Методические подходы к внедрению международного стандарта ISO/IEC 27001:2005 при построении системы управления информационной безопасностью медицинской организации Текст научной статьи по специальности «Экономика и бизнес»

Информационная безопасность

www.idmz.ru

гол 1, N= Б

■■■■

РЧН

Н.Ф. князюк,

к.м.н., заведующая кафедрой менеджмента Байкальской международной бизнес-школы Иркутского государственного университета, заместитель главного врача Иркутского диагностического центра по качеству, kniazuk@yandex.ru И.С. КИЦУЛ,

д.м.н., профессор кафедры общественного здоровья и здравоохранения Иркутской государственной медицинская академии последипломного образования, zdravirk@mail.ru

МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ

УДК 61(094)

Князюк Н.Ф., Кицул И.С. Методические подходы к внедрению международного стандарта ISO/IEC 27001:2005 при построении системы управления информационной безопасностью медицинской организации (Иркутская государственная медицинская академия последипломного образования) Аннотация. Статья посвящена формированию системы управления информационной безопасностью медицинской организации в соответствии с требованиями ISO/IEC 27001:2005.

Ключевые слова: система менеджмента информационной безопасности, ISO/IEC 27001:2005, управление рисками, аудит.

UDC 61(094)

Kniaziouk N.F., Kitsul I.S. Methodological approaches to the implementation of the international standard ISO/IEC 27001:2005 in the construction of information security management system of medical organizations (Irkutsk State medical academy of post-graduate education, Irkutsk, Russia)

Abstract: Article is devoted to the formation of information security management system of medical organizations in accordance with the requirements of ISO/IEC 27001:2005.

Keywords: Information Security Management System, ISO/IEC 27001:2005, risk management, audit.

□ дной из наиболее актуальных проблем, которые сегодня приходится решать медицинской организации при внедрении современных информационных технологий, является защита конфиденциальной информации. Особенно остро данная проблема актуализировалась в условиях реализации законодательства по защите персональных данных.

Информация может существовать во многих формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, посылаться по почте или копироваться путем использования электронных средств, может быть представлена в видеоматериалах, на пленках или высказана в разговоре. Организации и их информационные системы и сети сталкиваются с угрозами для безопасности, исходящими из весьма разнообраз-

© Н.Ф. Князюк, И.С. Кицул, 2011 г.

■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 37 ■

РЧН

Информационная безопасность

и информационные

технологии

&

>ных источников, включая компьютеризированное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Причины ущерба, например, злонамеренный код, компьютерное хакерство и воздействия, вызывающие отказ в обслуживании законных пользователей, становятся все более изощренными [1]. Вне зависимости от того, в каком виде информация сохраняется, какими средствами она распространяется или хранится, она всегда должна быть надлежащим образом защищена. Каждый руководитель медицинской организации должен объективно оценивать текущее состояние информационных систем, видеть и понимать нужды в информационном обеспечении и существующие информационные проблемы.

Тема создания системы управления информационной безопасностью медицинской организации остается одной из наиболее актуальных в сфере информатизации и построения системы управления, поскольку речь идет о наиболее критичных персональных данных — о состоянии здоровья людей. К данной категории информации относятся все сведения из истории болезни, анамнез заболевания, детали о наследственности и другие данные медицинского характера, которые требуют максимального уровня защиты.

Кроме этого, существует конфиденциальная информация, касающаяся деловой практики медицинской организации, защита которой — это охрана информации от большого разнообразия угроз, осуществляемая с целью обеспечения непрерывности ее деятельности, минимизации деловых рисков и максимизации возможностей в плане инновационного развития. Защита информации в медицинской организации должна осуществляться путем реализации соответствующего набора средств управления, включая политику, процессы, процедуры, организационные структуры, программные и аппаратные функции. Эти элементы управления необходимо создать, внедрить, постоянно контролировать, анали-

зировать и улучшать для выполнения конкретных организационных задач защиты деловой информации.

Системный подход к описанию информационной безопасности предлагает выделить несколько ее компонентов. Во-первых, это законодательная, нормативно-правовая и научная база. Во-вторых, структура и задачи органов (подразделений), обеспечивающих безопасность ИТ. В-третьих, организационнотехнические и режимные меры и методы (например, политика информационной безопасности). В-четвертых, программно-технические способы и средства обеспечения информационной безопасности. Конечной целью реализации задачи построения информационной безопасности медицинской организации является построение Системы обеспечения информационной безопасности (СОИБ). Для построения и эффективной эксплуатации данной системы необходимо выявить требования защиты информации, специфические для данной медицинской организации как объекта защиты. В первую очередь следует учесть требования российского и международного законодательства. Необходимо использовать наработанные практики (стандарты, методологии) построения подобных систем. Руководителем медицинской организации определяются подразделения, ответственные за реализацию и поддержку СОИБ, распределяются области ответственности в осуществлении требований СОИБ между подразделениями. На базе действующей системы управления рисками информационной безопасности определяются общие положения, технические и организационные требования, составляющие политику информационной безопасности организации. Для реализации требований политики информационной безопасности внедряются соответствующие программно-технические способы и средства защиты информации, позволяющие выстроить систему менеджмента информационной безопасности (СМИБ). В основе

38 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■

Информационная безопасность

www.idmz.ru

гол 1, N= Б

■■■■

РЧН

Конфиденциальность

Обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи)

Целостность

Обеспечение точности и полноты информации, а также методов ее обработки

Доступность

Обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию)

Рис. 1. Критерии информационной безопасности по ISO 27001

настоящего международного стандарта лежит методология, известная как «цикл PDCA» (P^n-Do-Check-Act). Цикл PDCA можно кратко описать следующим образом:

• планирование: разрабатываются цели и процессы, необходимые для достижения результатов в соответствии с политикой организации в области управления информационной безопасностью;

• осуществление: данные процессы внедряются;

• проверка: процессы контролируются и измеряются в сопоставлении с политикой и целями в области управления информационной безопасностью, законодательными и прочими требованиями; о полученных результатах докладывается руководству;

• действие: предпринимаются действия по постоянному улучшению системы менеджмента информационной безопасности.

Так СОИ Б корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

С позиций руководителя медицинской организации важно понять общие принципы и концептуальные подходы к построению системы и организовать внедрение СМИБ как проекта. По нашему мнению, лучшей мировой практикой в области управления информационной безопасностью является стандарт

ISO/IEC 27001:2005. Международный стандарт ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования» разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Этот стандарт представляет собой дополнение к стандарту ISO/IES 17799:2005 «Информационные технологии — Методы обеспечения безопасности — Практические правила управления информационной безопасностью». Стандарт ISO 27001 определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации (рис. 1); кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 27002:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

Стандарт ISO/IEC 27001:2005 определяет цели и средства контроля, представляющие воз-

■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 39 ■

W4MM

1 и информационные

технологии

Информационная безопасность

Заинтересо-

ванные

стороны

Требования к защите информации

Планируйте

Создание Системы менеджмента защиты информации (СМЗИ)

Делайте

Внедрение и работа СМЗИ

Действуйте

Поддержание и улучшение СМЗИ

Проверяйте

Мониторинг и анализ СМЗИ

Заинтересо-

ванные

стороны

Управля-

емая

защита

информа-

ции

Рис. 2. Модель системы менеджмента информационной безопасности

можность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих рисков организации.

В общем виде модель системы менеджмента информационной безопасности представлена в стандарте (рис. 2). Однако разработку элементов системы необходимо рассматривать с позиции применимости для данной конкретной организации, с учетом отраслевой специфики.

Для успешной реализации мероприятий по внедрению и сертификации системы менеджмента защиты информации (СМЗИ) необходимо четко определить цели проекта. Основными целями, как правило, являются повышение уровня безопасности информационных активов медицинской организации, сокращение количества инцидентов, связанных с информационной безопасностью и тяжестью их последствий, а также обеспечение уверенности потребителей медицинской

организации (пациентов и их законных представителей) в том, что вся конфиденциальная информация находится под защитой. На начальной стадии проекта, как правило, не ставится цель получения сертификата по ISO/IEC 27001 (ИСО/МЭК 27001). Требования стандарта принимаются как руководство к действию, обеспечивая понимание руководством организации основных направлений деятельности в области защиты информации, подходов к выбору инструментов управления и процедур. В дальнейшем возможно прохождение аудита и получение сертификата. Поскольку внедрение СМ И Б, по сути, должно происходить в организациях, уже имеющих действующую систему менеджмента качества, соответствующую требованиям ISO 9001:2008, СМИБ может быть включена в сертификацию Интегрированной системы менеджмента (ИСМ).

Первым шагом в данном направлении является разработка политики медицинской организации в области информационной безопасности, планирование данной деятельности, идентификация рисков, формирование реестра рисков, разработка методик оценки рисков в соответствии с отраслевой спецификой, управление рисками.

40 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■

Информационная безопасность

www.idmz.ru

гол 1, N= Б

■■■■

РЧН

Этап 1.

Аудит организации на соответствие требованиям ISO/IEC 27001:2005

Этап 2.

Разработка системы управления информационной безопасностью (СУИБ)

Этап 3.

Внедрение СУИБ. Управление рисками. Обучение персонала

Этап 4.

Повторный аудит организации на соответствие требованиям ISO/IEC

27001:2005

Этап 5.

Сертификация в BSI Management SYSTEM

Рис. 3. Этапы недрения СМИБ

В этой связи нами предлагается проверенный практикой подход к успешному прохождению аудита, состоящий из следующих этапов (рис. 3):

Этап 1. Медицинская организация принимает решение по внедрению ISO 27001, ставятся основные цели и задачи проекта. На данном этапе определяются основные принципы и области применения системы управления информационной безопасностью. Назначается лицо, ответственное за разработку проекта, формируется группа менеджеров по защите информации, распределяются обязанности, выделяются необходимые средства. На этом этапе необходимо провести обучение ключевых сотрудников организации, задействованных в проекте, которые в дальнейшем будут осуществлять совместное планирование мероприятий по проекту ISO/IEC 27001 (ИСО/МЭК 27001). Проводится диагности-

ческий аудит для понимания текущего состояния дел и определения степени соответствия медицинской организации требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Органи-

зация получает отчет о текущем состоянии системы менеджмента информационной безопасности.

Этап 2. Рабочей группой проводится анализ рисков в области применения СМИБ, разрабатывается методика оценки рисков, принятие решений о путях управления указанными рисками. Стандарт ISO/IEC 27005:2011 описывает принципы управления рисками в системах менеджмента информационной безопасности и может быть использован в качестве методического пособия на данном этапе проекта. Деятельность по обработке риска в рамках процесса менеджмента риска информационной безопасности представлена в стандарте (рис. 4). Варианты обработки

■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■ ■ ■■■ ■ !5 ■■ ■ ■ ■■■ ■■ ■■ ■ ■ ■ ■■■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■ ■ ■

W4MM

1 и информационные

технологии

Информационная безопасность

Результаты оценки риска

Т

Удовлетворительная

оценка

-4-

Точка принятия решения о риске No 1

Варианты обработки риска

Снижение

риска

Сохранение

риска

Избежание

риска

Остаточный риск

........1.........

Удовлетворительная

обработка

Перенос

риска

Точка принятия решения о риске No 1

Рис. 4. Деятельность по обработке рисков

риска должны выбираться на основе результатов оценки риска, ожидаемой стоимости реализации этих вариантов и ожидаемой выгоды от этих вариантов [2]. Неблагоприятные последствия рисков необходимо снижать до разумных пределов и независимо от каких-либо абсолютных критериев. Менеджеры должны рассматривать редкие, но серьезные риски. В таких случаях может возникнуть необходимость реализации средств контроля, которые являются необоснованными по строго экономическим причинам.

Четыре варианта обработки рисков не являются взаимоисключающими. Иногда организация может значительно выиграть от объединения вариантов, таких как снижение вероятности риска, уменьшение их последствий и перенос или сохранение любых остаточных рисков.

Параллельно осуществляется разработка необходимых процессов, процедур, положе-

ний, инструкций, форм записей (целей и средств контроля), согласование и утверждение разработанных документов. Административные документы являются отправной точкой для внедрения СМИБ. Их разработку и издание осуществляет высшее руководство [3]. Обязательным условием реализации данного этапа является внедрение инструментов контроля над реализацией проекта. Завершением данного этапа является детальный план внедрения СМИБ с указанием результатов каждого этапа, ответственных, исполнителей, сроков реализации и индикаторов контроля.

Этап 3. Внедрение системы СМИБ, которое включает такие обязательные мероприятия, как проведение инструктажей персонала организации, проведение внутренних аудитов информационной безопасности, а также проведение корректирующих действий по результатам внутреннего аудита. Проводится подго-

42 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■

Информационная безопасность

www.idmz.ru

гол 1, N= Б

■■■■

РЧН

товка организации к сертификационному аудиту по ISO/IEC 27001 (ИСО/МЭК 27001). Комплект документов редактируется по результатам аудитов информационной безопасности.

Этап 4. Сопровождение системы менеджмента информационной безопасности. В рамках этого этапа регулярно проводится внутренний аудит СМЗИ, а также подготовка медицинской организации к аудиту третьей стороной (надзорному аудиту) на соответствие требованиям ISO/I EC 27001 (ИСО/МЭК 27001). Акты аудитов тщательно анализируются, разрабатываются корректирующие действия, определяются сроки, ответственные и ресурсы для их реализации. Руководству представляется сводный отчет о результатах функционирования СМЗИ, на основе анализа которого в дальнейшем разрабатываются планы развития медицинской организации в области менеджмента информационной безопасности.

Этап 5. Сертификация системы менеджмента информационной безопасности на соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001).

Не вызывает сомнения тот факт, что внедрение современных информационных технологий в медицинских организациях позволяет вывести их работу на качественно новый уровень, повысить эффективность работы врачей-специалистов, регистратуры или приемного отделения, всех немедицинских служб, обеспечить лояльность медицинского персонала и рост удовлетворенности пациентов. При этом важным условием является внутреннее осознание руководством необходимости структурированного подхода к обеспечению определенного уровня безопасности. Обычно такое осознание наступает после внедрений ряда технических решений по безопасности, когда возникают проблемы управления такими решениями. Реализация управленческой деятельности включает и вопросы обеспечения безопасности персонала, куда входит как

защита самих работников, так и защита от них, юридические аспекты и другие факторы, приводящие руководство к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделени-ем или другими специалистами. Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям: разработка политики безопасности; организация информационной безопасности; организация управления внутренними активами и ресурсами, составляющими основу ключевых процессов деятельности; защита персонала и снижение внутренних угроз; физическая безопасность и безопасность окружающей среды; управление средствами связи и эксплуатацией оборудования; управление и контроль доступа; разработка и обслуживание аппаратно-программных систем; соответствие требованиям стандарта и соблюдение правовых норм по безопасности [2].

Основная выгода внедрения СМИБ — выявление наиболее опасных угроз и экономия средств на создание эффективной системы обеспечения информационной безопасности. Проблемы ИТ-безопасности выходят на высший уровень управления, позволяя всесторонне оценивать ИТ-риски и заблаговременно их минимизировать. Результатом данной деятельности является решение проблем до их возникновения.

Дополнительная информация:

В Российской Федерации международным стандартам ИСО/МЭК 27001:2005 и ИСО/МЭК 27002:2005 соответствуют следующие стандарты, соответственно:

• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 43 ■

W4MM

1 и информационные

технологии

Информационная безопасность

• ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

Кроме того, в Российской Федерации на безопасность информационных технологий действуют следующие стандарты:

• ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;

• ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;

• ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».

ЛИТЕРАТУРА

1. Щербаков А. Выбор средств защиты персональных данных/PC Week Doctor. — 2008. — №4 (4), доступно на эл. ресурсе http://www.pcweek.ru/security/article/de-tail.php?ID=116851 (дата обращения 08.09.2011).

2. Чесалов А. Методология внедрения международного стандарта ISO/IEC 27001:2005 при построении корпоративной системы управления информационной безопасностью/CIO. — 2007. — №2.

3. Дмитриев А.А. ISO/IEC 27001 — Международный подход к управлению информационной безопасностью. Национальные особенности внедрения/Das Management. — 2009. — № 1. — С. 10-12.

Информатизация здравоохранения

-Л----------------------------------------------------------------

ГЛОБАЛЬНЫЙ РЫНОК ДИСТАНЦИОННОГО МЕДИЦИНСКОГО НАБЛЮДЕНИЯ

В 2010 г. объем глобального рынка дистанционного медицинского наблюдения за больными с хроническими заболеваниями превысил 10 млрд. долларов США и с каждым годом растет на 9%. Позитивный потенциал этой тенденции суммами выручки не ограничивается.

В перспективе эти технологии могут помочь избежать стационара и вести более здоровый образ жизни миллионам людей, особенно, страдающим такими хроническими заболеваниями, как диабет, застойная сердечная недостаточность и хронические обструктивные заболевания легких (ХОЗЛ). В таком случае, согласно результатам ряда исследований, за счет наблюдения на дому можно будет на 74% снизить затраты на лечение упомянутых заболеваний.

Источник: отчет компании Berg Insight,

44 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■