Как определить уровень защищенности информационных систем

11 июня 2015
Как определить уровень защищенности информационных систем

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

  • специальные,
  • биометрические,
  • общедоступные,
  • иные;

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

Специалисты «Контур-Безопасность»

  • составят модель угроз
  • классифицируют информационную систему
  • помогут выбрать оптимальные средства защиты
  • грамотно выстроят систему защиты
Узнать больше

 

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
5094 просмотра
В избранное
Безопасность
Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: ФИС ГИА, АИСТ ГБД, ЕГИСМ, ФИС ФРДО и др.

Узнать больше

Комментарии

Комментарии Написать свой
Спасибо за ваше мнение!
← К списку публикаций

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.