Файл: Виды и состав угроз информационной безопасности (на примере медицинского центра Danke).pdf

Аудит IT-инфраструктуры состоит из следующих этапов:

1. Аудит технических средств и оборудования:

• 1. инвентаризация серверного, компьютерного, активного сетевого оборудования и оргтехники,
  2. анализ состояния структурированной кабельной системы,
  3. анализ достаточности ресурсов серверного оборудования выполняемым задачам,
  4. анализ организации системы бесперебойного электропитания.

2. Аудит программного обеспечения:

• 1. инвентаризация используемого прикладного программного обеспечения,
  2. анализ серверного и пользовательского программного обеспечения,
  3. анализ программного обеспечения на предмет наличия лицензий на его использование.

3. Аудит сетевых решений и электронных коммуникаций:

3.1 анализ организации внешних каналов передачи данных и телефонии для обмена информацией с внешними по отношению к объекту сетями и системами связи,

3.2 аудит учетных данных хостинга,

3.3 анализ организации системы корпоративной электронной почты.

4. Аудит информационной безопасности:

4.1 анализ систем информационной безопасности,

4.2 анализ систем защиты от вирусов и нежелательной электронной почты,

4.3 анализ систем защиты от внешнего проникновения,

4.4 анализ возможных путей утечки информации внутри организации,

4.5 анализ принципов межсетевого взаимодействия,

4.6 анализ существующих политик IP-адресации, IP-маршрутизации,

4.7 анализ системы хранения и резервирования данных.

Аудит может быть внешним (независимая экспертная организация) и внутренним (реализация проверок, тестов, анализа силами штатных сотрудников). Более объективным и результативным считается внешний аудит, тем более для реализации внутреннего аудита компания может и не иметь в штате нужных кадров (имеющих нужную квалификацию и владеющих методиками и подходами в проведении аудита). После проведения аудита (в случае внешнего аудита) заказчик получает независимую оценку актуального состояния IT-инфраструктуры, информацию об её узких местах и участках, влияющих на стабильность работы информационных систем и предоставления услуг, а также рекомендации по используемым технологиям, оборудованию и его настройкам.

Аудит ИБ организации определяется как систематический, независимый и документированный процесс, для получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени выполнения критериев аудита ИБ.

По содержанию аудит ИБ разделяется на следующие виды:

аудит ИБ СИТ, эксплуатирующийся в организации;

аудит ИБ организации.

Задачей аудита ИБ СИТ, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование СИТ.

Задачей аудита ИБ организации является проверка состояния защищенности интересов (целей) организации в процессе их реализации в условиях внутренних и внешних угроз, а также предотвращение утечки защищаемой конфиденциальной информации, возможных несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Проведение аудита ИБ основывается на ряде принципов, следование которым является предпосылкой для обеспечения объективных заключений по результатам аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ.

Принципы, относящиеся к аудиту ИБ:

Аудит ИБ должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для беспристрастности при проведении аудита ИБ и объективности при формировании заключения по результатам аудита ИБ;

Аудит ИБ должен охватывать все области ИБ и защитные меры, указанные в договоре на проведение аудита ИБ. Кроме того, полнота аудита ИБ определяется достаточностью предоставленных материалов, документов и уровнем их релевантности. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ;

Оценка на основе свидетельств является единственным способом, позволяющим получить повторяемое заключение по результатам аудита, что повышает к нему доверие. Для повторяемости заключения свидетельства аудита ИБ должны быть воспроизводимыми;

При проведении аудита аудитор должен понимать деятельность проверяемой организации в достаточной степени, чтобы идентифицировать и правильно оценивать события, процессы, относящиеся к области ИБ, с учетом возможностей применения методов и способов оценки рисков, которые могут оказывать существенное влияние на достоверность проверяемых данных, на ход проведения проверки или на выводы, содержащиеся в аудиторском заключении.

ГЛАВА 2 ЗАЩИТА ИНФОРМАЦИИ В МЕДИЦИНЕ. АНАЛИЗ АТАК ЗЛОУМЫШЛЕННИКА, ОЦЕНКА РИСКОВ

В данный момент в медицинской сфере наблюдается процесс всеобщей информатизации: переход к технологиям электронных регистратур и электронных медицинских карт, интеграция медицинских систем со всеми процессами деятельности ЛПУ. В различных учреждениях в медицинских системах могут обрабатываться не только персональные данные пациентов, включая их истории болезни, но и другие данные – например, касающиеся коечного фонда, или результаты лабораторных исследований либо статистические данные, на основе которых проводится анализ работы учреждения (список можно продолжить). Выгода от внедрения процессов автоматизации очевидна, но, как известно, запуск новых электронных сервисов приводит к появлению новых уязвимостей и угроз и, как следствие, – новых рисков не только для медицинских учреждений, но и для пациентов.

Исследование вопросов защиты информации в медицинском секторе начали рассматривать сравнительно недавно. Актуальность данного исследования определена тем, что в большинстве случаев в рядовом медицинском учреждении вопрос информационной безопасности не ставится вообще. Информационные системы и комплексы, разрабатываемые ранее для использования в медучреждениях, или не предусматривали необходимости защиты или рассматривали ее на примитивном стандартном уровне. Такой подход привел сегодня к ощутимой проблеме. Современная информационная система медучреждения не защищена от действий любого сотрудника, обладающего минимальной технической грамотностью в обращении с компьютерами. А если и используются более продвинутые системы, предусматривающие минимальные уровни защиты от собственных сотрудников, абсолютно уязвимы перед администраторами ИТ-инфраструктуры учреждения. Поэтому перед такими учреждениями здравоохранения встает проблема создания соответствующей всем нормативным требованиям интегрированный системы защиты для уже существующих информационных систем, либо перехода к применению новых информационных систем персональных данных (ИСПДн) с реализованными функциями защиты.

Только в последнее время на эти вопросы начали обращать внимание как со стороны государства так и стороны специалистов и функционеров медицинского сектора и ИТ сектора.

Например ‑ на конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина» (г. Москва) в текущем 2016 году, обсуждались актуальные тенденции в сфере информационной безопасности, остро стоящие проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.

Первичным мотивирующим фактором стало принятие и дальнейший контроль выполнения ряда законов регламентирующих вопросы защиты личной информации и данных. Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами.

2.1 Правовые аспекты и нормативы о защите информации и персональных данных

Защита персональных данных ‑ важное направление информатизации здравоохранения и автоматизации ЛПУ, составная часть и необходимое условие работы любого медицинского учреждения. Федеральный закон от 27.07 2006 пн 152-ФЗ определяет персональные данные (ПДн) как «любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». В состав персональных данных входят фамилия, имя, отчество субъекта ПДн, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение и т.д. Сведения о состоянии здоровья субъекта ПДн отнесены к специальным категориям персональных данных, и действующее законодательство обязывает ЛПУ обеспечить надежную защиту этой информации.

Контроль за соответствием обработки персональных данных требованиям законодательства осуществляют регуляторы — ФСБ России, Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Несоблюдение и/или нарушение требований по защите персональных данных может привести к следующим последствиям:

• судебные иски к медицинским учреждениям со стороны их сотрудников, пациентов и посетителей;

• принудительное приостановление или прекращение обработки персональных данных (что блокирует всю текущую деятельность ЛПУ);

• приостановление действия или аннулирование лицензии на основной вид деятельности ЛПУ;

• привлечение ЛПУ и/или его руководителя к административной или иной ответственности.

Правовыми основаниями для обработки персональных данных пациентов медицинского учреждения являются:

• "Основы законодательства Российской Федерации об охране здоровья граждан" (№ 5487-1 от 22.07.1993 г.);

• Закон РФ "О донорстве крови и ее компонентов";

• Приказ Минздрава "Об утверждении форм первичной медицинской документации учреждений здравоохранения";

• Приказ Минздрава "Об утверждении учетной и отчетной медицинской документации";

• Приказ Минздрава " Об утверждении форм первичной медицинской документации для учреждений службы крови";

• Приказ Минздрава "Об утверждении порядка медицинского обследования договора крови и ее компонентов";

• и другие.

Правовыми основаниями для обработки персональных данных работников медицинского учреждения являются:

• Трудовой кодекс РФ (Глава 14);

• Постановление Госкомстата РФ от 05.01.2004 г. № 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты";

• "Основы законодательства Российской Федерации об охране здоровья граждан" (№ 5487-1 от 22.07.1993 г.);

• Сроки обработки ПДн в ЛПУ, как правило, определятся вышеуказанными приказами Минздрава, Госкомстата, а также приказом "О введении в действие положения о медицинском архиве лечебного учреждения".

При обработке ПДн пациентов медицинских учреждений следует учитывать, что Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (например, когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).

Характерной особенностью организации обработки ПДн в ЛПУ является то обстоятельство, что "Основы законодательства РФ об охране здоровья граждан" (ст.31) требуют предусмотреть в ИСПДн возможность предоставления пациенту в доступной для него форме информации о состоянии здоровья, включая сведения о результатах обследования, наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ним риске, возможных вариантах медицинского вмешательства, их последствия и результатах проведенного лечения. Это требование вполне соотносится с положениями ст.143 Федерального закона "О персональных данных", определяющей право субъекта на доступ к своим ПДн. Так же следует обеспечить возможность информирования пациентов о способах и сроках обработки и хранения ПДн, а также лицах, имеющих к ним доступ.