Законодательство предъявляет строгие требования к средствам технической защиты персональных данных в медучреждениях, поскольку такие данные представляют особую ценность. Какие способы их защиты существуют?
Комплекты необходимых средств защиты информации различаются в зависимости от уровня защищенности, который требуется обеспечить для конкретной информационной системы персональных данных (ИСПДн), или класса защищенности информационных систем, если речь идет о государственных информационных системах (ГИС), не содержащих гостайну (Приказ ФСТЭК России от 11.02.2013 г. № 17).
Рассмотрим несколько вариантов защиты персональных данных в учреждениях здравоохранения.
Соответствие закону с минимумом усилий
Наиболее простой случай — когда для информационных систем нужно обеспечить 4 УЗ (здесь и далее мы будем рассматривать случаи на примере требований к мерам по обеспечению безопасности обработки персональных данных при их обработке в информационных системах – Приказ ФСТЭК России от 18.02.2013 г. № 21). К таким системам относятся программы автоматизации бухгалтерского и кадрового учета, а также Федеральный регистр медицинских работников.
Что необходимо установить дополнительно на компьютеры, чтобы отвечать требованиям закона?
1. Антивирус, сертифицированный ФСТЭК.
Не путайте с обычным лицензированным антивирусом. Отличительный признак сертифицированного дистрибутива, кроме диска на носителе, — наличие формуляра и номера СЗЗ (номер из семи символов на блестящей голограмме, которая находится в формуляре). Для сертифицированного дистрибутива рассчитаны все контрольные суммы, и он прошел проверку представителей контролирующих органов, следовательно, у антивируса, установленного с него, гарантированно не будет недекларированных возможностей.
2. Средство защиты от несанкционированного доступа.
Оно обязательно должно быть установлено на каждую станцию (персональный компьютер) для контроля целостности программной среды и проверки контрольных сумм ключевых файлов при загрузке системы. Отдельные средства защиты от несанкционированного доступа позволяют авторизоваться в системе не средствами Windows, а своими собственными механизмами. Понять, какое средство оптимально подойдет для конкретной организации, можно только зная особенности информационной системы.
3. Межсетевой экран.
Он не требуется, если компьютер физически отключен от интернета. Сертифицированный антивирус не может быть использован как межсетевой экран с точки зрения ФСТЭК, поэтому потребуется отдельный сертификат, причем определенного класса. Для 4 УЗ можно применять межсетевой экран самого низкого класса — пятого. В качестве межсетевого экрана может выступать как программный комплекс (например, SSEP, который как раз сертифицирован по пятому классу), так и программно-аппаратный комплекс («Континент», например).
Таким образом, для обеспечения 4 УЗ нам потребуется проверить наличие трех основных средств защиты.
Состав и содержание мер для различных уровней и классов защищенности регламентируют Приказы ФСТЭК России № 17 и № 21.
Третий уровень: еще больше требований
Если в информационной системе обрабатываются специальные категории, в том числе ведется обработка персональных данных состояния здоровья, но при этом количество субъектов персональных данных менее 100 000, значит, для ИСПДн необходимо обеспечить 3 УЗ. В этом случае законодательство предъявляет больше требований.
Кроме перечисленных в предыдущем разделе средств защиты нужен сканер уязвимостей, сертифицированный ФСТЭК.
Сканер уязвимости анализирует сеть на предмет проблем и пробоин. Как правило, сканер запускается с удаленной машины и планомерно ищет слабое место испытуемой машины, как по известным уязвимостям и эксплойтам, так и по самым свежим — база у поставщиков постоянно обновляется. После попытки вторжения программа выдает все найденные слабости и рекомендации по их устранению. В качестве такого средства могут выступать, например, «Сканер-ВС» или XSpider.
Тяжелый случай: решение есть
Рассмотрим самую сложную ситуацию, когда по-прежнему организации обрабатывают специальные категории персональных данных, но количество субъектов превышает 100 000.
Кроме всего вышеперечисленного на рабочие станции необходимо поставить средство доверенной загрузки. Как правило, это системная плата, которая до начала загрузки ОС проверяет, не пытается ли злоумышленник загрузить компьютер с внешнего носителя, и позволяет проводить идентификацию по аппаратным идентификаторам.
К межсетевому экрану дополнительно должны быть установлены средства обнаружения вторжений. Возможности многих антивирусов включают в себя эту функцию, но, как правило, они не сертифицированы ФСТЭК и поэтому не отвечают требованиям законодательства. В качестве решения можно использовать, например, SSEP.
Комплекс услуг по обеспечению информационной безопасности.
Олег Нечеухин, эксперт по защите информационных систем, Контур.Безопасность