CC BY
59
УДК 6549-681.3
И. М. Космачева Астраханский государственный технический университет
АНАЛИЗ ПРОБЛЕМЫ ЭФФЕКТИВНОЙ ОРГАНИЗАЦИИ КОНТРОЛЯ ЗА ДЕЙСТВИЯМИ ПОЛЬЗОВАТЕЛЕЙ В МЕДИЦИНСКИХ ИНФОРМАЦИОННЫ1Х СИСТЕМАХ
Введение
Повышение вероятности внутренних угроз, рост числа пользователей автоматизированных систем обусловливают в настоящее время все большую актуальность задачи эффективной организации контроля за действиями пользователей. Аудит действий и строгой персонификации пользователей важен с точки зрения профилактических средств в стимулировании отказа от противоправных действий потенциальных нарушителей, в том числе из состава персонала организации. Средства аудита предназначены для предупреждения угроз, обнаружения, а также должны служить методом доказательства факта противоправных действий пользователей. Основным фактором, упрощающим расследование какого-то нарушения, является сильно ограниченный круг лиц, которые могли бы совершить преступление. Внутренние нарушители могут знать слабые места в системе безопасности компании, что открывает путь к мошенничеству и воровству информации. Документальные следы, оставленные нарушителями политики безопасности из числа персонала, зачастую идентичны тем, которые оставляют законные пользователи системы, поэтому стандартные средства аудита бессмысленны.
Кроме того, в медицинских информационных системах имеется обширный объем информации, доступной всем специалистам. Поэтому идентифицировать канал утечки очень трудно. Это вынуждает разрабатывать дополнительные средства защиты от инсайдеров.
Ключевое место в системе управления информационной безопасностью занимает подсистема предоставления доступа и оперативного (в реальном масштабе времени) контроля действий пользователей на защищаемых компьютерах в составе сети.
С точки зрения разграничения доступа к медицинской информации персонального характера (МИПХ) автоматизированная система медицинского учреждения обладает следующими свойствами:
— наличие ценных информационных ресурсов, конфиденциальность и целостность которых существенно влияет на деятельность учреждения;
— отсутствие строгой классификации информации по уровням конфиденциальности;
— большое количество направлений (профилей) деятельности (лечебная, научная, финансовая и т. д.), вследствие чего информационные ресурсы имеют сложную структуру с большим числом объектов;
— большое количество пользователей системы, объединенных в группы по принадлежности к подразделениям и по функциональным обязанностям;
— наличие сложных процессов обработки информации;
— требуемый уровень защиты МИПХ изменяется, нуждается в контроле;
— обмен данными происходит между организациями с разным уровнем защиты информации.
Основные угрозы нарушения конфиденциальности МИПХ и противодействие им
представлены в таблице.
Угрозы и методы противодействия
Угроза Противодействие Метод
Хищение информации из баз данных, содержащих МИПХ, неуполномоченным пользователем Шифрование базы данных и ролевое управление доступом Установка системы управления доступом по цифровым сертификатам, шифрование критических сегментов базы
Хищение информации из баз данных, содержащих МИПХ, со стороны легального пользователя (превышение полномочий) Ролевое управление, подробный аудит Аутентификация и дополнительный мониторинг действий пользователя (не средствами СУБД)
Ролевая модель контроля доступа является компромиссным решением, обеспечивающим хорошие возможности в задании политики безопасности при достаточной простоте администрирования. Это позволяет рассматривать ролевую модель как наиболее подходящую для применения в прикладных программах. Понятие «роль» можно определить как совокупность действий и обязанностей, связанных с определенным видом деятельности.
Тем не менее разграничение доступа и аудит еще не защищают от всех угроз информационной безопасности. Очень часто обработка данных в системе ведется не самим пользователем, а созданным и запущенным в СУБД скриптом. Так, например, поступают для формирования типовых или периодических отчетов. В этом случае скрипт запускается не от имени пользователя, а от имени системной учетной записи, и это серьезно затрудняет понимание того, что на самом деле происходит в базе данных. При этом сам скрипт может содержать практически любые команды (включая "select*"). В ходе работы скрипт может сформировать новый массив данных, в том числе и дублирующий все основные таблицы. В итоге пользователь получит возможность работать с этим набором данных и таким образом обходить установленные средства аудита.
По-прежнему остается нерешенной задача защиты информации от неблагонадежного администратора. Особую опасность такая угроза (кража информации одним из администраторов) представляет по причине того, что полномочий администратора достаточно для уничтожения следов его деятельности в журналах регистрации.
В соответствии с новым законодательством [1] необходимо вести мониторинг движения конфиденциальной информации персонального характера. Граждане имеют право получить информацию о том, кто и в каких целях использует или использовал эту информацию. Попытка решить поставленную задачу средствами СУБД будет осложнена ограниченностью вычислительных ресурсов серверов, поскольку помимо обработки данных им придется вести полное протоколирование своих действий. Вследствие этого предлагается реализовать отдельную систему аудита и контроля доступа к СУБД, которая была бы универсальной, высокопроизводительной и доступной. В качестве модели предлагается модель диспетчера доступа к МИПХ.
Диспетчер анализирует поступающие запросы от пользователей, рассчитывает показатель уникальности затребованных данных, смысл введения которого описан в [2], и обращается к базе данных пользователей, базе данных типов уязвимой информации для принятия решения о выдаче информации и фиксации значимых событий в журналах аудита. Диаграмма потоков данных в работе диспетчера доступа к МИПХ показана на рисунке.
Рекомендации
Информация о защищаемой (конфиденциальной) информации
Диаграмма потоков данных в работе диспетчера доступа к МИПХ
При формировании паспорта пользователя должна определяться его благонадежность. Благонадежность определяется на основе характеристики, полученной от администрации, вышестоящих должностных лиц; рекомендаций, отзыва пациента; статистики инцидентов, скомпрометировавших пользователя.
При формировании базы данных типов уязвимой информации используется анкетирование лиц, заинтересованных в конфиденциальности данных (пациентов). При этом необходимо следующее:
1. Определить перечень таких сведений (определенные социально значимые заболевания, другое).
2. Установить минимальные сроки, в течение которых сведения должны остаться неизвестными третьим лицам.
3. Установить для сведений уровень ущерба от их распространения.
Заключение
Анализ проблемы организации контроля за действиями пользователей в медицинских информационных системах показал, что: в настоящее время встроенные средства аудита и контроля за действиями пользователей в СУБД являются недостаточно гибкими и производительными для того, чтобы их можно было эффективно применять на практике для обеспечения защищённости информации и неприкосновенности баз данных. Предложена модель системы аудита и контроля доступа к СУБД, которая в дальнейшем может быть использована в автоматизированных системах обработки МИПХ с целью ужесточить контроль доступа к ней большого количества привилегированных пользователей, сокращая количество каналов утечки информации.
СПИСОК ЛИТЕРАТУРЫ
1. Федеральный закон РФ «О персональных данных» от 27.06.2006 № 152-ФЗ.
2. Попов Г. А., Космачева И. М. Модель идентификации личности на основе медицинской информации // Вестн. Астрахан. гос. техн. ун-та. - 2007. - № 1 (36). - С. 92-97.
Статья поступила в редакцию 28.11.2007
THE ANALYSIS OF THE PROBLEM OF EFFECTIVE ORGANIZATION OF USERS’ ACTION CONTROL IN MEDICAL INFORMATION SYSTEMS
I. M. Kosmacheva
The main disadvantages of use of standard means of delimitation and control of users’ access in information systems are determined. The analysis of possible threats of confidentiality infringement of the medical personal information, contained in electronic databases is made. The idea of creation of a separate system of audit and control of access to the medical data and the technology of organization of work of the dispatcher of access to the medical information are offered. Further the given model can be used in the automated systems of the medical personal information processing with the purpose of getting the best control of access of many privileged users, reducing a number of information channels.
