В клинике «Медицина» завершен проект по созданию системы управления информационной безопасностью, соответствующей международному стандарту ISO 27001:2005. В работах, помимо сотрудников клинику, участвовали специалисты компании« Диалог-Наука». В качестве задела проекта использовались меры, которые были внедрены при защите данных, относящихся к категории персональных согласно Постановлению Правительства №1119, а также международного стандарта ISO 9001:2008.
Сертификация на соответствие данному стандарту должна была обеспечить следующие преимущества для бизнеса компании:
- повышение международных рейтингов, необходимых для привлечения зарубежных инвестиций, выхода на международные рынки;
- повышение доверия со стороны заказчиков и партнеров;
- защита инвестиций;
- увеличение капитализации;
- повышение доверия к компании со стороны заинтересованных сторон.
Объектами защиты должны были стать информационные системы (ИС) клиники, которые включают в себя:
- конфиденциальную информацию, содержащуюся в базах данных ИС;
- информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке конфиденциальной информации в ИС;
- технические средства, осуществляющие обработку конфиденциальной информации;
- прикладное и системное ПО, развернутые на используемых в ИС СВТ;
- средства защиты информации, предназначенные для обеспечения безопасности конфиденциальной информации при ее обработке в ИС;
- вспомогательные технические средства и системы (технические средства и системы, их коммуникации), не предназначенные для обработки конфиденциальной информации, но размещенные в помещениях, в которых расположена ИС.
Положение осложняло то, что медицинские данные, согласно действующему законодательству, необходимо хранить очень долго.
Перед началом работ по проекту был проведен аудит соответствия восьми элементов ИС требованиям стандарта. Его результаты показали, что 6 систем соответствуют требованиям частично, а две — нет, причем одна из них на тот момент просто отсутствовала.
Затем системы были распределены по уровню критичности. Степень важности определялась экспертным методом. В итоге были выделены системы критически важные, средней критичности и некритичные.
Следующим этапом стало определение модели угроз. Были выбраны типовые угрозы, связанные с нарушением конфиденциальности, целостности и доступности данных. Как отметил инженер по информационной безопасности клиники «Медицина» Сергей Смолин, при переходе от системы защиты персональных данных к сертификации по ISO 27001:2005, перечень был расширен до всего объема конфиденциальной информации, включая врачебную тайну. При этом стандарт предусматривает комплекс мер, необходимых для того, чтобы не допустить не только кражи, но и искажения информации, что крайне важно для медицинских учреждений.
Предполагалось, что основным видом нарушителей будут внутренние. Причем, по большей части, нарушения будут неумышленными.
При внедрении технических средств защиты информации должны были быть минимизированы изменения, вносимые в процесс обработки информации. Также внедрение новых средств не должно было снизить надежность функционирования действующих систем. При этом необходимо было избежать приема на работу новых сотрудников и максимально использовать уже имеющиеся ресурсы. Также следовало учесть то, что уровень ИТ-подготовки персонала очень сильно различается.
Подсистема управления доступом реализуется на основе встроенных механизмов управления доступом сертифицированной версии ОС Microsoft Windows. Централизованный контроль, установка обновлений и настройка механизмов защиты сертифицированных версий ОС реализуется с помощью ПО Net_Check. Дополнительно для управления доступом к съемным устройствам на АРМ, используется сертифицированная версия ПО DeviceLock. Рассматривалось также использование средств защиты информации КСЗИ Панцирь-К и СЗИ Secret Net, но они оказались несовместимыми с рядом медицинского оборудования.
Регистрация событий также построена на основе штатных средств ОС Microsoft Windows. Сбор событий безопасности и их анализ реализуется с помощью программно-аппаратного комплекса «ArcSight Logger».
Учет защищаемых носителей информации ведется по их маркировке с занесением учетных данных в журнал учета с отметками об их выдаче (приеме), а также при помощью ПО «DeviceLock». Большая часть сотрудников клиники не имеет права использовать съемные носители информации, в результате их количество не велико (около 80). Соответственно, использование технических средств учета в таких условиях было сочтено нецелесообразным.
В качестве средства обеспечения целостности используется сертифицированная версия ОС Microsoft Windows и входящее в пакет сертификации ПО Check. Также для контроля целостности используются средства физической защиты, включая систему видеонаблюдения, средства контроля и управления доступом, а также режимные мероприятия.
Для защиты сетевого периметра, удаленного доступа и предотвращения атак используется программно-аппаратный комплекс StoneGate 1030. Он был выбран по соотношению цены и качества, а также благодаря наличию необходимых сертификатов.
В качестве средства защиты от вредоносного ПО применяются продукты «Лаборатории Касперского». Выбор был обусловлен наличием необходимых сертификатов, а также частотой обновления, которая требуется регуляторами для использования на АРМ, где установлены средства криптографической защиты информации «Крипто Про». Они используются для передачи информации, содержащей персональные данные, вовне компании.
Анализ защищенности систем производится с помощью сканера безопасности XSpider 7.8 Professional Edition и сертифицированной версии XSpider 7.8. Сканирование сетевой инфраструктуры производится ежемесячно, наиболее критичные подсистемы – еженедельно.
Внедрение данных средств позволило решить проблемы, связанные с приведением систем в соответствие нормам стандарта ISO 27001:2005. Никаких серьезных сложностей при этом не возникло.
При разработке регламентов были использованы наработки, полученные в ходе внедрения стандарта ISO 9001:2008. Как отметил заместитель директора клиники «Медицина» по ИТ Виктор Пархоменко, значительную часть просто не пришлось менять или изменения были минимальными.
Основные проблемы при внедрении были связаны с человеческим фактором. Заставить персонал использовать средства защиты оказалось не слишком легкой задачей. Равно как и соблюдать всяческого рода инструкции. Все это приводило к довольно низкой исполнительской дисциплине, особенно на начальной стадии проекта. Так что потребовалась определенная разъяснительная работа. Также потребовалась серьезная доработка договорной базы, регулирующей отношения с партнерами. И включение в них норм, регламентирующих обмен данными, также не всегда находило понимание.
Тем не менее, благодаря тому, что в стандарт заложены мероприятия по обучению персонала, удалось изжить целый ряд нарушений норм безопасности. В частности, практику использования посторонних портабельных приложений, обычно развлекательного характера. Они часто заражены вредоносным ПО, и это был одним из каналов заражения. И выявлять такого рода нарушения было практически невозможно. Теперь же это стало возможным, и после принятия организационных мер к выявленным нарушителям такого рода случаи практически сведены на нет. В итоге, если в 2012 году было зафиксировано 12 инцидентов безопасности, то в 2013 году лишь 7, причем 5 – в первом полугодии, когда основные еще работы не были произведены.