Блог 

От ИБКВО до МЕДСОФТа…

 

В последние несколько недель произошло несколько событий, которые могут быть интересны специалистам в нашем регионе (как минимум):

— методический сбор ОГВ УрФО и ФСТЭК по УрФО в г.Салехарде

— конференция медсофт 2019 в г.Москва

Еще ранее прошла интересная конференция по безопасности КИИ и АСУ ТП (ИБКВО.РФ)

Мы участвовали в указанных мероприятиях. В первом в качестве докладчика участвовал наш коллега и директор ИРС Гильмияров Роман Владимирович, во втором и третьем в качестве слушателя ваш покорный слуга.

Как обычно не буду останавливаться на нормативке, все можно перечитать и услышать на множественных конференциях по «зачитке» нормативно-методических и правовых актов.

Было несколько интересных моментов на мероприятиях, из которых можно сделать определенные выводы и использовать эти выводы в организации деятельности по ИБ в своих учреждениях. Какие мысли хотелось бы до вас довести:

Методический сбор с ФСТЭК России по УрФО:

  1. Выступление заместителя руководителя ФСТЭК по УрФО содержало информацию о том, что в 90 процентах проверенных ими информационных систем органов власти округа содержатся уязвимости !!! в том числе в половине случаев это известные уязвимости программного обеспечения. Позвольте разве не за 5 минут до этого (а также на каждом мероприятии и при любом удобном случае) награждается множество должностных лиц от администраций субъектов округа за «невероятный вклад в дело ИБ и ТЗИ» ? Как то не могу увязать этот факт и факт того, что 90 (!!!!!!!) процентов их систем уязвимы ! 😊) На протяжении уж очень большого количества лет уязвимы ! Кто то может пояснить как это сопоставимо?
  2. Много разговоров было о кадровом обеспечении подразделений ИБ. Так отмечено несколько раз о необходимости наличия у операторов значимых КИИ подразделений, которым не вменяются никакие иные функции.

Приятно было, что Руководитель ФСТЭК по УрФО отметил, что в округе единственной организацией, согласовавшей курсы переподготовки являемся мы (конкретно учебный центр ИРС). Было озвучено, что требования к специалистам подразделений в части базового образования или переподготовки будут строго проверяться после «льготного периода адаптации».

Меня удивило, что на слайдах в части заявленной потребности ОГВ округа на специалистов по ИБ в колоне ХМАО стоял круглый ноль!

В разных мирах мы что ли живем с подающим эти сведения?…я так в любой ОГВ и подвед ХМАО захожу и первый вопрос мне — это где найти специалиста по ИБ….А может они и не разговаривают со своими коллегами, подведами ?

Руководитель регулятора Олег Петрович и в этот раз не обошел стороной вопрос «централизации».

Он опять так и не пояснил, что под этим термином имеют ввиду и он и его коллеги. Но возможно до него доходит информация о том, что под этим понимают в некоторых регионах и какие последствия уже необратимо последовали. Цитирую его: «централизация централизацией, а необходимо понимать, что оператор несет ответственность за свои информационные системы, а не какие либо органы типа ЦИТО и т.п.. Твоя ИС – будь добр обеспечь выполнение требований, в том числе на площадках где она размещена». Это простая истина наконец должна быть принята руководителями учреждений, питающих надежды возложения или хотя бы разделения ответственности с вышестоящими своими Департаментами или с АУ ЮНИИ ИТ. Как мы и предупреждали – вы остались с ответственностью и заботами, без денег, аттестатов соответствия требованиям безопасности информации и без подразделений (по крайней мере по ситуации на сегодняшний день)! При этом успехи централизованной борьбы с атаками со стороны ССОП в создаваемом СОК центре ДИТ-ЮНИИ ИТ (уже есть факты разбора атак и инцидентов в подведомственных учреждениях) безусловно радуют, но пока не могут компенсировать недостатки, а зачастую сами инциденты и вызваны отсутствием подразделений ИБ и политик ими поддерживаемых на местах (нарушения конфигураций, создание уязвимостей пользователями).

Выводы здесь могут сделать руководители ОГВ и учреждений, которые поддержали перевод в ЮНИИ ИТ-ДИТ и сокращение своих подразделений ИБ. Прибавив к этим словам «бумаги» подобные протоколам заседаний советов по ТЗИ ХМАО о необходимости самим проводить анализ уязвимостей в системах, а также оценив сегодняшнее состояние дел по техподдержке систем защиты своих ИС они теперь уже наверняка могут сделать вывод о просчетах своей политики, а также спрогнозировать дальнейшее развитие событий (уязвимости, взыскания за неисполнение в т.ч. анализа уязвимостей и т.п.) и сделать определенные шаги к упреждению этих самых событий.

Если прибавить к этому слайды специалиста ФСТЭК про подразделения операторов значимых КИИ, плюс позиции ведущих экспертов в области ИБ на Киберфорумах и других площадках, плюс усиливающиеся требования, а также лучшие практики (в банковской системе, военной отрасли, налоговой системе и т.д.), то очевидно, что в ближайшее время предстоит обратный, произошедшему за последний год в Югре процессу сокращения и переводя в единое учреждение подразделений ИБ, процесс создания подразделений по ИБ в медицинских учреждениях, учреждениях транспорта и связи и многих других

По этой теме высказался в своем докладе и сотрудник РУ ФСБ по Тюменской области. Он отметил, что удачная работа по централизованному применению систем обнаружения вторжений и других систем (SIEM и т.д.) сводится на нет недостатками работы персонала на местах.

Специалисты ФСБ как всегда выражаются конкретнее и четко пояснили, что основой из основ систем защиты информации на объектах является персонал и его квалификация. Товарищ Тулин высказался также о тестировании на проникновение. Важно, что заводят уже не в первый раз речь о мероприятии, которое не описано должным образом в нормативно-методических документах. Во-первых офицер отметил высокую эффективность данных мероприятий и убедительно предупредил о необходимости заключения соглашений с исполнителями и предварительном направлении их в органы ФСБ (в НКЦКИ), во избежание задействования сил и средств СОПКА и разбирательств с моделирующими атаки и самими заказчиками.

 

  1. Удаленный доступ для администрирования СЗИ запрещен, для других операций – по исполнению пунктов УПД

Тоже самое, кстати было на ИБКВО , Елена Торбина пояснила доходчиво разность в подходах…

Однако данный вопрос вызвал бурную дискуссию, поскольку многие не поняли разницу в двух этих видах доступа и настойчиво пытались намекнуть представителю регулятора, что на один и тот же вопрос отвечает по разному (то отвечает что удаленный доступ разрешен, то ответила что запрещен)

Переключаясь на ИБКВО отмечу две обсуждаемые темы, с представителем НКЦКИ:

— с момента категорирования объектов субъекты КИИ должны соблюдать правила (по утвержденным политикам реагирования на инциденты, плану отработки и т.п.) информирования и реагирования на инциденты. При этом по части информирования (предоставления данных в ГОССОПКУ) НИКАКИХ особых средств сопряжения и т.п. с ГОССОПКА не нужно, порядок передачи данных достаточно простой и составляет СУТКИ с момента инцидента. Все множественные требования приказов ФСБ для центров ГОССОПКА (оказывающих услуги мониторинга и реагирования на инциденты) не относятся к каждому субъекту КИИ !

— инцидент – это не каждое событие, а только то, которое вызвало нарушения в работе КИИ, или может в дальнейшем их вызвать и быть чревато последствиями или утечками (проникновение в систему, заражение и т.п.)

 

Теперь Медсофт.

Медсофт нам интересен в части исполнения указа президента и соотношения планов Минздрава, его последних приказов по информационной безопасности и работ по КИИ в ЛПУ всей страны.

Тезисно:

  1. Обсуждалось решение Минздрава о распределенной структуре ЕГИЗС (точнее теперь звучит термин «контур цифрового здравоохранения»).

Как я понял – в планируемом цифровом контуре здравоохранения МИС на местах будут работать полноценно, в ЦОД Минздрава деперсонализированные данные, что означает что полноценно использоваться для лечения они не могут, но способны быть получены (передаваться между медорганизациями) за счет «Реестра электронных медицинских документов» (РЭМД) по присвоенным им идентификаторам для запросов…. После первых документов о ЕГИСЗ создавалось впечатление и (насколько я слышал) опасения о создании единой МИС и единых сервисов (запись на прием и т.п.), сейчас становится очевидной коррекция (откат назад) этого направления – сохраняются МИС МО и Региональные системы, региональные сервисы записей на прием и т.п…

Убежден, что я не вник на достаточном уровне в проблематику, поэтому прошу поправить, если что то не так понял.

Однако очевидно, что (по аналогии с решением по ГИС Контингент) посылы к объединению больших массивов персональных данных (самих ИС, БД) в единые информационные системы во многих министерствах не поддерживаются уже как ранее.

Подобную тенденцию мы кстати видим в регионах, где являемся консультантами или исполнителями работ.

  1. Медицинское ИТ сообщество (АРМИТ и иже с ними) возмущено низкой квалификацией, отсутствием методической помощи со стороны Минздрава, результатами деятельности по ЕГИСЗ.

Отмечено, что серьезную озабоченность вызывает отсутствие концепции использования ЭДО в ЛПУ и т.п. и т.д., что влечет за собой траты средств впустую, слепое участие в «бессмысленных проектах региональных здравов и ЛПУ».

Однако, как раз перед выступление директора АРМИТ было выступление фирмы лицензиата ФСТЭК по ТЗКИ на тему «Управление процессами по защите информации и категорирование объектов КИИ в медицинских организациях». Название темы вызывало ожидание обсуждения проблем медицинских учреждений по части менеджмента ИБ, подсказки по составлению описания критических процессов или как минимум о сроках и порядке категорирования.

Каково было мое изумление, когда доклад полностью состоял из презентации известно продукта «Альфадок» и не слова не содержал о проблемах и способах их решения в ЛПУ в части категорирования КИИ, ни о порядке, ни о сроках ни об описании сложных объектов медучреждений.

И ладно если бы под интересной темой завлекли просто на доклад об этом продукте, но сама подача меня поразила. Не сдержусь в комментариях..

Альфадок безусловно заслуживает внимания как ПО, сочетающее в себе каталог по нормативным документам (правовую систему узкого назначения и кстати с очень небольшим процентом содержания нмд в области иб и тзи из множества имеющихся на эту тему) и базу хранения сведений о собственных объектах информатизации с возможностью автоматизированной выдачи нескольких ОРД при незначительных изменениях на объектах, некий оптимизатор ряда действий по ведению журналов, перечней средств защиты информации и т.п.

К сожалению, я ни раз уже слышал подобные доклады в разных частях страны.

Докладчик явно лукавил, преувеличивая достижения программного продукта. Поэтому для наших читателей развею мифы – коллеги — это не аналитическая интеллектуальная система разработки политик ИБ, мер и мероприятий защиты информации. Это просто веб система хранения шаблонов и данных о ваших объектах (данных которые вы сами туда занесли!!!!!), и еще — никакое описание критических процессов оно не может составить и не составляет. Содержит оно кстати весьма посредственные проекты (образцы) политик ИБ, которые не могут быть применены в различных объектах информатизации (ИСПДн, ГИС, КИИ) и не могут учесть всех топологий, технологических нюансов, методов менеджмента у заказчика, угроз и уязвимостей и т.п. к чему призывают все нмд ФСТЭК России, госты и лучшие практики по ИБ в мире. Да  и вообще программный продукт Альфадок можно использовать когда собственно есть, что в нем хранить (уже создана система защиты информации, имеются средства защиты от НСД и разрешительные системы доступа ими обеспеченные и т.п. и т.д.)

А вот про все это (системы защиты информации, политики ИБ и т.п.) в этих докладах (о Альфадоке) не звучит, что также искажает и суть продукта и замысел защиты информации вообще и описанный в НМД порядок работ по защите персональных данных или иной информации.

Внушать медицинским учреждениям (а именно это и было на Медсофт), что «Альфадок», цитирую: «проводит категорирование КИИ ЛПУ..» — это как раз и означает «впаривать» им очередную таблетку от всех болезней, а самое преступное сбивать с пути описанного в нмд. После этого ни один из «получивших» волшебное лекарство не будет создавать действенные политики ИБ, а будет спокойно «распечатывать документы» когда пришла проверка Роскомнадзора (прямо так и советовал выступавший) – об уровне этих проверок сказано не мало..

Когда слышишь подобное всегда хочется спросить – «господа вы действительно так работаете ? или просто очень нужно продать что то, а обьяснять врачам и т.п. о сложностях категорирования это не продаваемо, а вот таблетка типа БАД от всего – это как раз помедицински заходит «на ура» 😊 ?

 

Встречали и мы таких заказчиков, которые говорят: «зачем вы там в состав работ вставили разработку орд и политик, мы уже потратили деньги на Альфадок, кнопку нажмем и все готово, а нам теперь не согласуют покупку политик 😊)»

Но здесь стоит сказать о том, что формат Медсофта в этом плане меня разочаровал – задать вопрос после выступления в зале запрещено, понятно что это для соблюдения регламента, но такое решение приводит к тому, что все слушатели не услышат ни вопрос ни ответ….и уличить в лукавстве, неточности и т.п. выступающего не представляется возможным.

К слову у нас был подобный «Альфадоку» проект, и несколько успешных продаж..

Но мы свернули его прекрасно поняв, что завернуть в него шаблоны политик на все случаи жизни мало вероятно…и жизненный цикл политик настолько велик (один раз разработанные регламенты и политики служат годами), что разрабатывать для этого автоматизированную систему бессмысленно

К счастью тут же убеждаюсь (на встрече с московским медицинским холдиногм), что если все таки есть свои «думающие на результат» специалисты, то такие заходы не пройдут. Мне рассказывают о подобных предложениях разных «фирмачей» и о «аттестатах за 50 т.р. за АРМ» и просят реализовать разработку политик ИБ и проектирование системы защиты информации…

 

  1. Всем понравилось эмоциональное выступление академика Ройтберга Г.Е.

У нас в стране так заведено, все соглашаются и всем нравится честное откровенное выражение отношения к бездарной политике чиновников и определенных должностных лиц, открытая критика и разумные предложения «о светлом .. Но никто не готов их высказать даже в блогах, где авторов не видно

Из его высказываний хотелось бы здесь процитировать лишь одно близкое к нам по теме и которое мы также часто обсуждаем на площадках с ЛПУ в регионах:

«утверждение главных врачей об отсутствии денег на ИТ проекты – это ложь, поскольку затраты на эти проекты ничто малы по сравнению, например с УЗИ аппаратом, а окупаемость их огромна. Единственное почему не решаются эти вопросы– это бездарность управления и вопрос расстановки приоритетов..»

На этой ноте логично бы и закончить

Спасибо, жду комментариев

Комментарии

  1. По альфадоку хочу добавить по опыту

    1)      Включен ограниченный набор неадаптированных шаблонов документов (вся адаптация – это подстановка названия организации и должностей).
    При этом половина документов – списки, перечни и журналы, а не инструкции.
    Большей части необходимых для аттестации документов нет.
    2)      Никакой аналитики, качество тоже не очень (Например, система разграничения доступа предлагаемая – нет никакой конкретики. Просто описание ролей, а действительно кто и куда с какими правами, в т.ч. по сетевому доступу матрица не формируется. Еще пример — перечень помещений утверждается нормативным актом Учреждения).
    В качестве исх. данных вбивается название организации, ФИО, перечни ТС и СЗИ.
    И все это подставляется в эти шаблоны. Поменять содержание невозможно. (Может только через владельца сервиса?)
    Если надо что-то исправить, то только в выгруженной из системе версии.
    3)      Новые документы загружаются только целиком, а не в виде шаблонов.
    Т.е. имеющуюся  инструкцию можно подгрузить туда только в виде файла.
    Надо поменять – выгружаем, правим, загружаем назад. В общем, место для хранения.
    4)      Итоговые трудозатраты на подготовку и ведение документов техпаспорта, журналов и др. документов, такие же, как и руками все делать. Все равно надо будет выгружать и что-то править, рисовать схемы.
    5)      Планировщик проверок можно бесплатный использовать или в аутлуке напоминания сделать.
     Т.е. на выходе не работающий в организации и к тому же не полный набор документации, необходимой для выполнения всех требований.
    Инструкции такие не работают и персоналом не соблюдаются.

Добавить комментарий для Евгений Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *


Срок проверки reCAPTCHA истек. Перезагрузите страницу.