного изменения проекта на систему защиты информации (в случае смены ИТ концепции) модернизацию ИТ инфрастуктуры необходимо проводить до момента проведения работ по реализации системы защиты информации. В то же время требования законодательства по обеспечению безопасности персональных данных не предусматривают причин для отсрочек реализации требований по ИБ и предусматривают ввод в эксплуатацию информационных систем и объектов информатизации после приведения их в соответствие требованиям по ИБ.
Тут все просто – если АРМ, не имеет даже процессора с частотой 2 Ггц и оперативки и около Гига , а «винда» XP (как признались на последнем «Код ИБ» сотрудники больниц Екатеринбурга), а на него еще ставят три вида СЗИ )))), то тут уж не до ИБ будет пользователям и тем же айтишникам. (см.результаты проблем пунктов 1,2).
5. Отсутствие контроля за носителями информации (электронными и бумажными) за пределами эксплуатации объектов информатизации
Человеческая натура (тонкая душевная организация) ИТ спеца (да и не только) устроена так, что видя «никчемность» какого-либо «действа» душа его не приемлет данных правил (это относится и к п.6.). А какой тут результат от системы ИБ, если информацию на носителях и на бумаге (ту же самую, что защищают на АРМ) можно таскать сколь угодно и куда угодно…
Рецепт – политики ИБ, реальные и работающие политики, и еще раз политики, политики вместе с юристами, кадровиками, айтишниками, руководителями…. !!!
6. Отсутствие действительной надежности внедренных систем защиты информации.
Вследствие низкой квалификации Исполнителей систем защиты информации и принимающих специалистов подразделений по ТЗИиИБ системы защиты информации строятся без учета реального моделирования угроз безопасности информации, не рассматриваются уязвимости банка данных ФСТЭК России, не рассматриваются рекомендации по защите от атак и вторжений ФСБ России и ведущих производителей систем обнаружения атак и вторжений. Данные обстоятельства приводят к тому, что лпу, построившие дорогостоящие системы защиты информации не в состоянии противодействовать реальным угрозам безопасности информации (инсайд, таргетированные атаки со стороны сетей связи общего пользования, атака на уязвимости программного обеспечения систем общего пользования в том числе с доступом к закрытым ресурсам, вирусы-шифровальщики).
И как раз настоящие ИТ-спецы понимают это зачастую прекрасно и частенько осмеивают в спину «неродивых» нанятых спецов по ИБ за их «бестолковые побрякушки»…
Для решения данной проблемы необходимо в ходе всего цикла по разработке и реализации систем защиты информации в МО предусматривать:
— реализацию пентестирования (во всем многообразии этого понятия – и социальные и сетевые, и анализ кода);
— рассмотрение реальных угроз безопасности информации лпу (вирусы-шифровальщики, внутренний инсайд и т.п.) с применением соответствующих средств защиты информации дополнительно к обязательным средствам и мерам, предусмотренным приказами ФСТЭК России;
 — привлекайте специалистов по ИБ к реализации своих проектов !!!!
Внимание (о ужас!!!), но лицензия ФСТЭК на ТЗКИ совсем не гарантирует наличие специалистов у организации, даже больше – наличие только этой лицензии говорит скорее об обратном (об узком кругозоре и возможностях лицензиата). Ищите организации, имеющие опыт работ и лицензии по спецпроверке, сертификации программного обеспечения на НДВ, реализации пентестов с реальным результатом и реальной программой и методикой !
Share on VKShare on Google+Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Комментарии

  1. Золотые слова!!!!
    Их бы всем руководителям, он начальника Департамента до руководителей ЛПУ «в уши»!!!! Попробую распечатать, и дать почитать главврачу. Посмотрим, что из этого выйдет…..

  2. Ничего не изменилось…
    По прежнему те же кривые руки, орд типовые, средства защиты ставятся только там где получилось инсталлировать (именно ! достаточно этого обычно а не настройки :)) и т.п..
    Нет в системе подразделения или человека кто мог бы принять работы, а уж тем более в больнице вообще никто не понимает, что нужно… Там где в больницах спецы хоть что то понимают, там «криворукие протеже» (кто столкнулся — уже в курсе!) не проскочат,а вот остальным не повезло — и деньги потратят и защиту не получат, еще и проблем с работой огребут ..:))

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *