Благодаря созданию средств вычислительной техники и автоматизированных систем обработка информации на сегодняшний день больше не является трудоёмким процессом. В связи с увеличением информационных систем обработки персональных данных соответственно увеличилась производительность многих организаций, в том числе медицинских. Медицинские учреждения каждый день обрабатывают огромное количество персональных данных пациентов. Сотрудники лечебных учреждений легко могут получить доступ к персональным данным пациента. Однако, при отсутствии обеспечения надлежащей защиты, аналогично легко персональные данные могут попасть в руки злоумышленников. Утечка персональных данных грозит организации репутационными рисками, потерей лицензии на основной вид деятельности, несанкционированным использованием злоумышленниками, а также посягательством на личную жизнь или имущество человека. В работе реализуются меры по обеспечению безопасности ПДн при их обработке в информационных системах.
«Айболит» — сеть медицинских центров с собственной многопрофильной лабораторией. «Айболит» в течение 10 лет оказывает амбулаторно-поликлинические услуги населению Республики Татарстан и Республики Марий-Эл. Медицинское учреждение подключено к Государственной Интегрированной Системе Телекоммуникаций Республики Татарстан (ГИСТ РТ) для осуществления медицинских деятельности по системе ОМС. В медицинском центре персональные данные обрабатываются с помощью средств автоматизации и в бумажном виде. Доступ к ИСПДн и к бумажным носителям имеют только соответствующие сотрудники медицинского учреждения.
Для предотвращения несанкционированного доступа внутренними нарушителями организации необходимо с умом подходит к вопросу реализации защитных механизмов. Правильно разработанные организационно-технические меры снижают риск угрозы НСД внутренними нарушителями. Средствами для минимизации внутренних нарушений могут быть следующие меры: организация режимных мер, правильный подбор персонала, расстановка и профессиональная подготовка кадров, система разграничения доступа. К внутренним нарушителям ООО «Айболит» можно отнести:
- Специалиста по информационному сопровождению, администратора ИСПДн (наличие доступа к линиям связи, к механизмам защиты ИСПДн и всему оборудованию медицинского центра) - категория I;
- Программиста, администратора ИСПДн (наличие доступа к механизмам защиты ИСПДн, контроль разграничения прав доступа) - категория II;
- Пользователь, который имеет доступ к ИСПДн для выполнения рабочих обязанностей - категория III;
- Пользователь, не имеющий доступ в ИСПДн – категория IV;
В качестве внешнего нарушителя информационной безопасности рассматривается такой субъект, пребывание которого на территории является неправомерным. Такой нарушитель не имеет непосредственного доступа к ресурсам системы и техническим средствам. Вероятными нарушителями могут являться:
- Криминальные структуры;
- Конкурирующие организации;
- Разведывательные службы иностранных государств;
- Внешние субъекты;
- Бывшие сотрудники.
Для предотвращения исходящих от внешних нарушителей угроз необходимо оборудовать периметр здания средствами видеонаблюдения.
Для обеспечения безопасности ИСПДн лечебно-профилактического учреждения принято решение внести следующие изменения:
- Обеспечить каждое АРМ средством доверенной загрузки;
- Обеспечить сетевую безопасность путем приобретения двух межсетевых экранов;
- Обеспечить серверное помещение средствами первичного пожаротушения;
- Обеспечить приобретение сканера уязвимостей;
- Приобрести средство реагирования на инциденты и средство для их предотвращения;
- Оборудовать средства видеонаблюдения периметра учреждения;
- Провести ряд организационных мероприятий по обеспечению безопасности ПДн.
- Разработка системы защиты персональных данных в соответствии с требованиями безопасности
В соответствии с установленными мерами по обеспечению безопасности персональных данных разрабатываемая система защиты для ИСПДн медицинского учреждения должна состоять из следующих компонентов:
- подсистема разграничения и управления доступом субъектов к объектам доступа;
- подсистема регистрации и учета;
- подсистема анализа защищенности;
- подсистема межсетевого экранирования;
- подсистема организационных и технических мер.
Таблица 1. Перечень средств защиты информации
Название подсистемы |
Средство защиты информации |
Подсистема межсетевого экранирования |
ПАК «Рубикон-К» |
ПАК «Рубикон-К mini» |
|
Средство защиты от НСД |
Secret Net Studio 8.6 ПАК «Соболь 4.0» |
Сканер уязвимостей |
Max Patrol 8 |
Средства реагирования на инциденты |
ПАК «Рубикон-К» |
Средства предотвращения инцидентов |
ПАК «Рубикон-К» |
Изменённая сетевая инфраструктура лечебно-профилактического учреждения представлена на рисунке 1.
Рисунок 1. Сетевая инфраструктура лечебно-профилактического учреждения
В данной статье была разработана система защиты ИСПДн лечебно-профилактического учреждения ООО «Айболит». Разработана модель угроз ИСПДн, выявлен уровень защищенности ПДн, разработана системы защиты персональных данных с подбором сертифицированных ФСТЭК продуктов. Спроектированная защищенная ИСПДн соответствует требования 2-го уровня защищенности персональных данных. Перед внедрением для разработанной системы защиты необходимо провести аттестационные мероприятия.
Список литературы
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 23.03.2017 № 49 «О внесении изменений в состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом федеральной службы по техническому и экспортному контролю от 18 февраля 2013г № 21»;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России от 15.02.2008 года;
- ГОСТ Р 56115-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования;
- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.