Як медична організація може зберегти свою базу даних
- Захист персональних даних в рамках спеціалізованих інформаційних систем
- Розмежовуйте доступ, ізолюйте дані
- Основні моменти, регулювання, організація безпеки медичної бази
- 5 рекомендацій для забезпечення безпеки медичної бази
Питання безпеки бази даних приватної клініки актуальний для будь-якого підприємства, тим більше - для клініки, яка працює в системі автоматизації і оперує інформацією про дані своїх пацієнтів.
На які моменти необхідно звернути увагу і як вибудувати грамотну систему, яка збереже безпеку даних, розповідають наші експерти.
Захист персональних даних в рамках спеціалізованих інформаційних систем
Арсен Нахапетян, керівник регіональних проектів центру компетенцій "Охорона здоров'я" групи компаній Softline
Про компанію. Softline - постачальник ІТ-рішень і сервісів, що працює в 30 країнами світу. У числі клієнтів Softline - 80 міст з Європи, Америки та Азії. Мета компанії - створення хмарних і технологічних рішень різних типів і поставка апаратного забезпечення.
За персональними даними пацієнтів йде планомірна полювання зловмисників. Вони діють через вразливі місця інфраструктури підприємств і організацій. Значна частина такої інформації витікає через корпоративні поштові ресурси. Персональні дані пацієнта в певних колах представляють дуже високу цінність, оскільки можуть містити в собі всю історію його хвороби і особисті дані, аж до інформації, зазначеної в паспорті. В чужих руках така інформація здатна виявитися як базою потенційних покупців до конкретних потреб, так і засобом їх шантажу. З огляду на швидкість інформатизації охорони здоров'я, можна припустити, що саме персональні дані виявляться однієї з первинних цілей кібератак в медицині. Тому необхідно подбати про надійні засоби захисту всієї інформації, що зберігається в медичній організації.
Певний інтерес викликає захист персональних даних в рамках спеціалізованих інформаційних систем для медичної галузі, а також в рамках рішень для телемедицини. Найбільш часто використовуваними прийомами підвищення безпеки в таких випадках є знеособлення персональних даних пацієнта з присвоєнням MPI (medical patient index) і використання, наприклад, таких засобів безпеки, як ViPNet, захищені канали, відповідна архітектура інформаційних систем і дата-центрів, де зберігаються дані про пацієнтах, а також неухильного дотримання 152ФЗ «Про персональні дані». З технічної точки зору всіх заходів захисту персональних даних - це спеціальні засоби, ПО і заходи, ПО, вимоги до яких чітко прописані в постанові Уряду РФ від 01.11.2012 N 1119 "Про затвердження вимог до захисту персональних даних під час їх обробки в інформаційних системах персональних даних ".
Найбільш значущими з них я б назвав ідентифікацію та аутентифікацію суб'єктів і об'єктів доступу, управління доступом суб'єктів доступу до об'єктів доступу, установку і запуск тільки дозволеного ПО, виключення несанкціонованого доступу до машинних носіїв даних, фіксацію всіх подій безпеки в інформаційній системі організації, використання надійного антивірусного пО, дотримання заходів з виявлення та запобігання вторгнень, систематичний контроль і аналіз захищеності персональних даних, дотримання заходів по захисту т ехніческіх засобів і захисту інформаційної системи підприємства.
Розмежовуйте доступ, ізолюйте дані
Олексій Парфентьєв, провідний аналітик компанії «СёрчІнформ»
Про компанію. Російська компанія, виробник програмного забезпечення для захисту від витоків інформації, контролю продуктивності співробітників за ПК і управління подіями інформаційної безпеки.
Технічний захист медичної бази - питання першорядний. При цьому неважливо, наскільки клініка велика і на чому спеціалізується. Згідно із законом, якщо ви обробляєте персональні дані, особливо - біометричні (відбитки пальців, код ДНК і т.д.), захищайте їх з особливою ретельністю. В іншому випадку вам загрожує кримінальна відповідальність.
Для того, щоб уникнути витоку інформації і виконати вимоги регуляторів, критично важливо жорстко розмежовувати доступ і ізолювати дані. Тобто у клініки має бути спеціальне програмне забезпечення, яке надає доступ тільки певним співробітникам. При цьому за діями оператора, який обробляє персональні дані, теж потрібен нагляд.
Крім того, середовище обробки потрібно ізолювати від інших IT-систем. Іншими словами, якщо співробітник сканує паспорт, комп'ютер автоматично через потрібну програму повинен складати копію в певне місце - без можливості зробити що-небудь в обхід. Цей пункт важливий, так як у багатьох, особливо невеликих компаніях, немає автоматизованих місць для обробки персональних даних. Тільки загальний комп'ютер, де встановлені як звичайні, так і спеціальні програми. Тобто співробітники працюють з конфіденційними даними і ходять по незахищеним інтернет-ресурсів з одного робочого місця.
Другий момент - захист від інсайдерів, які можуть вкрасти базу. При особливому бажанні обійти розмежування доступу можна: зайти під обліковим записом колеги, сфотографувати екран, скинути дані на флешку або в хмару. У цьому випадку допоможуть системи захисту від витоків - DLP. Ці рішення контролюють всю інформацію, яка передається на корпоративних комп'ютерах і по робочій мережі, тому зможуть вчасно відреагувати на спробу співробітника винести важливу інформацію.
Наприклад, DLP нашої компанії використовують в різних медичних установах. У неї є стандартні політики безпеки, які допомагають захищати інформацію від поширених загроз: від передачі конфіденційних документів або сканів паспорта, спроби переслати номер телефону або паспорта, вирізку з історії хвороби, частина медкарти.
Природно, перераховані технічні засоби потрібно використовувати разом. На першому місці - розмежування доступу і ізоляція середовища обробки персональних даних від всіх інших систем. У другу чергу - інші засоби ІБ-захисту.
Основні моменти, регулювання, організація безпеки медичної бази
Максим Андрєєв, заступник генерального директора КРОК щодо перспективних напрямків бізнесу
Про компанію. Російський системний інтегратор, одна з десяти найбільших ІТ-компаній Росії
З розвитком сучасних цифрових технологій медицина переходить на новий формат роботи з інформацією - онлайн-запис замість багатогодинного очікування в черзі, віддалені консультації замість походів до лікаря, електронні медичні картки замість традиційних паперових. З перекладом даних в цифровий вигляд медичні установи стають все більш уразливі до кіберзагрозам - витік або крадіжки персональних даних пацієнтів. Ці обставини диктують найвищі вимоги до засобів захисту медичних баз даних.
Забезпечення надійності таких баз сьогодні регулюється федеральним законом №152 «Про персональні дані», де персональні дані, що містять інформацію про здоров'я, виділяться в найбільш важливу категорію - «спеціальна категорія ПДН». Мінімальний рівень захищеності, який може бути присвоєний даній категорії - третій (з чотирьох можливих). У разі якщо кількість суб'єктів в базі даних перевищить сто тисяч, то мінімально можливим рівнем захищеності стане другою.
Говорячи про технічні аспекти, то набір заходів безпеки при побудові системи захисту персональних даних (СЗПДн), оброблюваних в медичних базах, наведені в Наказі ФСТЕК Росії №21 м Вони визначаються за результатами проведення комплексного аудиту - аналізу загроз безпеки інформації та визначення рівня захищеності ПДН щодо бази даних конкретного медичного закладу. Далі, в рамках технічних заходів інформаційної безпеки, виконується розробка та впровадження систем захисту персональних даних. Подібні проекти щодо забезпечення захисту систем персональних даних медичних організацій у відповідність до вимог російського законодавства ми вже не перший рік успішно реалізуємо для своїх замовників.
5 рекомендацій для забезпечення безпеки медичної бази
Андрій Цой, директор з медицини АТ «Технологія здоров'я»
Про компанію. "Технологія Здоров'я" розробляє і супроводжує сучасні IT-рішення і сервіси в галузі охорони здоров'я
Діяльність будь-яких медичних установ в даний час пов'язана з використанням великого обсягу персональних даних про пацієнта і їх автоматизованою обробкою на комп'ютерах. Тому актуальними є питання правового регулювання такої обробки та забезпечення їх безпеки. Основними нормативно-правовими актами, які регламентують автоматизовану обробку і захист персональних даних, є:
- Федеральний закон від 27.07.2006 № 149-ФЗ "Про інформацію, інформаційні технології і про захист інформації";
- Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональних даних".
- Постанова Уряду РФ від 01.11.2012 № 1119 «Про затвердження вимог до захисту персональних даних під час їх обробки інформаційних системах персональних даних».
- Наказ ФСТЕК від 18.02.2013 № 21 «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних».
- Наказ Федеральної служби з нагляду в сфері зв'язку, ІТ та масових комунікацій від 05.09.2013 № 996 «Про затвердження вимог та методів по знеособлення персональних даних».
- Наказ ФСБ від 10.07.2014 № 378 «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засоби криптографічного захисту інформації, необхідних для виконання встановлених Урядом РФ вимог до захисту персональних даних для кожного з рівнів захищеності ».
Основних рекомендацій в частині забезпечення вимог законодавства для керівників медичних установ лише кілька.
- для обробки і зберігання персональних та медичних даних необхідно використовувати послуги захищених Цодов (Центр обробки даних), що має підтверджуватися атестатом відповідності 1 класу і 1 рівню захищеності інформаційних систем, що обробляють державні інформаційні ресурси і персональні дані громадян, відповідно. Розміщення інформаційних систем персональних даних (ІСПДн) в інфраструктурі атестованих ЦОД дозволить уникнути необхідності проектувати і створювати ці ІСПДн самостійно.
Такий підхід:
- істотно знижує капітальні витрати на створення ІСПДн (в тому числі, придбання клінікою дорогих сертифікованих засобів захисту)
- забезпечує спрощену процедуру атестації ІСПДн в уже атестований сегменті ЦОД
- знижує операційні витрати на підтримку ІСПДн (не буде потрібно організація власної кваліфікованої технічної підтримки ІСПДн і засобів захисту, підбір і навчання персоналу і т.п.).
- Необхідні сертифіковані засоби захисту на автоматизованих робочих місцях медпрацівників, які працюють з ІСПДн
- Необхідна наявність локальних регламентів, що визначають як законність обробки персональних даних в медустанові, так і їх захист.
- У ЦОД, на відміну від серверних кімнат медустанов, захист від втрат забезпечується не тільки застосуванням високонадійних технічних засобів обробки інформації, але і їх багаторазовим резервуванням як в межах самого Цода, так і між ЦОДамі (в резервному ЦОДі).
Питання перевірок з боку «регуляторів» виконання правил обробки і захисту персональних даних. Передача в експлуатацію ІСПДн медустанови оператору персональних даних (в ЦОД) дозволяє частково делегувати йому і відповідальність за забезпечення захищеності.