CC BY
156
УДК 004.056.5::614.2
Д. Л. Гольдберг, П. Е. Григорьев, А. В. Оленчук
Основные аспекты обеспечения защищенности персональных данных в медицинских информационных системах
Ключевые слова: медицинская информационная система, персональные данные, безопасность, уровень защищенности, средства защиты информации.
Keywords: medical information system, personal data, security, level of security, protection of information.
На основе анализа нормативно-правовой документации по защите персональных данных в учреждениях здравоохранения определен и обоснован необходимый уровень защищенности персональных данных, обрабатываемых в медицинских информационных системах, и представлены основные концепции его реализации.
Введение
В последние годы стремительными темпами происходит внедрение медицинских информационных систем (МИС) в ежедневную практику врача. Введение интегрированной медицинской карты, цифровая обработка данных клинических исследований, удаленный мониторинг состояния пациента, анализ финансовой и административной информации, несомненно, повышают качество оказываемых услуг медицинских учреждений (МУ) [1]. Интеграция МИС в Единую государственную информационную систему здравоохранения (ЕГИСЗ) способствует гибкой маршрутизации пациентов в пределах не только города (поселения), но и района, области, субъекта, страны. Однако автоматизация документооборота, централизация и укрупнение баз медицинских персональных данных увеличивают риски перехвата, порчи и уничтожения информации.
Киберпреступность в последние годы имеет устойчивую тенденцию к увеличению во всех сферах деятельности и бизнеса. Однако, по данным аудиторской комиссии Великобритании, почти 60 % организаций, использующих информационные технологии, не имеют вообще никаких систем безопасности [2]. Большинство организаций не делает даже внутренней ревизии своей деятельности, хотя, по оценкам экспертов, 25 % компьютерных преступлений совершается внутри организации собственными сотрудниками [3]. Аналогичная ситуация зафиксирована и в Российской Федерации:
по данным Министерства внутренних дел РФ, в стране за 2014 год зарегистрировано около 11 тысяч преступлений в сфере компьютерной информации, в том числе и преступления, направленные на получение медицинских персональных данных.
Таким образом, возникает необходимость в обеспечении должного уровня защищенности персональных данных в МИС. Однако следует отметить, что переоценка степени необходимой защиты может иметь и негативные последствия — как административные и финансовые, так и усложнение взаимодействия пользователей с информационной системой (ИС).
Цели, материалы и методы решения задачи
На основе анализа нормативно-правовой документации по защите персональных данных в учреждениях здравоохранения и исследовании основных требований регулирующих органов, предъявляемых к аппаратным, программным и административным средствам по защите персональных данных, выявить необходимый и достаточный уровень защищенности персональных данных в медицинских информационных системах и основные концепции его реализации.
Изложение основного материала
Чтобы оценить все особенности защиты персональных данных в МИС, необходимо рассмотреть основную законодательную практику, предусмотренную в РФ с учетом последних изменений.
В качестве основного нормативно-правового документа, регламентирующего защиту персональных данных, можно назвать Федеральный закон № 152 ФЗ «О персональных данных» от 27.07.2006 г., с учетом всех принятых позднее изменений и дополнений. Согласно этому закону персональные
данные (ПДн) — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе — фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [4]. МИС, обрабатывающая персональные данные, согласно этому же закону является информационной системой персональных данных (ИСПДн), а МУ, использующие ИСПДн, являются операторами персональных данных. На операторов возложена ответственность за обеспечение безопасности персональных данных и соблюдение правил при их обработке. В качестве регулирующих органов по вопросам безопасности ПДн такой закон определяет Федеральную службу по техническому и экспортному контролю (ФСТЭК России) и Федеральную службу безопасности (ФСБ России).
В настоящее время требования к защите ПДн при их обработке в ИСПДн установлены Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое строго прописывает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152. Согласно постановлению вводится понятие «уровень защищенности» (УЗ) персональных данных, который является комплексным показателем, характеризующим требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн. Установлены четыре уровня защищенности ПДн, различающихся перечнем необходимых к выполнению мер по защите ИС. Для определения уровня защищенности требуется установить категории обрабатываемых персональных данных субъектов, вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз, актуальных для ИС [5].
Категории персональных данных, обрабатываемых ИС, подразделяются на четыре группы:
• специальные ПДн — информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъектов ПДн;
• биометрические ПДн — информация о физиологических и биологических особенностях человека, на основании которых можно установить его личность; такая информация не относится к специальным персональным данным (фотография, отпечаток пальца);
• общедоступные ПДн — информация, полученная только из общедоступных источников;
• иные ПДн.
По форме отношений между организацией и субъектами ПДн обработка подразделяется:
• на обработку персональных данных работников;
• обработку персональных данных субъектов, не являющихся работниками организации.
По количеству субъектов, персональные данные которых обрабатываются, постановлением определены две категории:
• менее 100 000 субъектов;
• более 100 000 субъектов.
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Согласно постановлению выделяют три типа актуальных угроз:
• угрозы 1-го типа — угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИС;
• угрозы 2-го типа — угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в ИС;
• угрозы 3-го типа — угрозы, не связанные с наличием недокументированных (недекларирован-ных) возможностей в системном и прикладном программном обеспечении, используемом в ИС.
Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению их безопасности требуется выполнить.
Определив вышеперечисленные критерии, можно установить необходимый уровень защищенности (табл.).
Следует отметить, что согласно пункту 7 Постановления Правительства РФ № 1119 тип угроз безопасности персональных данных, актуальных для ИС, определяет оператор с учетом оценки возможного вреда. Таким образом, определяя необходимый уровень защищенности информационной системы в лечебно-профилактическом учреждении, оператор может самостоятельно предположить, что актуальными будут являться угрозы только 3-го типа.
Действительно, разумно считать, что 1-й тип угроз может быть актуален только для ИСПДн, интересующей спецслужбы иностранных государств. Подавляющее большинство МИС такими не являются (за исключением МИС в поликлинике управления делами президента и прочих МУ государственного значения). Кроме этого, известно, что разработчиками практически всего системного программного обеспечения является несколько иностранных корпораций, дорожащих своей деловой репутацией. Но даже при желании проверить программное обеспечение на наличие «программных закладок», «троянских коней» и прочих недекларированных
Таблица Уровни защищенности персональных данных в информационных системах
Категории ПДн Категории субъектов Количество субъектов Тип актуальных угроз
1-й 2-й 3-й
Специальные Несотрудники Более 100 000 УЗ 1 УЗ 1 УЗ 2
Менее 100 000 УЗ 1 УЗ 2 УЗ 3
Сотрудники Более 100 000 УЗ 1 УЗ 2 УЗ 3
Менее 100 000 УЗ 1 УЗ 2 УЗ 3
Биометрические Несотрудники Более 100 000 УЗ 1 УЗ 2 УЗ 3
Менее 100 000 УЗ 1 УЗ 2 УЗ 3
Сотрудники Более 100 000 УЗ 1 УЗ 2 УЗ 3
Менее 100 000 УЗ 1 УЗ 2 УЗ 3
Иные Несотрудники Более 100 000 УЗ 1 УЗ 2 УЗ 3
Менее 100 000 УЗ 1 УЗ 3 УЗ 4
Сотрудники Более 100 000 УЗ 1 УЗ 3 УЗ 4
Менее 100 000 УЗ 1 УЗ 3 УЗ 4
Общедоступные Несотрудники Более 100 000 УЗ 2 УЗ 2 УЗ 4
Менее 100 000 УЗ 2 УЗ 3 УЗ 4
Сотрудники Более 100 000 УЗ 2 УЗ 3 УЗ 4
Менее 100 000 УЗ 2 УЗ 3 УЗ 4
возможностей, не всегда можно это сделать, так как большинство разработчиков откажется предоставить исходный код.
Похожая ситуация с угрозами 2-го типа. Для их реализации недостаточно быть пользователем информационной системы, а требуется работа специалистов или научно-исследовательских институтов в области разработки систем криптографической защиты информации.
Таким образом, можно сделать вывод, что для большинства медицинских учреждений достаточным и экономически обоснованным выбором актуальных угроз будут угрозы 3-го типа.
Типичная МИС, реализующая электронный документооборот, электронную регистратуру и цифровую обработку данных мониторинга состояния пациента, является обработчиком персональных данных специальной категории. Из таблицы видно, что для реализации защиты ПДн подобной МИС, субъектами которой будут менее 100 000 пациентов, достаточно обеспечения 3-го уровня защищенности. В случае, если пациентов более 100 000, необходимо реализовать 2-й уровень защищенности. Однако, чтобы избежать чрезмерных требований, медицинскую информационную систему можно разбить на несколько сегментов, в каждом из которых будет информация менее чем о 100 000 человек.
Кроме рассмотренных медицинских информационных систем в организациях здравоохранения используют типовые информационные системы, например ИСПДн учета кадров и финансов. Субъектами обработки ПДн в этом случае являются сотрудники МУ, а их персональные данные не отно-
сятся к специальным, биометрическим или общедоступным. Здесь мы имеем дело с категорией иных персональных данных. Согласно Постановлению Правительства № 1119 для этой ИСПДн необходимо реализовать только 4-й уровень защищенности персональных данных (табл.).
Для организационной и технической реализации уровней защищенности необходимо обратиться к приказам регулирующих органов:
• Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
В рамках реализации проекта ЕГИСЗ необходимо руководствоваться Приказом ФСТЭК России № 17, требования которого являются обязательными при обработке информации в государственных
информационных системах [6]. На уровне отдельного лечебно-профилактического учреждения достаточно выполнения Приказа ФСТЭК России № 21.
Проанализировав Приказ ФСТЭК России № 21 и Приказ ФСБ России № 378, можно сделать вывод, что в медицинских учреждениях для обеспечения 4-го уровня защищенности ПДн при их обработке в ИСПДн основными требованиями являются:
• организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• обеспечение сохранности носителей персональных данных;
• утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных обязанностей;
• регулярный контроль за выполнением требований, организуемый и проводимый самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (проводится не реже 1 раза в 3 года);
• использование средств защиты информации (СЗИ), прошедших процедуру оценки (сертификации) соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз [7, 8].
Для обеспечения 3-го уровня защищенности ПДн помимо выполнения требований, предусмотренных для 4-го уровня, необходимо, чтобы было назначено должностное лицо (работник), ответственное за обеспечение безопасности ПДн в ИСПДн.
Наиболее сложным пунктом для выполнения является внедрение сертифицированных средств защиты. Согласно документации ФСБ России выделяется несколько категорий СЗИ: вычислительная техника, антивирусы, межсетевые экраны, средства обнаружения вторжения, защита от недекла-рированных возможностей (кража физических носителей). В каждой категории есть шесть классов в зависимости от функциональности: 6-й класс — наименьшая функциональность, 1-й класс — наибольшая. Детальное описание возможностей классов представлено в документах ФСБ России. Согласно Приказу ФСТЭК России № 21 для организации
4-го уровня защищенности необходимо использовать средства вычислительной техники любого класса, средства обнаружения вторжений, антивирусную защиту и межсетевое экранирование не ниже
5-го класса. Для защиты ПДн в типичной медицинской информационной с необходимым 3-м уровнем защищенности необходимо использовать сред-
ства вычислительной техники, средства обнаружения вторжений и антивирусную защиту не ниже 5-го класса, а межсетевое экранирование — не ниже 4-го класса. Если считать, что для МИС будут актуальными угрозы 1-го или 2-го типа, то необходимым уровнем защищенности станет первый или второй, что, в свою очередь, приведет к повышению необходимой функциональности СЗИ: средства обнаружения вторжений и антивирусная защита должны быть не ниже 4-го класса. Такой выбор приведет к существенным финансовым затратам для лечебно-профилактического учреждения, поскольку более высокие классы сертификации накладывают на разработчиков дополнительные организационные и технические требования при проектировании СЗИ, такие как обеспечение тестирования работоспособности функциональных блоков, усовершенствование алгоритмов идентификации и аутентификации пользователей, разработка средств дополнительного контроля за целостностью программного обеспечения, предоставление гарантий проектирования, а также дополнительные правила на конструкторскую, проектную, тестовую документацию и руководство по эксплуатации, что приводит к повышению себестоимости средств. Тем не менее реального повышения безопасности достигнуто не будет ввиду низкой вероятности возникновения указанных угроз. Однако согласно Приказу ФСТЭК № 17 МУ с медицинскими информационными системами, интегрированными в ЕГИСЗ уже для реализации 3-го уровня защищенности, должны существенно повысить функциональность средств защиты информации, что является обоснованным ввиду повышенной распределенности информационных систем и масштабов обрабатываемой информации. Так, средства обнаружения вторжения и антивирусная защита должны быть не ниже 4-го класса, а межсетевое экранирование — 3-го класса. Следует отметить, что СЗИ 1-го и 2-го классов в большинстве случаев не могут быть использованы в медицине, так как они применяются для защиты государственных документов с грифом «секретно», «совершенно секретно» и «особой важности».
Изначально в Федеральном законе № 152-ФЗ «О персональных данных» присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование было отменено, в ряде случаев невозможно обеспечить надежную защиту ПДн без использования средств криптографической защиты информации (СКЗИ). В частности, при обмене информации в открытой сети шифрование становится одним из главных способов защиты [9].
Согласно документации ФСБ России различают шесть классов средств криптографической защиты информации, определенных в порядке возрастания количества и жесткости предъявляемых требований: КС1, КС2, КС3, КВ1, КВ2, КА1. Приказом
ФСБ России № 378 устанавливаются требования к использованию определенного класса СКЗИ при реализации уровней защищенности ПДн с использованием криптографических средств. Так, для реализации 3-го и 4-го уровней защищенности при выборе 3-го типа угроз достаточно использования СКЗИ, имеющих сертификат класса КС1. Если выбрать актуальными угрозами для ИСПДн угрозы 2-го или 1-го типа, то класс сертификации СКЗИ возрастает до КВ и КА, что для медицинских учреждений будет финансово крайне неоправданно. Тем более, проанализировав рынок криптографических средств защиты информации России, можно увидеть, что только 8 % от общего числа СКЗИ являются сертифицированными по классу КВ и лишь 3 % — по классу КА.
Заключение
Анализ нормативно-правовой базы Российской Федерации о защите персональных данных показал, что ответственность за безопасность персональных данных, обрабатываемых в информационных системах, накладывается на операторов обработки персональных данных. Однако, определяя необходимый уровень защищенности персональных данных, оператор вправе самостоятельно решить, какой тип угроз является актуальным для его ИСПДн. Так, в учреждениях здравоохранения для большинства медицинских информационных систем актуальными можно считать угрозы 3-го уровня, а в информационных системах, субъектами персональных данных которой будут сотрудники этого учреждения, — угрозы 4-го уровня. Повышение актуальности уровня угроз приведет к чрезмерным организационным, программным и аппаратным требованиям, реализация которых будет экономически нерентабельной и необоснованной с точки зрения реальных угроз для персональных данных.
Литература
1. Разработка медицинских информационных систем на базе системы управления контентом Drupal / П. Е. Григорьев, Д. Р. Гадиев, А. В. Оленчук, Д. Л. Гольдберг // Межведомственный сб. науч. тр. «Кибернетика и вычислительная техника». Киев, 2013. Вып. 171. С. 68-78.
2. Каблуков А. А., Иванькова Н. А. Защита персональной информации в медицинских информационных системах // Запорож. мед. журн. 2012. Вып. № 6 (75). С. 91-93.
3. Голубев В. Деяк особливоста тактики окремих слiдчих дш при розслщуванш комп'ютерних злочишв // URL: http://www.crime-research.ru/library/Golubev0105.html (20.01.2016).
4. Федеральный закон от 27.07.2006 г. № 152-ФЗ (ред. от 04.06.2014 г.) «О персональных данных».
5. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
6. Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
7. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
8. Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
9. Авдеев В. Б., Асотов Д. В., Панычев С. Н. Методологические аспекты защиты информации в телекоммуникационных и компьютерных сетях общего пользования // Вестн. Воронежского государственного технического университета. 2011. Т. 7, № 12-1. С. 27-31.
