Проблемы создания типовых решений по защите персональных данных при их обработке в информационных системах ведомственных медицинских учреждений.

Информационная система ведомственного здравоохранения представляет собой территориально-распределенную совокупность программно-технических комплексов, организованных на базе медицинских учреждений федерального и регионального уровней и объединенных между собой с помощью каналов связи. Ведомственные медицинские учреждения (ВМУ) организуют медицинское обеспечение сотрудников ведомства, членов их семей, а также предоставляют платные медицинские услуги для граждан, не относящихся к ведомству. В рамках выполнения этих задач в ВМУ выполняется обработка информации о фактах обращения за медицинской помощью, состоянии здоровья и ходе лечения указанных лиц, а также обработка кадровой и бухгалтерской информации, относящейся к сотрудникам ВМУ. Информация указанных видов относится к персональным данным (ПДн).

В соответствии с требованиями действующего законодательства ВМУ обязаны принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты обрабатываемых ПДн от неправомерных действий в их отношении.

В настоящее время широко распространена практика разработки типовых решений по защите подобных больших территориально-распределенных информационных систем. В качестве основных преимуществ применения такого подхода рассматриваются:

• сокращение финансовых и временных затрат при внедрении системы защиты в информационные системы персональных данных (ИСПДн) за счет возможности тиражирования типовых решений;
• выработка унифицированного подхода к построению систем защиты ИСПДн.

При поверхностном рассмотрении может сложиться впечатление, что подход к построению системы защиты ИСПДн ВМУ, связанный с разработкой и использованием типовых решений, гарантированно является высокоэффективным способом достижения поставленных целей. Однако, как будет показано далее, реализация подобных проектов сопряжена с рядом сложностей, зачастую труднопрогнозируемых и не предполагающих однозначного решения.

В соответствии с п. 12 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства РФ от 17 ноября 2007 г. № 781, выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе модели угроз и класса ИСПДн.

Таким образом, процесс разработки типовых решений подразумевает выполнение определенного комплекса работ, в общем случае включающих:

1) предпроектное обследование ведомственных медицинских учреждений;

2) формирование на основе результатов обследования некоей типовой модели угроз и нарушителя безопасности ИСПДн. Впоследствии угрозы безопасности ПДн, содержащиеся в типовой модели угроз, должны уточняться в процессе разработки частных моделей угроз для ИСПДн конкретных ВМУ;

3) формирование различных моделей управления информационной безопасностью ИСПДн ВМУ, основанных на принципе типизации технических и организационных решений.

Предпроектное обследование ВМУ является важнейшим этапом построения системы защиты. Его результаты используются в качестве основы для выполнения последующих этапов. Однако в силу того, что в штате ВМУ, как правило, отсутствуют специалисты, обладающие необходимыми знаниями и квалификаций для проведения соответствующих работ, проведение обследования может быть связано со значительными сложностями. В свою очередь, организация непосредственного обследования объектов силами специалистов учреждения федерального уровня затруднена вследствие многочисленности и взаимной территориальной удаленности ВМУ.

В силу этих причин для получения необходимой информации об объектах получил распространение метод анкетирования учреждений, очевидно, предполагающий гораздо меньший объем материальных и временных затрат. Однако использование этого метода на практике оправдывает ожидания лишь частично, поскольку:

- предоставление сведений, необходимых для разработки модели угроз и нарушителей, в форме анкетирования, хотя и облегчает задачу ответственного за заполнение анкеты сотрудника ВМУ, в той или иной степени предполагает наличие у него знаний и квалификации в предметной области. Практически невозможно предусмотреть в опросном листе все возможные нюансы, связанные с функционированием того или иного объекта, поэтому при заполнении анкеты является желательным проявление конструктивной инициативы со стороны сотрудника, направленной на дополнение стандартной формы результата важными сведениями, специфическими для конкретного объекта;

- любое экспертное заключение, а описание результатов обследования объекта выполняется с использованием экспертного метода, - является субъективным и в той или иной степени содержит в себе модус мнения. Таким образом, результаты анкетирования ведомственных медицинских учреждений в целом представляют собой набор объективных показателей вкупе с субъективной интерпретацией действительности со стороны множества людей, обладающих различными уровнями квалификации, ответственности и понимания проблематики. При этом в рамках субъективной интерпретации нельзя полностью исключать возможность неумышленного предоставления непроверенных и недостоверных сведений.

Промежуточный вывод: по результатам предпроектного обследования в общем случае удается получить лишь часть информации, необходимой для разработки модели угроз и нарушителя.

В соответствии с положениями «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года, в типовых и частных моделях угроз и нарушителей, как правило, содержится описание информационных систем, объектов защиты, возможных источников угроз безопасности, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.

Описание информационных систем, включая определение технологических процессов обработки информации, применительно к ВМУ составляет нетривиальную задачу, в рамках решения которой необходимо принимать во внимание разнообразные аспекты:

- в ВМУ параллельно выполняется два вида работ: собственно лечебный процесс и формирование сопутствующей ему медицинской документации. Документооборот медицинского учреждения регламентируется Приказом МЗ СССР «Об утверждении форм первичной медицинской документации учреждений здравоохранения» № 1030 от 4 октября 1980 г., на основе положений которого организуется обработка и накопление данных в его информационных системах. С учетом того обстоятельства, что в ВМУ используется порядка трехсот учетно-отчетных форм, и абсолютное большинство информационных ресурсов ВМУ содержит те или иные сведения конфиденциального характера, в том числе ПДн (сотрудников, посетителей, пациентов), врачебную тайну и др., четкая локализация мест обработки сведений конфиденциального характера крайне затруднена;

- в состав ВМУ могут входить отделения различной направленности: коечные, лечебно-диагностические, амбулаторные, административно-хозяйственные и т. д. При этом состав обрабатываемых данных, принципы и подходы к обработке информации в отделениях разной направленности существенно различаются. Это означает, что, например, два изолированных автоматизированных рабочих места (АРМ) разных отделений ВМУ могут представлять собой самостоятельные ИСПДн и обладать собственными уникальными наборами свойств, не позволяющими отнести их к одному типу:

- так, например, коечные отделения ВМУ характеризуются тесным взаимодействием пациента и лечащего врача и, следовательно, высоким уровнем «персонификации» пациента, практически исключающим возможность обезличивания его ПДн; информация о состоянии здоровья пациента накапливается в ходе постоянного наблюдения и лечения, сохраняется врачами для последующего анализа и возможного использования в случае повторных обращений пациента за медицинской помощью;

- лечебно-диагностические отделения ВМУ характеризуются ослабленным по сравнению с коечными отделениями взаимодействием пациента с медицинским работником, меньшей степенью «персонификации» пациента; диагностические процессы не предполагают постоянную работу с данными пациента, выполняемые процедуры относительно кратковременны и в большинстве случаев информация о пациенте повторно не используется;

- для приемных отделений ВМУ в силу их непосредственного предназначения является характерным высокий уровень концентрации посетителей и, как следствие, возможности совершения неправомерных и деструктивных воздействий на ПДн со стороны потенциального внутреннего нарушителя из числа посетителей ВМУ - физических лиц, обладающих правом пребывания на территории контролируемой зоны;

- административно-хозяйственные отделения ВМУ характеризуются высокой степенью взаимодействия с внешними информационными системами (Федеральная налоговая служба, пенсионные фонды, Федеральный фонд обязательного медицинского страхования и т. д.). В ИСПДн таких отделений, как правило, не обрабатываются ПДн специальных категорий и при классификации им присваивается класс ниже, чем медицинским ИСПДн. Хотя в административно-хозяйственных отделениях преимущественно обрабатываются ПДн работников ВМУ, сотрудники таких отделений могут получать доступ к медицинским ПДн, обрабатываемым в ИС ВМУ, например, в рамках выполнения должностных обязанностей по ремонту и обслуживанию средств вычислительной техники, а также администрированию программного обеспечения;

- даже внутри отделений одной направленности характер обработки ПДн варьируется в зависимости от их специфических особенностей. Так, в ВМУ используется специализированное медицинское оборудование, которое может содержать внутренние устройства накопления ПДн пациентов (анализаторы лабораторной диагностики, аппараты функциональной диагностики и др.); при этом оборудование некоторых видов (например, система передачи и архивации изображений PACS) представляет собой полноценную медицинскую информационную систему, включающую клиентскую и серверную части, а также использующие собственные стандарты хранения и передачи информации;

- помимо правил, продиктованных необходимостью заполнения соответствующих учетно-отчетных форм, порядок обработки информации о состоянии здоровья пациентов определяется каждым врачом по собственному усмотрению и варьируется в зависимости от частных взглядов на лечебный процесс, представлений об удобстве, степени владения информационными технологиями, характера коммуникаций с коллегами в рамках обмена знаниями и прочих факторов;

- в ВМУ используются системы телемедицинских консультаций, подразумевающие передачу медицинской информации по телекоммуникационным каналам связи. При этом при взаимодействии ВМУ разных уровней могут использоваться как ведомственные, так и арендованные каналы связи;

- ВМУ имеют различную физическую инфраструктуру: могут размещаться в одном выделенном здании или нескольких корпусах, расположенных на охраняемой территории, границы которой определяют контролируемую зону; могут размещаться в комплексе территориально удаленных в пределах региона зданий; отдельные подразделения ВМУ могут размещаться в одном здании со сторонними организациями и т. д.;

- уровень технической оснащенности и организации технологических процессов обработки информации в различных ВМУ может варьироваться - от использования АРМ в качестве средства для подготовки и распечатки учетно-отчетных форм до эксплуатации полноценных медико-технологических ИС, предназначенных для информационного обеспечения процессов диагностики, лечения, реабилитации и профилактики пациентов.

Перечисленные аспекты оказывают влияние на состав, границы, типизацию ИСПДн ВМУ, а также содержание типовых и частных моделей угроз и нарушителя.

Промежуточный вывод: учет каждого из аспектов, связанных с технологическими процессами обработки информации, порождает введение множества новых типов, подтипов и разновидностей ИСПДн и, как следствие, обусловливает лавинообразное увеличение количества типовых моделей угроз и соответствующих конфигураций комплектов типовых технических и организационных решений.

Описанные выше аспекты составляют лишь один пласт проблем: хотя разработка типовых моделей угроз и типовых решений по защите ПДн на практике оказывается куда более сложной и многогранной задачей, чем может показаться при поверхностном суждении, перечисленные трудности в общем случае не являются непреодолимыми.

Другой пласт составляют аспекты, напрямую не связанные с особенностями технологической обработки информации, различиями в конфигурации физической инфраструктуры и составе используемых технических средств, - аспекты, обусловленные внутренним содержанием лечебно-диагностического процесса.

Внедрение типовых технических и организационных решений по защите информации не должно приводить к необходимости внесения принципиальных изменений в сущность и правила лечебно-диагностического процесса; чрезмерно отягощать медицинских работников специфическими требованиями, не имеющими непосредственного отношения к медицине; требовать сложного специального обучения, обладания специальными знаниями и навыками. Пренебрежение данным аспектом может привести к тому, что предлагаемые технические и организационные меры не будут должным образом приняты и одобрены работниками ВМУ. Учитывая то обстоятельство, что основной деятельностью ВМУ является оказание лечебно-диагностических услуг, явное или неявное противодействие предлагаемым мерам со стороны квалифицированного медицинского специалиста, добросовестно выполняющего свои основные обязанности, вероятно, будет поддержано руководителем ВМУ, для которого в первую очередь является важным качественное выполнение основных задач, возложенных на учреждение.

Итак, очевидно, архитектура системы защиты ИСПДн должна учитывать принципиальные особенности лечебно-диагностического процесса. Однако следует признать, что в рамках разработки типовых моделей угроз и типовых решений по защите информации учет представляет особую сложность в силу специфичности, неоднозначности, слабой формализуемости частных проявлений процесса:

- на практике имеет место широкое разнообразие как противоречащих, так и дополняющих друг друга медицинских школ и соответствующих методов обследования и лечения, в общем случае предполагающих выполнение различных операций по обработке сведений о пациенте;

- по своей сути работа врача характеризуется высокой степенью неопределенности (неизвестно заранее, окажется ли успешным и эффективным обследование и лечение; диагноз предполагает возможность корректировки в процессе обследования и лечения) и потому выполняется в условиях постоянного взаимодействия с другими врачами и структурами медицинского учреждения, в том числе посредством обмена сведениями о пациентах.

Иными словами, решение поставленной задачи в полной мере, по-видимому, является невозможным без глубокого понимания сущности лечебно-диагностического процесса и потому требует совместного участия специалистов по защите информации и медицинских работников в выработке компромиссных подходов, которые позволят обеспечивать выполнение необходимых требований законодательства в условиях удовлетворения ожиданий и потребностей работников ВМУ. В частности, в процессе разработки в архитектуре отдельно взятого типового комплекта технических и организационных решений, помимо некоторого минимально необходимого «ядра» защиты, может быть дополнительно предусмотрено пространство для собственной корректировки и адаптации в соответствии с некоторой сопровождающей методикой (рекомендациями). При этом, очевидно, «ядро» защиты типовой ИСПДн ВМУ преимущественно должны составлять технические средства и организационные меры, использование которых определяется классом ИСПДн и является обязательным в соответствии с требованиями «Положения о методах и способах защиты информации в информационных системах персональных данных», утвержденного Приказом ФСТЭК России от 5 февраля 2010 г. № 58. В свою очередь, методика адаптации, разрабатываемая при непосредственном участии заинтересованных работников ведомственных медицинских учреждений, должна содержать руководство по учету возможных частных нюансов медицинских процессов целевой ИСПДн при применении решений соответствующего типового комплекта защиты.

Автор: Лыдин С. С.

Дата публикации: 01.01.2012

Библиографическая ссылка: Лыдин С. С. Проблемы создания типовых решений по защите персональных данных при их обработке в информационных системах ведомственных медицинских учреждений // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 170–173.

---