Хотя закон о персональных данных был принят восемь лет назад, законотворчество в этой области не утихает до сих пор. Первоначально была введена классификация защиты по классам информационных систем персданных (ИСПДн), от которой позднее решено было отказаться. Законодательная база была пересмотрена в 2012 г., что потребовало переписывать все нижестоящие нормативные документы.

1 ноября 2012 г. вышло постановление правительства РФ N№ 1119, в котором было определены типы ПДн и четыре уровня защищенности данных (первый уровень – максимальные требования к защите, четвертый – минимальные), которые пришли на смену классам ИСПДн. На выбор уровня защищенности для конкретной информационной системы влияет несколько факторов. Во-первых, это тип персональных данных. Информация о здоровье граждан отнесена к «специальным» данным, к которым предъявляются повышенные требования с точки зрения ИБ. Во-вторых, имеет значение количество субъектов, сведения о которых хранятся в системе. Если их число превышает 100 тыс., то уровень защищенности увеличивается. В-третьих, уровень защищенности зависит от актуальных угроз. Согласно постановлению N№ 1119, существует три типа угроза – связанные с уязвимостями в системном ПО, уязвимостями в прикладном ПО и другие типы угроз (хакеры, воровство физических носителей и т.п.).

Действующие нормативно-правовые акты в области ПДн

Источник: «Аста-Информ», 2013

Для предыдущей версии законодательства Минздравом была выпущена модель типовых угроз для типового ЛПУ, в которой было указано, какие угрозы считать актуальными. После выхода постановления 1119 новой версии типовой модели угроз выпущено не было, так что сейчас представители ЛПУ на свой страх и риск составляют модели угроз для своих учреждений, которые потом должны согласовать с регулятором.

«В соответствии с ПП-1119 тип угроз, актуальных для отдельно взятого медучреждения, определяется самим оператором ПДн с учетом оценки возможного вреда. Очевидно, что в районной поликлинике будут угрозы третьего типа, а в поликлинике управления делами президента – все три типа, поскольку информация там гораздо ценнее», – комментирует Дмитрий Задорожный, руководитель отдела аналитики компании «Код Безопасности»

«”Методические рекомендации для организации защиты информации при обработке ПДн в учреждениях здравоохранения” и “Методические рекомендации по составлению частной модели угроз”, выпущенные Минздравом в конце 2009 г., сейчас неприменимы, т.к. и классификации, и требования уже поменялись. Скорее всего, эти рекомендации тоже будут обновляться в соответствии с новыми требованиями. А пока мы имеем документы только верхнего уровня, т.е. постановления и приказы. На их основе будет складываться конкретная практика применения и типовые решения», – полагает Дмитрий Задорожный.

Как избежать чрезмерных требований

Какие стандарты будут приняты на рынке, покажет время. Если чиновники пойдут по пути максимальных требований, то придется использовать самый высокий первый уровень защищенности. Если представителям ЛПУ удастся убедить регулятора, что для них актуален только третий тип угроз (хакеры, кража физических носителей), то можно будет ограничиться только вторым и третьим уровнями защищенности. Исходя из предыдущего опыта, можно надеяться, что чиновники не станут предъявлять чрезмерные требования к ЛПУ. Так, в модели типовых угроз для предыдущей версии законодательства представители Минздрава выдвинули не самые строгие требования, которые в некоторых случаях даже шли вразрез с другими нормативно-правовыми актами.

На практике, достаточно будет третьего уровня защищенности, считает ведущий эксперт по информационной безопасности InfoWatch Андрей Прозоров. «Если актуальны угрозы только третьего типа, то ЛПУ должны будут обеспечить третий уровень защищенности. В эту категории попадет подавляющее большинство районных поликлиник, больниц и т.п. Исключения составляют только учреждения, в системах которых обрабатываются данные более 100 тыс. пациентов. Но и здесь есть лазейка. Крупную информационную систему можно разбить на несколько сегментов, в каждом из которых будет информация менее чем о 100 тыс. человек, таким образом, третьего уровня защищенности будет достаточно».

Виды информационных систем ПДн, актуальные угрозы и уровни защищенности

Источник: Андрей Прозоров, http://80na20.blogspot.com/, 2012

Чего именно хочет регулятор?

Что скрывается под словами второй и третий уровень безопасности? В постановлении 1119 об этом не сказано ни слова. Ситуация прояснилась в начале 2013 г., когда ФСТЭК издал два приказа (№17 и №21), в которых были подробно описаны требования к защите. В 17-ом приказе в отличие от 21-го идет речь об обработке ПДн в государственных информационных системах, его требования более жесткие, они полностью покрываются положения 21-го приказа. Применение 17-го приказа в медицине необходимо в рамках ЕГИСЗ, на уровне отдельного ЛПУ можно руководствоваться только 21-ым приказом. Всего в этих документах выделено 15 групп мероприятий, а общее число положений, которые нужно выполнить, превышает сотню.

Для медицины можно выделить следующие наиболее актуальные требования (третий уровень защищенности):

· Регулярный контроль за выполнением требований. Контроль за выполнением требований приказов организуется и проводится самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые организацией, обрабатывающей ПДн.

· Физическая безопасность и контроль доступа. Организация режима обеспечения безопасности помещений (в которых размещена ИСПДн), препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа

· Безопасность носителей. Обеспечение сохранности носителей персональных данных

· Перечень допущенных лиц. Утверждение руководителем организации документа, определяющего перечень лиц, которые имеют доступ к персональным данным.

· Сертифицированные средства защиты (СЗИ). Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

· Назначение ответственного за безопасность ПДн.

В случае если информационная система обрабатывает данные более 100 тыс. пациентов, придется выполнить еще одно требования: ограничить доступ к содержанию электронного журнала сообщений. Доступ к нему должны иметь только сотрудники ЛПУ, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.

Требования к обеспечению безопасности

Источник: CNews Analytics, 2014

Технические средства защиты

Один из наиболее сложных пунктов для выполнения это внедрение сертифицированных средств защиты. ФСБ выделяет несколько категорий CЗИ: вычислительная техника, антивирусы, межсетевые экраны, средства обнаружения вторжения, защита от недекларированных возможностей (имеется ввиду кража физических носителей). В каждой категории есть шесть классов в зависимости от функциональности (шестой класс – наименьшая функциональность, первый – максимальная). Средства защиты первого и второго классов применяются для защиты государственных документов с грифом «секретно», «совершенно секретно» и «особой важности», так что их использование в медицине отпадает.

Классы сертифицированных средств защиты по приказам ФСТЭК №17 и №21

Источник: CNews Analytics, 2014

При третьем уровне защищенности, который будет востребован в медицине, необходимо использовать вычислительную технику, средства обнаружения вторжений и антивирусы не ниже пятого класса, а также межсетевые экраны не ниже четвертого класса. Какими именно возможностями должны обладать инструменты данных классов, подробно расписано в документах ФСБ.

На практике придется проверять совместно с регулятором, насколько построенная защита соответствует регламентирующим документам. Особенность законодательства заключается в том, что нужно показать выполнение необходимых мер защиты, а не наличие тех или иных средств. «Да, наличие антивирусов, межестевых экранов, DLP, средств анализа защищенности и других, поможет выполнить меры, предусмотренные 17 и 21 приказами. Но при этом часть мер можно выполнить формальным наличием необходимых документов (политик, процедур, инструкций) или простым изменением в настройки существующих средств обработки и защиты информации», – комментирует Андрей Прозоров.