Практические проблемы автоматизированной защищенной обработки персональных данных

Одной из наиболее актуальных проблем, которые сегодня требуется решать в различных учреждениях при использовании средств информатизации, является обеспечение безопасности персональных данных (ПДн).

Персональные данные представляют собой информацию ограниченного распространения, обработка которой регламентируется правовыми и нормативно-методическими документами [1, 2].

Степень конфиденциальности ПДн определяется их категорией: от максимальной – первой до минимальной – четвертой. От категории и объема ПДн во многом зависит степень защищенности автоматизированной информационной системы обработки персональных данных (ИСПДн), её класс [3]. Наиболее серьезные требования предъявляются к ИСПДн первого класса, к которым в том числе относятся ИСПДн медицинских учреждений.

В РФ предельно чётко отработан порядок работы со сведениями, составляющими государственную тайну, которые выделены в отдельную категорию информации ограниченного распространения. Для конфиденциальной информации, к которой относятся ПДн, этот порядок находится в стадии становления.

Определённые сложности в обеспечении безопасности ПДн нашли отражение в переносе на один год вступления в силу закона о ПДн. Эти сложности связаны со значительными материальными затратами на создание защищённых АС, что приводит к большой нагрузке на госбюджет, в связи с выделением дополнительных средств для, например, медицинских учреждений, как обладателей ПДн высшей категории и вследствие их огромного количества.

С вступлением в силу ФЗ «О персональных данных» [1] возникла законодательно оформленная необходимость обеспечивать защиту ПДн, обрабатываемых в различных государственных и негосударственных учреждениях.

Практический опыт в области защиты ПДн показывает, что медицинские учреждения выступают особо заинтересованными в вопросе отраслевой дифференциации и адаптации требований информационной безопасности ПДн, в силу изложенных ниже причин.

Были выявлены следующие особенности обработки ПДн в учреждениях здравоохранения, которые, в сущности, определяют типовую модель защищаемого объекта информатизации – ИСПДн медицинского учреждения:

-    персональные данные, обрабатываемые в таких ИСПДн обязательно будут относиться к первой категории ПДн, так как обрабатываются данные о состоянии здоровья граждан, а также необходимость отнесения такой ИСПДн к специальной. Вследствие этой принципиальной особенности ИСПДн медицинских учреждений, они, в какой-то мере, оказываются заложником законодательства, так как большинство организаций (особенно негосударственных) со специальными ИСПДн, обрабатывающие данные первой категории, могут, так или иначе, отказаться от обработки соответствующих данных, тем самым понизив класс ИСПДн. Однако учреждения здравоохранения, в силу своей профессиональной деятельности, приоритетно обрабатывают ПДн, связанные со здоровьем граждан, т.е. ПДн первой категории, что влечёт за собой необходимость организации дорогостоящей (ресурсозатратной) защиты информации на всех уровнях: организационном, техническом, программном;

-    в силу специфики организации в медицинских учреждениях осуществляется практически свободный доступ людей на территорию и в помещения учреждения, что создаёт практическую невозможность организации пропускного режима. Исходя из этого, граница контролируемой зоны практически всегда совпадает с границами помещений, в которых расположены элементы ИСПДн и проводится обработка ПДн;

-    существующая инфраструктура информационной системы в типовом учреждении здравоохранения предполагает существование распределенной локальной вычислительной сети (в которую объединены от одного до нескольких десятков ПЭВМ) с выходом в глобальную сеть. Чаще всего, такие локальные вычислительные сети учреждений складывались стихийно по мере подключения новых рабочих станций, поэтому структура таких сетей не отвечает требованиям по обеспечению безопасности ПДн и зачастую существенно затрудняет их выполнение;
-    медицинские учреждения области являются клиентами распределенной VPN сети с головным центром в Управлении здравоохранения области, который в свою очередь входит в сеть федерального масштаба;

-    в штате типового медицинского учреждения не предусмотрено должности специалиста по информационной безопасности. На практике, в независимости от масштабности локальной сети, обычно выделяется должность одного администратора, который выполняет также функции администратора безопасности. Системный администратор, как правило, не имеет квалификации в области защиты информации;

-    в типовой ИСПДн медицинского учреждения используется стандартный набор необходимых программных средств: операционная система Microsoft Windows XP Professional, пакет офисных программ Microsoft Office, сертифицированное антивирусное средство, и специализированные СУБД, используемые для профессиональной деятельности медицинских учреждений. СУБД в ИСПДн является ключевым системным объектом как в обработке и управлении ПДн, так и в подсистеме защиты информации, но такое программное обеспечение как правило не имеет соответствующих сертификатов ФСТЭК России и является с точки зрения защиты информации слабым, недоверенным звеном;

-    для типового медицинского учреждения характерно практически полное отсутствие внутренней организационно-распорядительной документации как в области ЗИ в целом, так и в области обеспечения безопасности ПДн в частности.

Ещё одной типовой проблемой информационной системы медучреждения является то, что образование таких систем происходило стихийно, без формирования строгой архитектуры, особенно в части касающейся защиты информации. Поэтому при создании, а точнее модификации ИСПДн, возникает проблема не только закупки и установки средств ЗИ, но и переконфигурирования системы в целом, что в период создания ИСПДн приводит к дополнительным сложностям при выполнении основной деятельности учреждения.

Приоритетным вопросом учреждений, обрабатывающих ПДн, должен стать вопрос кадровой политики в отношении персонала занимающегося обработкой и защитой ПДн. В учреждениях, обрабатывающих ПДн (в особенности, если обрабатываются ПДн первой категории) необходимо вводить новые должности специалистов по защите информации (администраторов ИБ). На такие должности необходимо назначать сотрудников, имеющих соответствующее образование в области защиты информации, либо прошедших повышение квалификации в области ЗИ. Таким образом, решение проблемы недостатка компетенции в области информационной безопасности сотрудников учреждений, обрабатывающих ПДн, решается двумя методами-обучением  имеющегося  или  набором  нового  персонала  с соответствующими навыками и образованием в области защиты информации. Список используемых источников:

4.    Российская Федерация. Законы. О персональных данных : федеральный закон №152-ФЗ : [принят Государственной Думой 08.07.06 г.].
5.    Российская Федерация. Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных : Постановление Правительства РФ №781 от 17.11.07 г.
6.    Российская Федерация. Об утверждении Порядка проведения классификации информационных систем персональных данных : приказ ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20 от 13.02.08 г.