Одно из наиболее сложных тре6ований регулятора по защите персональных данных (ПДн) - это внедрение сертифицированных ФСБ средств шифрования информации (криптозащита, СКЗИ). Применение подобных средств может потребоваться в двух случаях. Во-первых, при использовании внешних каналов связи. «Можно предположить, что если передача трафика будет осуществляться за пределы контролируемой зоны (доступным языком – за пределы поликлиники), то однозначно надо будет применять СКЗИ. Сейчас развивают идею дистанционного сопровождения операций по видеосвязи и т.д., скорей всего, там будет персонализация и соответственно тоже потребуется шифрование», – поясняет Дмитрий Задорожный, руководитель отдела аналитики компании «Код Безопасности».

Во-вторых, шифрование может понадобиться в случае угрозы кражи физического носителя информационной системы с ПДн. «Если в поликлинике будет «проходной двор», отсутствие решеток и т.д., то угрозу кражи носителя с персданными можно решать как решетками на окнах и замками в помещениях, так и шифрованием носителя, поэтому всё и отдается на откуп оператора ПДн. Какую он модель угроз согласует с вышестоящими инстанциями, от того и будет защищаться», – рассказывает Дмитрий Задорожный.

Таким образом, актуальность угроз определяют сами представители медицинского учреждения, так что можно предположить, что они постараются списать кражу как несущественную угрозу, чтобы избежать лишних затрат. Каким образом регулятор будет относиться к этому, покажет время. Пока практика применения средств шифрования на уровне отдельных ЛПУ не велика.

Защита от медперсонала

Рассмотрим более подробно, какую именно криптозащиту необходимо внедрять в медицинских учреждениях. Согласно классификации ФСБ, существует шесть категорий СКЗИ. Наиболее сложные из них должны противодействовать спецслужбам иностранных государств, а самые простые обязаны защищать информацию от внешних нарушителей, действующих без помощи сотрудников организации. «Фактически объем обрабатываемых данных, их важность, расположение элементов сети и т.д. определяют тип актуальных угроз, а от этого, в свою очередь, будет зависеть, какой уровень защиты СКЗИ использовать от КС1 до КА1. Т.е. в медицине может быть применен любой из представленных ниже, но это будет зависеть от модели угроз, которая будет разработана конкретным оператором ПДн», – объясняет Дмитрий Задорожный, руководитель отдела аналитики компании «Код Безопасности».

Практика показала, что в медицинских учреждениях наиболее востребовано использование СКЗИ «среднего» класса под кодовым названием КС3, которые позволяют защитить информацию от недобросовестных сотрудников лечебно-профилактического учреждения (ЛПУ). В базе данных ФСБ указано более 50 решений криптозащиты, сертифицированных по этому классу.

Типы СКЗИ в зависимости от модели нарушителя

Источник: CNews Analytics, 2013

При выборе конкретного решения из одобренных спецслужбами средств нужно учитывать, с какими внешними ресурсами придется взаимодействовать медицинской системе. Во-первых, при выборе конкретного типа СКЗИ необходимо обеспечить совместимость средств защиты с уже используемыми СКЗИ на региональном уровне. «Нужно брать в расчет не только в учреждения здравоохранения, но и региональные, муниципальные органы исполнительной власти, территориальных фонды ОМС, других организации, с которыми необходимо осуществлять защищенное взаимодействие», – делится опытом Дмитрий Гусев, заместитель генерального директора компании «ИнфоТекс».

Во-вторых, нужно, чтобы внедряемые СКЗИ были совместимы со средствами криптозащиты, используемыми в составе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) на федеральном уровне.

К настоящему времени в рамках создания ЕГИСЗ реализован проект по обеспечению защищенного информационного взаимодействия между федеральным ЦОД и региональными сегментами (83 региона). «При выполнении проекта в течение 2012-2014 г.г. для защиты ЦОД и узлов доступа в регионах были внедрены порядка 200 СКЗИ линейки ViPNet Coordinator HW1000/2000 – программно-аппаратное решение, сертифицированное по уровню КС3», – рассказывает Дмитрий Гусев. Кроме того, решения этого же поставщика с 2004 г. внедряются на уровне регионов: «Программные и программно-аппаратные СКЗИ ViPNet внедрены и являются основой для построения защищенных медицинских информационных систем более чем в 70 регионах РФ. Данные СКЗИ обеспечивают криптографическую защиту информации до уровня КС3 включительно, что подтверждается действующими сертификатами соответствия ФСБ России».

Сложности реализации

Помимо внедрения средства защиты нужно также пройти проверку на соответствие решения требованиям ФСБ. «Потребитель самостоятельно вряд ли сможет проверить качество механизмов защиты, реализуемых любыми СЗИ, в том числе и СКЗИ. А гарантии защиты персональных данных определены законом, то есть государством. Поэтому государство и выдвигает требование, гарантирующее определенный уровень защищенности», – комментирует Сергей Вихорев, заместитель генерального директора по развитию «Элвис-Плюс».

Кроме того, при использовании СКЗИ предъявляются определенные требования к помещениям, где расположена информационная система. Необходимо организовать контроль доступа к такому помещению. На практике это может быть проблематично. Например, если информационная система хранится на компьютере в регистратуре, куда имеют доступ большое количество сотрудников. «Это требование необходимо реализовывать только при использовании СКЗИ. Дело в том, что СКЗИ само нуждается в защите от компрометации. Именно на это и нацелена эта мера. Оправдана ли она в нынешних условиях – судить не мне, а тем, кто эту меру выдвигал», – рассуждает Сергей Вихорев.

Еще одна типичная трудность связана с тем, что при проектировании информационных систем требования информационной безопасности вообще не учитываются или учитываются в недостаточной мере, что создает сложности при внедрении СКЗИ. В некоторых случаях в медицинских системах уже используется криптозащита, но она не отвечает требованиям регулятора или не совместима с решениями, применяемыми в смежных информационных системах. В следующей группе проблемных проектов отсутствует модель угроз и нарушителей, что ведет к неправильному выбору класса СКЗИ.

Наконец, общей бедой отрасли является недостаточная квалификация и уровень подготовки персонала на местах эксплуатации.

Криптозащита дотянется до каждого ЛПУ

На настоящий момент реализованы программы по внедрение СКЗИ на федеральном уровне (ЕГИСЗ) и на уровне медицинских систем регионов. В отдельных ЛПУ этот вопрос за редким исключением остается нерешенным, хотя на уровне частных клиник ситуация намного лучше, чем в государственных ЛПУ.

О примере внедрения СКЗИ в медицинском учреждении рассказывает Нурутдинов Альберт, менеджер по развитию направления информационной безопасности компании Softline: «Медицинский центр пригласил специалистов компании Softline для решения задач, касающихся защиты персональных данных, обрабатываемых в информационных системах на сетевом и транспортном уровнях модели OSI. В соответствии с требованиями нормативных документов и на основе анализа соотношения потребительских характеристик и цены, специалистами Softline было внедрено СКЗИ «Континент» версии 3.6, на платформах IPC-100 и IPC-25. Решение было развернуто на двух технологических площадках и настроено в режиме межсетевого экранирования защищаемых сегментов с рабочими станциями и серверами, участвующими в обработке персональных данных. На межсетевых экранах были установлены правила разграничения доступа к защищенных подсетям и в глобальные сети. По окончанию проекта, заказчик получил распределённую систему межсетевого экранирования и контроля доступа в глобальные сети с возможностью криптографической защиты данных, передаваемых между технологическими площадками».