Лекарство от ИТ-опасностей

20 марта 2014

Лилия Павлова,
Журнал «ИКС», 20 марта 2014

Крупнейшая в России частная клиника «Медицина» стала первым и пока единственым в России медучреждением, сертифицированным по международному стандарту информационной безопасности ISO/IEC 27001:2005. Чем обусловлен этот шаг и что в результате получили врачи и пациенты?

Конференция «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты»

Григорий Ройтберг, президент ОАО «Медицина», академик РАН,  на недавней конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты» отметил, что развитие клиники происходит в неразрывной связке с ИТ. Так, с 2002 г. в «Медицине» истории болезни пациентов ведутся в электронном виде, с 2003 г. введен принцип "один пациент – один врач в поликлинике и стационаре", с 2010 г. обеспечена интернет-доступность электронных историй болезни для экспертов и пациентов, а с 2013 г. «Медицина» стала именоваться смарт-клиникой – со смарт-палатами, смарт-операционными. Масштабное использование ИТ в медицинском учреждении требует обеспечения соответствующего уровня информационной безопасности – защиты собственно информационной системы организации от киберугроз и, разумеется, персональных данных пациентов, сотрудников и всей генерируемой в клинике информации – от утечек. Об объемах этой информации можно судить хотя бы по тому факту, что у клиники более 60 тыс. пациентов, и только в 2013 г. здесь было оказано 2 млн 300 тыс. услуг (и сделано записей, хранящихся многие годы).

Григорий Ройтберг, президент ОАО «Медицина»

Первым этапом построения инфобезопасной «Медицины» стало приведение ее информационной системы в соответствие с требованиями 152-ФЗ.  Для выполнения комплексного проекта по решению задачи защиты персональных данных было решено привлечь внешнюю организацию. После проведения анализа предложений и услуг поставщиков, специализирующихся в области информационной безопасности, была выбрана компания «ДиалогНаука». Рассматривались не только финансовые условия предложения, но и детально анализировалась информация о компаниях–поставщиках услуг по защите персональных данных, включая репутацию, наличие лицензий государственных регуляторов, рекомендации и опыт выполнения подобных работ. Проект по созданию системы защиты персональных данных сотрудников и пациентов клиники включал такие работы, как техническое проектирование системы защиты персональных данных в соответствии с положениями закона «О персональных данных» и требованиями нормативных документов, поставка средств защиты информации в соответствии с результатами технического проектирования, внедрение средств защиты информации в соответствии с результатами технического проектирования, оценка соответствия системы персональных данных нормативным документам по безопасности информации ФСТЭК России. В установленные договором сроки была проведена аттестация информационной системы персональных данных ОАО «Медицина» на соответствие требованиям безопасности информации, что позволило привести информационную структуру к полному соответствию с требованиями Федерального закона «О персональных данных».

Виктор Пархоменко, заместитель директора, «Медицина»

А высшим пилотажем стала сертификация по международному стандарту информационной безопасности ISO/IEC 27001:2005. Разработка и подготовка системы управления информационной безопасностью клиники к сертификации на соответствие требованиям стандарта была также проведена с помощью ЗАО «ДиалогНаука». Как отметил на конференции Виктор Пархоменко, заместитель директора службы ИТ по эксплуатации клиники «Медицина», СУИБ реализована в отношении таких услуг, как оказание скорой и неотложной медицинской помощи, лечебно-профилактической медицинской помощи, стационарной медицинской помощи, амбулаторно-поликлинической медицинской помощи, лечебной помощи на дому, а также процессов управления (кадровый учет работников, расчет заработной платы, управление персоналом, управление финансами, лекарственное и материально-техническое обеспечение, управление компьютерными системами и информацией, обеспечение информационной безопасности).

По словам Сергея Смолина, инженера по информационной безопасности клиники, требования при внедрении СУИБ состояли из трех пунктов. Во-первых, это минимизация изменений, вносимых в технологические процессы обработки информации. Во-вторых, максимально возможное использование существующих в ИС основных технических средств вычислительной техники, системного и прикладного программного обеспечения; структуры информационных систем и особенностей их построения; средств защиты информации; персонала, ответственного за техническое сопровождение, системное администрирование и обеспечение информационной безопасности, с учетом его состава и квалификации; топологии технологических процессов обработки информации; распорядительной документации клиники в части касающейся безопасности обработки конфиденциальной информации. И, в-третьих, – внедряемые средства защиты не должны снижать показатели надежности подключенного к ИС медицинского оборудования.

инженер по информационной безопасности клиники

Соблюсти эти требования позволили технические средства СУИБ, реализованные в проекте. Так, подсистема управления доступом создана на основе встроенных механизмов управления доступом сертифицированной версии ОС Microsoft Windows. Централизованный контроль, установка обновлений и настройка механизмов защиты сертифицированных версий ОС реализуется с помощью ПО "Net_Check". Дополнительно для управления доступом к съемным устройствам на АРМ, на которых USB-порты должны быть открыты, используется сертифицированная версия ПО «DeviceLock». Регистрация событий безопасности выполняется штатными средствами сертифицированной ОС MS Windows (для регистрации событий безопасности необходимо настроить политику аудита на АРМ и серверах), учет защищаемых носителей информации ведётся по их маркировке с занесением учетных данных в журнал учета с отметками об их выдаче (приеме), а также при помощи ПО «DeviceLock». Для обнаружения фактов НСД к информации проводится регулярный анализ журналов событий ИС. Централизованный сбор событий безопасности и последующий их анализ осуществляется с помощью программно-аппаратного комплекса «ArcSight Logger». В качестве средства обеспечения целостности используется сертифицированная версия ОС Microsoft Windows и входящее в пакет сертификации ПО «Check». Физическая защита технических средств включает систему видеонаблюдения, СКУД, режимные мероприятия. Подсистема антивирусной защиты строится на продуктах "Лаборатории Касперсткого", межсетевого экранирования – на основе ПАК «StoneGate», состоящего из программно-аппаратных МЭ «StoneGate Firewall/VPN», устанавливаемых на периметре ИС ЛПУ и сети интернет, программных МЭ «StoneGate IPsec VPN Client», устанавливаемых на АРМ-ах ИС, и сервера управления «StoneGate Management Center». Подсистема анализа защищенности реализуется на основе программного решения «XSpider 7.8 Professional Edition», сетевого сканера «XSpider 7.8» (сертифицированная версия). Подсистема обнаружения вторжений основана на ПАК StoneGate Firewall, обеспечивающем обнаружение и предотвращение попыток вторжения в режиме реального времени с использованием типовых атак на протоколы прикладного, канального, сетевого и транспортного уровней, DoS/DDoS-атак и попыток сканирования защищаемой сети; защиту от атак типа IP-spoofing (подмена адресов); декодирование и анализ протоколов на соответствие RFC; блокировка или завершение запрещенных сетевых соединений; использование для выявления атак методов контроля сигнатур; создание собственных сигнатур атак, шаблонов анализа атак и аномалий с возможностью пополнения базы данных сигнатур атак из центра обновлений.

Основными проблемами при внедрении СУИБ Сергей Смолин назвал классику человеческого фактора: непонимание сотрудниками необходимости внедрения системы управления информационной безопасностью вообще и формализации отдельных процессов в частности, недостаточная исполнительская дисциплина на начальных этапах внедрения СУИБ, непонимание необходимости соблюдений международных стандартов среди партнеров и контрагентов.

Тем не менее, как отметил Виктор Пархоменко, очевидны выгоды от внедрения системы управления ИБ: оптимизация расходов на информационную безопасность; снижение рисков, связанных с возможными ущербами для активов компании; снижение операционных затрат за счет формализации процессов ИБ; обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса. "Результатом формализации процессов управления информационной безопасностью стало значительное снижение количества инцидентов ИБ и времени реакции на инцидент, – констатировал В. Пархоменко. – Значительную роль в снижении количества нарушений играет постоянный контроль за пользователями и информирование пользователей о таком контроле. В результате внедрения СУИБ удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования, использование посторонних неинсталлируемых приложений".

549
Подписаться на статьи
;