Сегодня российские медицинские учреждения переживают период активной информатизации, перехода к комплексной автоматизации и единому информационному пространству, освоения технологий работы с электронной регистратурой и электронными медицинскими картами. Главная особенность внедряемых медицинских информационных систем (МИС) в том, что они хранят и обрабатывают конфиденциальную информацию, в том числе персональные данные пациентов, а также сведения, содержащие врачебную и коммерческую тайну. Более того, все МИС имеют жизненно важное значение независимо от того, обеспечивают ли они контроль за работой клинического и диагностического оборудования, учет и оплату лекарств и медицинских услуг или же поддержку принятия врачебных решений. Именно эти обстоятельства и диктуют самые жесткие требования к средствам защиты ИТ-инфраструктуры медучреждения и накладывают ограничения на доступ к информации.
Интерес в этом плане представляет опыт клиники «Медицина», которая внедрила систему управления информационной безопасностью (СУИБ). В этом учреждении лечится и проходит обследование около 60 тыс. постоянных пациентов, которым ежегодно предоставляется около 2,3 млн. медицинских услуг. Соответственно ежегодно образуется 2,3 млн. записей, содержащих сведения, представляющих собой врачебную тайну, которые необходимо хранить в течение длительного времени в соответствии с требованиями Минздрава. Для обработки таких огромных объемов информации в клинике реализована современная ИТ-инфраструктура, включающая 40 информационных систем, 563 рабочих места, 57 серверов и два дата-центра. Поддержанием работоспособности этого хозяйства занимаются 18 сотрудников ИТ-службы, в обязанности двух из них входит обеспечение информационной безопасности. Всего же в процесс обработки информации вовлечено 848 человек.
Первые шаги
Как рассказал инженер по ИБ клиники «Медицина» Сергей Смолин, до начала проекта в медучреждении имелась типовая с точки зрения «железа» ИТ-инфраструктура, а ИБ в корпоративной сети обеспечивалась с помощью межсетевого экрана Cisco ASA 5510. Единственный нестандартный момент — наличие выделенного Wi-Fi-сегмента.
Работа началась с обследования корпоративной системы. Оказалось, что подавляющее большинство ПО для обеспечения безопасности лишь частично соответствовало нормативным требованиям (среди них, например, подсистемы управления доступом и регистрации/учета), а некоторые программы вообще не отвечали этим требованиям (в частности, подсистемы анализа защищенности и обнаружения вторжений). «Полагаю, что подобная картина может наблюдаться в любой среднестатистической организации, — сказал г-н Смолин. — Понятно, что у всех есть подсистема управления доступом, но наверняка у большинства пользователей слабые пароли».
На следующем этапе ИТ-специалисты клиники определили, какие из имеющихся ИС наиболее важны для обеспечения безопасности. Использовалась довольно распространенная методика, позволяющая оценить ту или иную систему по простому алгоритму: обеспечивает ли она критические функции или нет, поддерживает ли критические системы, сервисы и сети или нет, управляет ли она критическими системами, сервисами и сетями или нет и т. д.
Далее необходимо было определить модели типовых угроз: нарушение конфиденциальности, целостности и доступности. Так, когда в клинике велась работа по обеспечению требований
Вместе с тем он обратил внимание на тот факт, что, как показывает практика, 90% всех проблем в сфере безопасности происходит по вине внутренних нарушителей. Причем в клинике не было случаев, чтобы сотрудники делали это злонамеренно, с целью похищения информации. Просто они заходили в Интернет в обход существующих инструкций, чтобы найти нужную им информацию или даже поиграть.
Что сделано в рамках проекта
При внедрении СУИБ выдвигались следующие основные требования. Во-первых, необходимо было минимизировать изменения, вносимые в технологические процессы обработки информации. «Любой врач в определенной степени консервативен, поэтому ему не нужно менять процесс, к которому он привык», — подчеркнул Сергей Смолин. Во-вторых, нужно было обеспечить максимально возможное использование имеющихся в ИТ-инфраструктуре основных технических средств, системного и прикладного ПО, а также средств защиты информации и ИТ-персонала, ответственного за ИБ. И наконец (данное требование специфично для медучреждения), внедряемые средства защиты не должны снижать показатели надежности медицинского оборудования, подключенного к корпоративной системе. Более того, эти средства не должны усложнять интерфейс устройств. Уровень подготовки персонала клиники в области ИТ самый разный — от продвинутых пользователей до практически полных «чайников», и это тоже приходилось учитывать.
В результате реализации проекта сегодня в «Медицине» используется подсистема управления доступом, базирующаяся на встроенных механизмах ОС Windows. При выборе средств защиты информации специалисты ИТ-службы рассматривали продукты Secret Net и «Панцирь К», но отказались от них по причине несовместимости с одним из используемых медустройств.
Для централизованного контроля, настройки и обновления механизмов безопасности продуктов Microsoft в корпоративной сети используется программное средство Net_Check. «У нас принято раз в месяц проводить сканирование компьютеров с точки зрения безопасности, после чего устанавливать на них необходимые обновления, — рассказал Сергей Смолин. — Уязвимости по большей части возникают именно из-за несвоевременной установки обновлений».
Еще один источник угроз ИБ — использование съемных носителей. Именно по этой причине на компьютерах у подавляющего большинства сотрудников клиники заблокированы USB-порты, а для управления доступом к съемным устройствам на тех ПК, где эти порты открыты (их насчитывается около 50), установлен специальный продукт DeviceLock, предохраняющий от утечек информации. Единственной проблемой здесь, по словам г-на Смолина, является утеря флэшек, но это случается крайне редко.
Регистрация событий угроз ИБ также выполняется средствами Windows путем настройки соответствующей политики аудита на ПК и серверах. А для обнаружения фактов несанкционированного доступа к информации проводится регулярный анализ журналов событий с помощью ArcSight Logger. Как считают в ИТ-службе «Медицины», преимущество данного комплекса в возможности сохранения больших объемов информации на длительный срок, поэтому при необходимости всегда можно поднять нужные документальные материалы.
Для обеспечения целостности информации в клинике используются средства той же Windows наряду с Net_Check. Сергей Смолин обратил внимание на то, что обеспечение целостности подразумевает еще и чисто физическую защиту технических средств, включающую проведение режимных мероприятий, систему видеонаблюдения и систему контроля и управления доступом (СКУД). Система видеонаблюдения установлена практически во всех коридорах клиники и фиксирует, сколько времени пациент провел в очереди (если больше 20 мин, ему выплачивается соответствующая компенсация). Важно отметить, что сам факт того, что человек зашел в кабинет специалиста, является сведением, содержащим врачебную тайну, потому записи системы видеонаблюдения также защищаются. А поскольку СКУД содержит персональные данные о пациентах, то и она защищается как любая система персональных данных.
Защита от вирусов в «Медицине» обеспечивается с помощью продуктов «Лаборатории Касперского», которые были выбраны по причине того, что это сертифицированные средства с требуемой частотой обновления. В настоящее время осуществляется переход на версию 8.0 классического антивируса с централизованным управлением.
Подсистема межсетевого экранирования основана на решении StoneGate, состоящем из программно-аппаратных брандмауэров StoneGate Firewall/VPN, устанавливаемых на периметре ИС клиники и Интернета, программных брандмауэров StoneGate IPsec VPN Client, которые устанавливаются на ПК пользователей, и сервера управления StoneGate Management Center.
Для обеспечения конфиденциальности и контроля целостности информации в клинике «Медицина» проводится криптографическая защита в процессе информационного обмена данными по незащищенным каналам связи (например, при пересылке информации, содержащей персональные данные, в страховые компании по э-почте) с помощью средства «КриптоПро». Оно позволяет контролировать доступ субъектов к операциям шифрования и криптографическим ключам и реализует криптографические алгоритмы, разработанные и рекомендованные ФСБ России.
Для анализа защищенности применяются программное решение XSpider 7.8 Professional Edition и сетевой сканер XSpider 7.8. ИТ-специалисты клиники остановили на них свой выбор исходя из необходимости минимизации затрат на внедрение и наличия у XSpider сертификата соответствия ФСТЭК России. Ежемесячно они тестируют всю систему, а некоторые наиболее критичные участки — раз в неделю. По словам Сергея Смолина, за всё время серьезных инцидентов не выявлено.
И наконец, для реализации подсистемы обнаружения вторжений было решено не закупать дополнительные средства, а использовать уже имеющийся комплекс StoneGate Firewall. С его помощью производится обнаружение и предотвращение попыток вторжения в режиме реального времени, защита от атак типа IP-spoofing (подмена адресов), блокировка или завершение запрещенных сетевых соединений, выявление атак методов контроля сигнатур, создание собственных сигнатур атак, шаблонов анализа атак и аномалий.
Говоря о затратах, г-н Смолин отметил, что для реализации проекта потребовались довольно небольшие средства, которые были затрачены в основном на добавление периметра безопасности на основе комплекса StoneGate и закупку нескольких серверов.
С чем пришлось столкнуться
Как показывает практика, в большинстве случаев наиболее сложным в реализации ИТ-проекта является не техническое внедрение тех ли иных средств, гораздо сложнее заставить наш персонал пользоваться этими средствами. Не стала исключением и клиника «Медицина», сотрудники которой выразили непонимание необходимости внедрения СУИБ вообще и формализации отдельных процессов в частности: «Это сложно, это формально, это бюрократия, это никому не нужно».
Как рассказал Сергей Смолин, придя на работу в клинику, он был приятно удивлен уровнем дисциплины сотрудников. И тем не менее при реализации проекта приходилось сталкиваться с недостаточной исполнительской дисциплиной на начальных этапах работы. Трудно было объяснить, почему нельзя, например, зайти в Интернет в обеденный перерыв.
Непонимание встречалось и среди партнеров и контрагентов, когда речь шла о необходимости соблюдения международных стандартов. Здесь также приходилось вести разъяснительную работу, в результате чего практически все договора клиники в течение последнего года были заключены в соответствии с требованиями этих стандартов.
Что дало внедрение СУИБ
Самые важные итоги проекта, по мнению заместителя директора ИТ-службы по эксплуатации клиники «Медицина» Виктора Пархоменко, — оптимизация расходов на ИБ, снижение рисков, связанных с возможным ущербом для активов компании, и снижение операционных затрат за счет формализации процессов ИБ. Внедрение СУИБ также позволило обеспечить соответствие уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса (в декабре
Результатом формализации процессов управления ИБ стало значительное снижение количества инцидентов и времени реакции на инцидент. Так, если в 2012 г. в клинике было зафиксировано 12 ИБ-инцидентов, то в 2013 г. их было уже семь (причем пять из них пришлись на первое полугодие).
Как отметил г-н Пархоменко, значительную роль в снижении числа нарушений играет постоянный контроль за пользователями и информирование их о таком контроле. Важно, что внедрение СУИБ позволило обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования, использование посторонних неинсталлируемых приложений. «Внедрив все процедуры, нам удалось победить такую сложную вещь, как использование неинсталлированных игр, — добавил Сергей Смолин. — Когда мы только начали проводить контроль, то смогли выявить около пяти человек. Выборочный контроль и оповещение сотрудников, что такого-то числа один из них играл за своим компьютеров в такую-то игру, позволил наглядно продемонстрировать всем, что все их действия видимы».
Впереди у клиники «Медицина» еще большой объем работ в области защиты персональных данных пациентов. Так, по словам президента клиники, академика РАН Григория Ройтберга, сегодня еще не решены многие острые проблемы, связанные с ИБ. Например, если пациента в клинику направляет страховая компания, то она обязана получить у него согласие на работу своих экспертов с его медицинской картой. Однако на деле таких разрешений у страховщиков нет, а это означает, что юридически уязвимы не только они, но и медицинские организации, с которыми они работают.