УДК 004.056

Особенности комплексного обеспечения информационной безопасности медицинского учреждения» (на примере ГБУЗ МО «Домодедовская центральная городская больница»)

Горшков Евгений Александрович –кандидат технических наук, заведующий кафедрой Гуманитарных и естественно-научных дисциплин Балаковского филиала Российской академии народного хозяйства и государственной службы при президенте Российской Федерации.

Темрешов Асхар Букеваевич – студент кафедры Гуманитарных и естественно-научных дисциплин Балаковского филиала Российской академии народного хозяйства и государственной службы при президенте Российской Федерации.

Аннотация: В статье проводится исследование целей и функций организационной структуры отдела информационной безопасности ГБУЗ МО «ДЦГБ», а также особенности комплексного обеспечения информационной безопасности ГБУЗ МО «ДЦГБ».

Ключевые слова: ИТ- инфраструктура, информационная безопасность, критическая информационная инфраструктура, медицинское учреждение, персональные данные, информация ограниченного доступа.

Комплексное обеспечение информационной безопасности учреждения ‑ это состояние защищённости данных и объектов информатизации, при которой обеспечивается их конфиденциальность, целостность, и доступность. Современная IT-инфраструктура является не только инструментальным средством обеспечения бизнес-процессов, но и определяет степень интеграции инженерных систем и оборудования предприятия [1]. Комплексная защита информации учреждения возможно только при системном и всеобъемлющем подходе к защите ИТ-инфраструктуры.

Отдел информационной безопасности является самостоятельным структурным подразделением ГБУЗ МО «ДЦГБ». Задачей отдела информационной безопасности являются в том числе мониторинг использования общих ресурсов ИТ-инфраструктуры с целью обеспечения безопасности хранения данных и целевого их использования, а также обеспечение информационной безопасности при создании единого информационного пространства учреждения [2].

На сегодняшний день действующие штатное расписание включает в себя следующие должности: начальник отдела ‑ 1 ставка; заместитель начальника отдела ‑ 1 ставка; ведущий программист ‑ 1 ставка; программист по информационной безопасности ‑ 1 ставка; программист ‑ 4 ставки.

Взаимодействие отдела информационной безопасности со всеми подразделениями учреждения происходит по вопросам: информационных технологий; информационной безопасности; эксплуатации ИТ-инфраструктуры.

Взаимодействие отдела информационной безопасности с внешними организациями происходит по вопросам: новых продуктов и технологий; взаимодействие с поставщиками услуг Интернет, для обеспечения бесперебойной работы территориально-распределённой локально-вычислительной сети учреждения и его филиалов; взаимодействие с поставщиками оборудования и услуг в рамках эксплуатации и модернизации ИТ-инфраструктуры; приобретения необходимого оборудования и программного обеспечения и расходных материалов; информационной безопасности.

Особенностью обеспечения комплексной информационной безопасности ГБУЗ МО «ДЦГБ» является соблюдение требований регуляторов по защите информации в учреждениях здравоохранения. Учреждение является бюджетным, поэтому должно по возможности производиться импортозамещение.

При анализе ИТ-инфраструктуры было выявлено, что ведение документации и отчётности медицинской помощи происходит в государственной информационной системе «МИС», ведение документации и отчетности по кадрово-бухгалтерской деятельности происходит в государственной информационной системе «ЕИКБУС», административно-хозяйственная деятельность ведется в остальных информационных системах, и при этом сервера данных систем («МИС», «ЕИКБУС» и т.д.) расположены в центрах обмена данными принадлежащими МинГосУправлению, а взаимодействие учреждение с этими системами происходит по технологии WEB-клиент.

Так как учреждение взаимодействует с ГИС и другими системами, обрабатывая информацию ограниченного доступа, нужно соблюдать определенные требования защиты по работе в этих системах на стороне учреждения. Исходя из этого видно, что в «МИС», «ЕИКБУС» и т.д. обрабатывается разного рода информация ограниченного доступа, поэтому было принято решение на стороне учреждения на базе АРМ и локально вычислительной сети создать свои внутренние информационные системы для взаимодействия с государственными информационными системами и другими системами. По требованиям регламентирующих документов, если учреждение обрабатывает персональные данные с помощью собственных систем, которые взаимодействуют с государственными информационными системами, где храниться персональные данные, то учреждения должны аттестовать свои системы по соответствию требованиям уровня защиты персональных данных. Пояснения к уровню защищённости персональных данных в информационных системах приведены в Таблице 1.

Определения требований защиты персональных данных в информационных системах [3], выполнения которых необходимо для обеспечения соответствующих уровней защищённости персональных данных приведены в Таблице 2.

Данные для Таблиц 1 и 2 были взяты из федерального закона №152-ФЗ «О персональных данных» и постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Таблица 1. Требования к уровню защищенности ПДн в ИСПДн.

Категории ПДн

Сотрудники

оператора

Количество

субъектов

Типы актуальных угроз

I(НДВ в СПО)

II(НДВ в СПО)

III(нет НДВ)

Специальные

Нет

>100000

УЗ -1

УЗ -1

УЗ -2

Нет

<100000

УЗ -2

УЗ -3

Да

-

Биометрические

-

-

Общедоступные

Нет

>100000

УЗ -2

УЗ -4

Нет

<100000

УЗ -3

Да

-

Иные

Нет

>100000

УЗ -1

УЗ -2

УЗ -3

Нет

<100000

УЗ -3

УЗ -4

Да

-

Таблица 2. Требование для обеспечения соответствующих УЗ ПДн в ИСПДн.

Требования

Уровни защищённости

Режим обеспечения безопасности помещений, где обрабатываться персональные данные

1

2

3

4

Сохранность носителей персональных данных

+

+

+

+

Перечень лиц, допущенных к персональным данным

+

+

+

+

СЗИ, прошедшие процедуру оценки соответствия

+

+

+

+

Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн

+

+

+

-

Ограничение доступа к содержанию электронного журнала сообщений

+

+

-

-

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора к персональным данным

+

-

-

-

Структурное подразделение, ответственное за обеспечение безопасности персональных данных

+

-

-

-

Bсходя из вышесказанного, был проведен анализ внутренних систем, и к каждой из них был установлен необходимый уровень защищённости персональных данных:

  • второй уровень защищенности персональных данных в ИС «Медуслуга», обрабатываются специальные категории персональных данных, количество их субъектов больше 100000, и они не являются сотрудниками учреждения это пациенты, целью является обеспечение соблюдения федеральных законов и иных нормативных правовых актов РФ, регулирующих вопросы медицинской помощи населению, актуальные угрозы 3 типа, так как будут использоваться сертифицированные технические средства и в них не будет недокументированных возможностей устройств системного программного обеспечения и прикладного программного обеспечения;
  • четвёртый уровень защищённости персональных данных в ИС «Бух-Кадр», обрабатывается общедоступное и иные персональные данные сотрудников учреждения, актуальные угрозы 3 типа, так как будут использоваться сертифицированные технические средства и в них не будет недокументированных возможностей устройств системного программного обеспечения и прикладного программного обеспечения;
  • четвёртый уровень защищённости персональных данных в ИС «Хозяин» обрабатывается смешанные общедоступное и иные персональные данные в количестве менее 100000 субъектов, актуальные угрозы 3 типа, так как будут использоваться сертифицированные технические средства и в них не будет недокументированных возможностей устройств системного программного обеспечения и прикладного программного обеспечения.

Так же была определена классификация защищенности информационных систем согласно приказу ФСТЭК от 11 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (в статье не приведена). Данный приказ говорит, том, что есть три класса защищённости информационных систем. Класс определяется в зависимости от уровня значимости информации, обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Физические меры безопасности реализованы хорошо, во всех фиалах ведется видеонаблюдение по периметру, в крупных филиалах дежурит охрана, имеется пульт службы быстрого реагирования, установлена пожарно-охранная сигнализация, исключено нахождения посторонних лиц в местах хранения и обработки информации ограниченного доступа и работы и работы объектов КИИ (критической информационной инфраструктуры).

В результате проведенного исследования была изучена цель и функции организационной структуры отдела информационной безопасности ГБУЗ МО «ДЦГБ», была рассмотрена особенность комплексного обеспечения ГБУЗ МО «ДЦГБ» со всеми нюансами данного учреждения, из чего было выявлено, что нужно разработать комплексные административно-организационные и инженерно-технические меры защиты информации в информационных системах третьего класса защищённости и второго и четвертого уровня защиты персональных данных, и при работе с незначимыми объектами КИИ.

Список литературы

  1. Горшков, Е. А. Подходы и стандарты к формированию и совершенствованию IT-инфраструктуры предприятия / Е. А. Горшков, Е. С. Саяпин, А. В. Калинина — Текст: непосредственный // Научный аспект. -2018. - Выпуск №2, Том 2. Самара: Изд-во «Аспект» c. 215-222. ISSN: 2226-5694
  2. Федоров А. В. Информационная безопасность в мировом политическом процессе / А.В. Федоров. - М.: МГИМО-Университет, 2017. - 220 c.
  3. Петров С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2017. — 296 c.

Интересная статья? Поделись ей с другими:

Внимание, откроется в новом окне. PDFПечатьE-mail