Практические аспекты исполнения требований действующего законодательства Российской Федерации  по защите персональных данных в информационных системах санаторно-курортных учреждений

Н.В. Лымарев

ООО «Информационные технологии в медицине», Сочи
E-mail: info@resortsoft.ru, тел /факс: +7(8622)628158

Принимая во внимание то, что в аудитории  присутствуют не только специалисты по информационным системам, но и представители целого ряда санаторно-курортных специальностей, в начале определимся с самыми основными терминами и понятиями по теме доклада. Приведенные ниже понятия и термины, их трактовка взяты из действующих Законов и нормативных актов РФ.

Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (далее - информационные системы).

Технические средства, позволяющие осуществлять обработку персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Теперь перейдем к рассмотрению тех действий и мероприятий которые необходимо выполнить санаторно-курортным учреждениям (СКУ) во исполнение требований и положений Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и Федерального закона Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Подавляющее большинство СКУ в своей работе используют те или иные информационные системы для автоматизации основных видов деятельности: служб маркетинга, приема и размещения, организации питания, лечения, а также служб обеспечения производства: бухгалтерского и складского учета, материального снабжения и др. В рамках настоящего доклада не представляется возможным рассмотреть все множество вариантов типов ИС, технологий их применения  в отношении конкретных СКУ. Поэтому остановимся на примере комплексной информационной системы для санаториев СПК «Здравница» (далее СПК) охватывающей все основные виды деятельности СКУ, предполагая, что она установлена и действует в СКУ.

В настоящее время практически все ведомства и крупные предприятия разработали свои методические рекомендации для защиты информации при обработке персональных данных в соответствии с вышеприведенными Законами РФ и Постановлениями Правительства РФ .  Такие рекомендации разработало и Министерство здравоохранения и социального развития РФ. Они опубликованы на официальном сайте Минздравсоцразвития: http://www.minzdravsoc.ru. Поскольку СКУ относятся к медицинским учреждениям и в этой части руководствуются нормативными документами Минздравсоцразвития, представляется логичным  принять эти методические рекомендации для организации защиты  информации при обработке персональных данных в СКУ. Тем более, что медицинские персональные данные отнесены, в аспекте защиты, к наиболее «тяжелой» первой категории.

С чего начать? По уже действующим информационным системам СКУ должны осуществить следующие мероприятия:

1.  Классифицировать ИСПДн. Оформить соответствующий акт классификации.

2.  Осуществить комплекс мероприятий по защите персональных данных в соответствии с правовыми актами и методическими документами.

3.  Оценить соответствие СПДн требованиям безопасности в форме аттестации (сертификации) или декларирования соответствия.

Классификация ИСПДн производится в соответствии с требованиями Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" и включает в себя следующие этапы:

-     сбор и анализ исходных данных по информационной системе:

-     присвоение информационной системе соответствующего класса и его документальное оформление.

При классификации ИСПДн необходимо учитывать следующие данные:

-     категория обрабатываемых в информационной системе персональных данных – Х_пд. Для СПК- категория 1 (Хпд = 1);

-     объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Х_нпд. Для СПК Хпдн = 2;

-     заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе.  СПК- Специальная ИС;

-     структура информационной системы; СПК –локальная ИС;

-     наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена. СПК – нет;

-     режим обработки персональных данных. СПК- многопользовательская ИС;

-     режим разграничения прав доступа пользователей информационной системы. СПК – с разграничением прав доступа;

-     - местонахождение технических средств информационной системы. СПК – в пределах РФ.

Из приведенных выше данных видно, что СПК «здравница» следует отнести к специальным информационным системам. Так как СПК «Здравница» в своем составе содержит подсистему «Медицина» в которой к защите персональных данных (медицинские ПД) предъявляются наиболее жесткие требования, то в соответствии с п.17 Приказа. N 55/86/20 СПК «Здравница» в целом при классификации будет присвоен класс соответствующий подсистеме «медицина». В соответствии п.16 Приказа. N 55/86/20, по результатам анализа исходных данных, класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Для создания модели угроз конкретной ИСПДн необходимо описать и проанализировать весь комплекс входящих в нее программных и технических средств, технических и организационно-административных  мероприятий, документации. Очевидно, что создание какой-то обобщенной модели угроз в принципе невозможно. Для каждой конкретной ИСПДн составляется частная модель угроз. Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке при их обработке в ИСПДн учреждений здравоохранения опубликованы на сайте Минздравсоцразвития.

В рамках временных ограничений доклада, продемонстрировать все шаги и этапы составления частная модель угроз для конкретного санатория использующего СПК «Здравница», невозможно. Приведу только методологию формирования частной модели угроз, применив «Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке при их обработке в ИСПДн учреждений здравоохранения, социальной сферы, труда и занятости» (опубликованы на сайте Минздравсоцразвития), которой мы придерживались при формировании такой модели для СПК «Здравница» установленной в конкретном санатории.

Методология формирования модели угроз. Разработка модели угроз должна базироваться на следующих принципах:

1) Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных (СЗПДн).

2) При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы) или косвенных угроз.

3) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

4) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).

Для разработки модели угроз необходимо последовательно осуществить следующие шаги:

-     описать ИСПДн;

-     определить пользователей ИСПДн;

-     определить тип ИСПДн;

-     определить исходный уровень защищенности ИСПДн;

-     определить вероятность реализации угроз в ИСПДн;

-     определить возможность реализации угроз в ИСПДн;

-     оценить опасность угроз;

-     определить актуальность угроз в ИСПДн.

После прохождения всех шагов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.

В заключение продемонстрирую обобщенную модель угроз для СПК «Здравница» в варианте локалной ИСПДн не имеющей подключений к сетям общего пользования и и Интернет. Таким образом, актуальными угрозами безопасности ПДн в ЛИС I типа, являются:

-     угрозы от действий вредоносных программ (вирусов);

-     угрозы утраты ключей и атрибутов доступа.

Рекомендуемыми мерами по предотвращению реализации актуальных угроз, являются:

-     установка антивирусной защиты;

-     парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

-     назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;

-     инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа.

СКУ необходимо составить план и определить сроки выполнения мероприятий по устранению возможности реализации выявленных актуальных угроз. На основании полученных данных и в соответствии с моделью угроз безопасности  персональных данных, СКУ самостоятельно мажет присвоить класс конкретной специальной ИСПДн (К1 / К2 / К3 / К4) оформив это соответствующим актом классификации. В нашем конкретном примере, ИСПДн присвоен класс – К3.