По ГОСТ Р 50922-2006 система защиты информации - совокупность органов и (или) исполнителей, применяемой техники защиты информации, объектов защиты информации, организованная и функционирующая по правилам и нор-

мам, установленным соответствующими документами в области защиты информации.

Требования к обеспечению безопасности ПДн при их обработке в ИС определены в Положении об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденном Постановлением Правительства РФ от 17 ноября 2007 г. № 781. Согласно этому документу, информационная система ПДн — не только программное средство, работающее с ПДн, но и все компоненты ИС предприятия, в котором накапливаются и обрабатываются ПДн.

Безопасность ПДн при их обработке в ИС обеспечивается системой защиты ПДн, включающей:

•   организационные меры;

•   средства защиты информации (СЗИ), в том числе шифровальные (криптографические) средства;

•   средства предотвращения несанкционированного доступа;

•   средства предотвращения утечки информации по техническим каналам;

•   средства предотвращения программно-технических воздействий на технические средства обработки ПДн;

•   используемые в информационной системе информационные технологии.

Выпадение из этой системы любого звена недопустимо, так как ведет к ее уязвимости и разрушению. ИС, работающие с ПДн, необходимо размещать в специально оборудованных помещениях, исключающих возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц и обеспечивающих сохранность носителей ПДн и СЗИ. Сотрудников, доступ которых к ПДн необходим для выполнения служебных обязанностей, допускают к соответствующим ПДн на основании утвержденного списка. Используемые технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

В учреждениях для разработки и осуществления мероприятий обеспечения безопасности ПДн в ИС необходимо создавать структурное подразделение или назначать должностное лицо, ответственное за обеспечение безопасности ПДн — администратора информационной безопасности. Им должен быть специалист, разбирающийся как в вопросах безопасности, так и в информационных технологиях.

Информационная безопасность и защита ПДн медицинских учреждений -неотъемлемая часть создания или модернизации ИС, которая должна быть выделена в отдельный этап или контракт.

Информационные системы, в которых обрабатываются ПДн, классифицируют по обеспечению защиты от несанкционированного доступа на основе критериев в соответствии с Порядком проведения классификации ИС ПДн, Приказом Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. По структуре ИС различают:

•   автономные ИС, не подключенные к иным информационным системам, — комплексы технических и программных средств, предназначенные для обработки ПДн (АРМы);

•   локальные информационные системы — комплексы АРМов, объединенных в единую ИС средствами связи без использования технологии удаленного доступа;

•   распределенные ИС - комплексы АРМов и (или) локальных ИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа.

По Положению о методах и способах защиты информации в ИС ПДн (Приказ ФСТЭК от 5 февраля 2010 г. № 58) каждому классу систем ПДн соответствует набор требований их безопасности, в соответствии с которым выбирают СЗИ,

которые сертифицируют на 3 года. Списки сертифицированных СЗИ публикуют на официальных сайтах ФСТЭК и ФСБ. В АИС ЛПУ выделяют две разновидности подсистем обработки ПДн: подсистемы для обработки данных здоровья пациентов — класс К1. самый «защищаемый», и подсистемы для обработки ПДн сотрудников ЛПУ - класс КЗ.

В локальных и распределенных ИС в соответствии с тем же Приказом ФСТЭК системы (подсистемы) ПДн разных классов должны быть разделены межсетевым экраном. Для сокращения затрат на СЗИ рекомендуют:

•   по возможности обособлять сегменты АИС ПДн разных классов, чтобы не ставить межсетевые экраны (наиболее дорогостоящие элементы зашиты информации);

•   в случае использования рабочего места в разных подсистемах ПДн завести отдельные учетные записи для доступа к каждой из них, тогда межсетевой экран можно не ставить при использовании СЗИ, сертифицированных для К1;

•   при большом числе компьютеров в составе АИС установить серзер безопасности для управления всеми СЗИ с АРМа администратора.

По характеристикам безопасности ПДн, обрабатываемых в информационной системе. ИС подразделяются на:

•   типовые ИС, в которых необходимо обеспечение только конфиденциальности ПДн:

•   специальные ИС, в которых, кроме обеспечения конфиденциальности ПДн, необходимо обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения. блокирования и иных несанкционированных действий).

Класс ИС по обеспечению защиты информации от несанкционированного доступа присваивается самим оператором ПДн (медицинским учреждением), и он должен быть оформлен документально. Все МИС - специальные ИС, поскольку в них обрабатываются данные о здоровье пациентов.

Комплекс программно-технических средств и организационных решений для защиты информации от несанкционированного доступа можно сгруппировать в четыре подсистемы: управления доступом, регистрации и учета, криптографическую, обеспечения целостности. Определение лиц, которым разрешен доступ к данным. - составная часть политики обеспечения конфиденциальности и сохранности данных. Процессы распознавания и проверки подлинности пользователей. используемые для разрешения доступа к системным (информационным) ресурсам. — идентификация и аутентификация.

Идентификация (латин. identifico — отождествлять) в компьютерной безопасности — процесс сообщения субъектом своего имени или номера для получения определенных полномочий (прав доступа) на выполнение разрешенных ему действий в системах с ограниченным доступом.

Аутентификация (англ. authentication - удостоверение подлинности), или подтверждение подлинности. — процедура проверки соответствия субъекта тому, за кого он пытается себя выдать, с помощью некой уникальной информации.

Авторизация (англ. authorization - уполномочивание) — результат процесса проверки (через идентификацию или аутентификацию) некоторых обязательных параметров пользователя и при успешности предоставление ему определенных полномочий (прав доступа) на выполнение разрешенных ему действий в системах с ограниченным доступом.

Простейший способ идентификации в компьютерной системе — ввод идентификатора пользователя, часто называемого «логином» (англ. login — регистрационное имя пользователя), и пароля - некой конфиденциальной информации, знание которой обеспечивает владение определенным ресурсом. Получив введенный пользователем логик и пароль, компьютер сравнивает их со значением, которое

хранится в специальной базе данных, и при совпадении пропускает пользователя в систему.

Опознание пользователя на основе пароля - пример однофакторной идентификации. Современные методы идентификации основаны на двух- и даже трехфакторной идентификации. Например, двухфакторная аутентификация -пароль и персональный идентификатор. В качестве персонального идентификатора можно использовать аппаратный токен (англ. token - опознавательный знак) — USB-устройство с электронным чипом, обеспечивающим шифрование и формирование ЭЦП. смарт-карта (пластиковая карта с чипом для криптографических вычислений и встроенной защищенной памятью для хранения информации о пользователе), штрих-код. В медицине используют как аналог номера карты больного и др.

Более надежна аутентификация по биологическим параметрам, которые постоянны на протяжении жизни человека: по отпечатку пальца, ДНК. форме уха. геометрии лица, температуре кожи лица, отпечатку ладони, рисунку радужной оболочки глаза, аромату, голосу и др.

Средства шифрования данных при передаче по каналам связи - основные средства, обеспечивающие конфиденциальность информации, посылаемой по открытым каналам передачи данных, в том числе и по Интернету. Шифрование защищает информацию и при ее хранении, например в базах данных, находящихся в компьютере.

Для безопасной передачи данных по каналам Интернет используют защищенные виртуальные сети. Существует несколько вариантов создания таких сетей:

•   защищенные каналы - шифруют весь передаваемый и расшифровывают весь принимаемый трафик (используют для соединения географически разделенных сетей, принадлежащих одной организации, каждая из которых имеет свое собственное подключение к Интернету через провайдера):

•   частные каналы - трафик шифруют так же. как и защищенный канал, но соединение требует аутентификации отправителя трафика (часто используют для связи между организациями, которые не хотят предоставлять полный доступ к их сетям и требуют конфиденциальности трафика между ними):

•   промежуточные каналы — используют для промежуточной передачи зашифрованного трафика между двумя защищенными виртуальными сетями (пропускают определенные зашифрованные пакеты).

Аппаратные и программные средства шифрования данных при передаче по открытым каналам, применяемые в МИС, должны быть сертифицированы в соответствии с действующим законодательством. Пример развитой корпоративной системы защищенного обмена данными для обеспечения информационного взаимодействия десятков тысяч абонентов - обмен электронными данными между Федеральным фондом ОМС, Пенсионным фондом России, Фондом социального страхования. Росздравнадзором. ТФОМС, органами управления здравоохранением субъектов РФ. медицинскими учреждениями, аптеками, фармакологическими организациями (в соответствии с «Порядком организации системы информационной безопасности электронного документооборота в системе ОМС, включая программу дополнительного лекарственного обеспечения»).

Целостность и предотвращение уничтожения данных достигают четко определенными и контролируемыми организационными мерами. Ответственность за сохранность данных в компьютерах-рабочих станциях, в том числе в локальных информационных системах, несет конкретный пользователь. При этом он должен быть инструктирован о применении мер обеспечения сохранности локально накапливаемых и обрабатываемых данных, об ответственности в случае их потери вследствие своих неправомочных действий (нарушений правил эксплуатации средств вычислительной техники, неиспользования или неправильного исполь-

зования антивирусных программных продуктов и/или средств архивирования данных).

Администратор информационной безопасности или системный администратор отвечает за использование и работоспособность не только этих средств, но и за общую политику обеспечения сохранности всех данных. Сохранность данных на серверах информационных систем обеспечивают специальными программно-аппаратными средствами используемой системы управления базами данных либо средствами сетевых операционных систем, либо аппаратно-программными средствами сторонних производителей. Наиболее популярные среди них — RATD-массивы и устройства резервного копирования данных.

Для защиты целостности информации в информационных системах здравоохранения необходимо предусматривать средства защиты от вирусов для всех узлов локальной сети учреждения - серверов и рабочих станций пользователей. Антивирусные программы постоянно защищают программы и данные информационной системы в фоновом режиме, независимо от функционирования приложений, обеспечивая сканирование; онлайновый мониторинг: проверку целостности программ и файлов данных: обнаружение неизвестных вирусов и вирусов-невидимок: контроль подозрительного поведения узлов сети.

Итак, организация СЗИ требует значительных ресурсов. Необходимо искать пути их минимизации. Однако без создания и функционирования в ЛПУ системы комплексной защиты конфиденциальной информации обработка ПДн пациентов невозможна. Этим должны заниматься компетентные специалисты, имеющие соответствующую профессиональную подготовку и работающие в учреждении. Передача работ для защиты информации в ЛПУ на аутсорсинг возможна, но пока не разработана. Перспектива широкого использования технологий облачных вычислений делает целесообразным разработку унифицированного набора СЗИ.

 

 

 

Читайте также:

  • 1
  • 2
  • 3
Пред След

Заем в МФО MoneyMan от 1 500 до 60 000 рублей

Заем в МФО MoneyMan от 1 500 до 60 000 рублей

  Заем в МФО MoneyMan для новых клиентов от 1 500 до 10 000 рублей                    Взять деньги сейчас >>         

Тинькофф заимы до 700 000 рулей

Тинькофф заимы до 700 000 рулей

До 700 000 р. Решение за 2 мин. Доставка кредитной карты на дом Бесплатно! Возвращаем до 30% С покупок по карте                       Взять...

Kredito24 от 2 000 до 9 000 рублей

Kredito24 от 2 000 до 9 000 рублей

  Kredito24   Сумма займа - от 2 000 до 9 000 рублей                                  Взять деньги сейчас >>        


 

 



wume.ru