Блог 

Проблемы в организации систем защиты информации медицинских учреждений ХМАО-Югры

«Шашечки или ехать» …

Проблемы в организации систем защиты информации медицинских учреждений ХМАО-Югры

В последнее время по вопросам защиты персональных данных «оживились» медицинские учреждения (ЛПУ) Югры. Видимо появилось понимание, что оператор ПДн они, пожалуй, один из самых крупных, да и данные серьезные, а вопросы защиты информации далеко не первостепенная задача и не на слуху у руководства ЛПУ, потому и уровень защиты оставляет желать лучшего и держится в основном на энтузиастах айтишниках (благо, что и такие попадаются!)

     Так вот в ходе проработки проектов по защите информации разнообразных больниц, диспансеров и т.п. охватила меня грусть-печаль не проходящая ) – не видно «просвета безопасности» (или как мы придумали в постах ниже — «ИБ-счастья»J) в тьме больничных коридоров..
Разделять апатию и пессимизмом все тех же (спасибо им не за пессимизм, а за терпение и работу) айти спецов не хочется, да и профессионализм не позволяет. «Напишу я лучше пост о том как достичь желаемого «ИБ-счастья» и передам его в Департамент здравоохранения!» — осенило меня в 2 часа сегодняшней ночи !
Не судите строго, получите причины отсутствия действенной системы защиты информации в медицинских учреждениях, а также методы борьбы с ними
1. Отсутствие подсистемы управления ИБ и её отдельных элементов. Особое значение имеет отсутствие такого элемента как подразделение по защите информации. Данный факт не позволяет сохранить состав и топологию защищённых объектов информатизации, добиться соблюдения политик ИБ в ЛПУ, организовать техническое сопровождение и модернизацию и самой системы защиты информации и отдельных подсистем в её составе. Результатом данного обстоятельства является не соответствие построенных систем защиты информации и защищаемых объектов информатизации действующему законодательству по истечении всего нескольких недель после сдачи систем защиты информации в эксплуатацию. Это реальные факты !!! Деньги (и не малые, и они есть кстати) «в трубу» …!!!
     Решение данной проблемы должно достигаться реализацией следующих мероприятий:
    Создание действенной кадровой структуры менеджмента ИБ через создание самостоятельного подразделения по защите информации в каждом ЛПУ, наделенного полномочиями по руководству и контролю состояния защиты информации во всех подразделениях ЛПУ и подчиненного заместителю главного врача ЛПУ, ответственному за организацию и руководство работами по защите информации.
     Должности и квалификация назначаемых специалистов должны соответствовать требованиям соответствующих квалификационных справочников (Приказ Минздравсоцразвития РФ от 22.04.2009 N 205).
     Плановое прохождение переподготовки и повышения квалификации штатными специалистами по защите информации ЛПУ.
2.  Лишение подразделения (специалистов) по защите информации ЛПУ инструментов и механизмов управления ИБ. Особое отрицательное значение имеет:
  • отсутствие у специалистов подразделения возможности повышения квалификации;
  • отсутствие статьи финансирования расходов на модернизацию, переаттестацию, техническое сопровождение систем защиты информации и другие необходимые мероприятия по ИБ;
  • отсутствие автоматизированных подсистем управления событиями (инцидентами) ИБ;
    Результатом данного обстоятельства является невозможность поддерживать систему защиты информации ЛПУ в необходимом в соответствии с законодательством состоянии и как следствие не эффективное расходование средств, затраченных на создание системы защиты информации, выраженное в полном несоответствии и не работоспособности системы защиты информации в целом и отдельных её элементов по истечении короткого времени после ввода системы в эксплуатацию. Низкая квалификация сотрудников подразделений по защите информации в ЛПУ не позволяет им осуществить (добиться от Исполнителей работ по созданию систем защиты информации) приемку систем защиты информации в составе и качестве, обеспечивающем выполнение всех требований законодательства. Отсутствие полноценного дееспособного подразделения по ЗИ приводит к нарушению работоспособности (корректного функционирования) средств и элементов систем защиты информации, что ведет к нарушениям технологического процесса обработки информации пользователями и жалобам от них и как следствие к выводу из строя (или нарушению правил эксплуатации, отключению настроек) средств защиты информации. Уже через три дня после внедрения всем (и особенно айтишникам, на которых свалилось сие счастье) легче отключить все !!!!!!! ((((
Решение данной проблемы должно достигаться участием руководства ЛПУ в решении вопросов ИБ, включением вопроса обеспечения ИБ в один из основных видов деятельности по обеспечению деятельности ЛПУ.
В помощь по бесконечной бумажной работе, обновлению матриц и техпаспортов должны быть системы автоматизированного учета и создания этих документов !!!
А в помощь по администрированию множества средств защиты информации (МЭ, антивирусы, НСД, СОВ) должны быть системы SIEM !
3. Использование для обработки и хранения защищаемой информации прикладного программного обеспечения, не соответствующего требованиям безопасности информации действующего законодательства и не позволяющего решить данную проблему наложенными имеющимися на рынке средствами защиты информации.
Необходимо рассматривать сертификацию данного ПО на соответствие требованиям по разграничению прав (при необходимости), регистрации действий пользователей и т.п. Или предложить действенные компенсирующие меры с соблюдением требований, а не писать в заключениях или моделях угроз (как я видел на одном из объектов) : «меры не реализуются, потому что для данной операционной системы (МИС и т.п.) не существует средств защиты информации на рынке» J)
4.  Внедрение систем защиты информации на неподготовленной ИТ инфраструктуре ЛПУ.
Во избежание повторного внедрения средств защиты информации, полного изменения проекта на систему защиты информации (в случае смены ИТ концепции) модернизацию ИТ инфрастуктуры необходимо проводить до момента проведения работ по реализации системы защиты информации. В то же время требования законодательства по обеспечению безопасности персональных данных не предусматривают причин для отсрочек реализации требований по ИБ и предусматривают ввод в эксплуатацию информационных систем и объектов информатизации после приведения их в соответствие требованиям по ИБ.
    Тут все просто – если АРМ, не имеет даже процессора с частотой 2 Ггц и оперативки около Гига , а «винда» XP (как признались на последнем «Код ИБ» сотрудники больниц Екатеринбурга), а на него еще ставят три вида СЗИ )))), то тут уж не до ИБ будет пользователям и тем же айтишникам. (см.результаты проблем пунктов 1,2).
5. Отсутствие контроля за носителями информации (электронными и бумажными) за пределами эксплуатации объектов информатизации
Человеческая натура (тонкая душевная организация) ИТ спеца (да и не только) устроена так, что видя «никчемность» какого-либо «действа» душа его не приемлет данных правил (это относится и к п.6.). А какой тут результат от системы ИБ, если информацию на носителях и на бумаге (ту же самую, что защищают на АРМ) можно таскать сколь угодно и куда угодно…
Рецепт – политики ИБ, реальные и работающие политики, и еще раз политики, политики вместе с юристами, кадровиками, айтишниками, руководителями…. !!!
6. Отсутствие действительной надежности внедренных систем защиты информации.
Вследствие низкой квалификации Исполнителей систем защиты информации и принимающих специалистов подразделений по ТЗИиИБ системы защиты информации строятся без учета реального моделирования угроз безопасности информации, не рассматриваются уязвимости банка данных ФСТЭК России, не рассматриваются рекомендации по защите от атак и вторжений ФСБ России и ведущих производителей систем обнаружения атак и вторжений. Данные обстоятельства приводят к тому, что лпу, построившие дорогостоящие системы защиты информации не в состоянии противодействовать реальным угрозам безопасности информации (инсайд, таргетированные атаки со стороны сетей связи общего пользования, атака на уязвимости программного обеспечения систем общего пользования в том числе с доступом к закрытым ресурсам, вирусы-шифровальщики).
И как раз настоящие ИТ-спецы понимают это зачастую прекрасно и частенько осмеивают в спину «неродивых» нанятых спецов по ИБ за их «бестолковые побрякушки»…
Для решения данной проблемы необходимо в ходе всего цикла по разработке и реализации систем защиты информации в МО предусматривать:
— реализацию пентестирования (во всем многообразии этого понятия – и социальные и сетевые, и анализ кода);
— рассмотрение реальных угроз безопасности информации лпу (вирусы-шифровальщики, внутренний инсайд и т.п.) с применением соответствующих средств защиты информации дополнительно к обязательным средствам и мерам, предусмотренным приказами ФСТЭК России;
— привлекайте специалистов по ИБ к реализации своих проектов !!!!
Внимание (о ужас!!!), но лицензия ФСТЭК на ТЗКИ совсем не гарантирует наличие специалистов у организации, даже больше – наличие только этой лицензии говорит скорее об обратном (об узком кругозоре и возможностях лицензиата). Ищите организации, имеющие опыт работ и лицензии по спецпроверке, сертификации программного обеспечения на НДВ, реализации пентестов с реальным результатом и реальной программой и методикой !

Комментарии

  1. Золотые слова!!!!
    Их бы всем руководителям, он начальника Департамента до руководителей ЛПУ «в уши»!!!! Попробую распечатать, и дать почитать главврачу. Посмотрим, что из этого выйдет…..

  2. Ничего не изменилось…
    По прежнему те же кривые руки, орд типовые, средства защиты ставятся только там где получилось инсталлировать (именно ! достаточно этого обычно а не настройки :)) и т.п..
    Нет в системе подразделения или человека кто мог бы принять работы, а уж тем более в больнице вообще никто не понимает, что нужно… Там где в больницах спецы хоть что то понимают, там «криворукие протеже» (кто столкнулся — уже в курсе!) не проскочат,а вот остальным не повезло — и деньги потратят и защиту не получат, еще и проблем с работой огребут ..:))

  3. Добрый день!

    Интересует следующий вопрос касаемо организации защиты информации, в частности съемных носителей персональных данных (флешки и т.д.). Согласно ФЗ все съемные носители должны быть учтены в журнале съемных носителей, а как на счет сторонних съемных носителей?

    У нас как у оператора ПДн съемные носители отключены (типа флешек, и других подобных устройств). Учтенные носители выданы под роспись в журнале и доступ предоставлен только КОНКРЕТНЫМ носителям.

    Суть проблемы: пациент обращается в медицинскую организацию и приносит с собой на флешке результаты анализов, соответственно врачу нужно просмотреть данную информацию. Как безболезненно организовать данный вопрос? Этот вопрос касается не одного отделения

     

  4. Здравствуйте!
    Меры, реализованные Вами, в части ограничения подключения неучтенных носителей совершенно правильны и способствуют избежать очень многих угроз, которые можно реализовать за счет неконтролируемого использования и подключения внешних носителей.

    Для решения вашей проблемы одним из вариантов может быть выделение отдельной ПЭВМ (в т.ч. в виде виртуальной машины), предназначенной для получения данных с внешних носителей, представляющей собой некую «песочницу», т.е. специально выделенной среды для безопасного исполнения и проверки файлов и ПО.
    Данная ПЭВИ должна быть предназначена только для подключения носителей пациентов, их антивирусной проверки и сохранения информации.
    Т.е. даже если на носителе будет вредоносное ПО, то оно сможет нарушить работу только данной ПЭВМ.
    Пользователь, осуществляющий процесс должен обладать минимальными полномочиями.
    Любая возможность взаимодействия с МИС должна быть исключена — либо физически отключение, либо использование МСЭ.

    После проверки принесенных данных их можно передавать конкретному врачу путем переноса в МИС уже на вашем учтенном носителе и копировать, к примеру, в личные сетевые папки врачей.

    При это необходимо учитывать объемы(количество пациентов, которые приносят медицинские данные на внешних носителях) и возможности.
    Так, для повышения защиты можно использовать две ПЭВМ с разными антивирусами, для автоматизации переноса данных можно использовать однонаправленные шлюзы и т.д.
    Ну и, конечно, весь процесс необходимо регламентировать (определить порядок и процедуры проверок, копирования, восстановления, учета и т.д) и контролировать.

  5. Добрый день!

    Было принято решение установить отдельный АРМ, на котором работает лицензионный антивирус. Он «самостоятельный» и не требует подключения к централизованному серверу антивирусной защиты. Данный АРМ вне домена, соответственно и вне сети.  Подключение к интернету настроено через межсетевой экран (исключительно для обновления антивируса). Сам АРМ находится в отделе IT, что позволяет контролировать вх и исх информацию. Информацию на внешних носителях будут приносить сами врачи, сторонним лицам вход запрещен

  6. Татьяна тогда нужно рассмотреть его как отдельный обьект информатизации. Со своей моделью угроз, своими требованиями и т.п.

     

  7. Добрый день! Хотела бы у Вас получить консультацию по поводу Договора на оказание платных медицинских услуг и Согласия на получение результатов медицинских исследований по электронной почте. Вопрос стоит в том, что если мы реализуем возможность направления медицинских исследований на эл. почту, то от Пациента необходимо брать согласие, а наш юридический отдел категорически против включать второе приложение, т.е. Согласие на получение…, в договор на оказание платных медицинских услуг. Они предложили поставить звездочку над строчкой в самом договоре «Прошу направить на мой электронный адрес результаты исследования …..*» и мелким шрифтом в самом низу договора описать все требования (содержание согласия) в сноске ( *). Будет ли это правильно со стороны 152-ФЗ и как в данном случаем Пациент сможет отозвать согласие согласно п.2 ст.9 152-ФЗ…

    1. согласно п.1. ст.9 ФЗ-152
      Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме
      при этом, т.к. дается согласие на обработку спецкатегорий ПДн, то согласие должно быть дано именно в письменной форме и в составе согласно п.4 ст.9 ФЗ-152
      Поэтому форма согласия, включенная в текст договора, по нашему мнению, вполне соответствует требованиям 152-ФЗ.
      Что касается отзыва, то направление через электронную почту — это разовая операция, т.е. дается согласие именно на нее. Отзыв здесь уже не возможен.
      При этом следует отметить, что  в п.2 ст.9 152-ФЗ указано:
      В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
      И п 5. части 1 статьи 6 попадает в этот диапазон и соответствует вашей ситуации:
      5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
       

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *