Разработка DLP-системы медицинского учреждения

· низкочастотный 10 - 1 км (30 - 300 кГц);

· среднечастотный 1 км - 100 м (300 кГц - 3МГц);

· высокочастотный 100 - 10 м (3 - 30 МГц);

· ультравысокочастотный 10 - 1м (30 - 300 МГц);

· и т.д. до сверхвысокочастотного 3 - 30 ГГц (10 - 1 см).

Носителями информации в акустическом канале являются упругие акустические волны, распространяющиеся в среде. Здесь различают:

· инфразвуковой диапазон 1500 - 75 м (1 - 20 Гц);

· нижний звуковой 150 - 5 м (1- 300 Гц);

· звуковой 5 - 0,2 м (300 - 16000 Гц);

· ультразвуковой от 16000 Гц до 4 МГц.

В материально-вещественном канале утечка информации производится путем несанкционированного распространения за пределы контролируемой зоны вещественных носителей с защищаемой информацией. В качестве вещественных носителей чаще всего выступают черновики документов и использованная копировальная бумага.

Каналы утечки информации можно также классифицировать по информативности на информативные, малоинформативные и неинформативные. Информативность канала оценивается ценностью информации, которая передается по каналу.

По времени проявления каналы делятся на постоянные, периодические и эпизодические. В постоянном канале утечка информации носит достаточно регулярный характер. К эпизодическим каналам относятся каналы, утечка информации в которых имеет случайный разовый характер.

В результате реализации технических каналов утечки информации, возможно возникновение следующих угроз:

· угроза утечки акустической информации;

· угроза утечки видовой информации;

· угроза утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН).

Канал утечки информации, состоящий из передатчика, среды распространения и приемника, является одноканальным. Однако возможны варианты, когда утечка информации происходит более сложным путем - по нескольким последовательным или параллельным каналам. При этом используется свойство информации переписываться с одного носителя на другой. Например, если в кабинете ведется конфиденциальный разговор, то утечка возможна не только по акустическому каналу через стены, двери, окна, но и по оптическому - путем съема информации лазерным лучом со стекла окна или по радиоэлектронному с использованием установленной в кабинете радиозакладки. В двух последних вариантах образуется составной канал, состоящий из последовательно соединенных акустического и оптического (на лазерном луче) или акустического и радиоэлектронного (радиозакладка - среда распространения - радиоприемник) каналов.

1.7 Инсайдерские угрозы

Инсайдерские угрозы -- это вредоносные для организации угрозы, которые исходят от людей внутри организации, таких как работники, бывшие работники, подрядчики или деловые партнеры, у которых есть информация о методах безопасности внутри организации, данных и компьютерных системах. Угроза может включать мошенничества, кражи конфиденциальной и коммерчески ценной информации, воровство интеллектуальной собственности, либо саботаж компьютерных систем.

Инсайдеры могут иметь пароли, дающие им законный доступ к компьютерным системам, который был им дан для выполнения своих обязанностей, такие разрешения могут быть использованы во вред организации. Инсайдеры часто знакомятся с данными и интеллектуальной собственностью организации, а также с применяемыми методами их защиты. Это упрощает инсайдеру обходить известные ему контроли безопасности. Физическая близость к данным означает, что инсайдерам не нужно взламывать организационную сеть через внешний периметр путём обхода брандмауэров, скорее они уже находятся в здании, часто с прямым доступом к внутренней сети организации. От внутренних угроз труднее защищаться, чем от посторонних, так как инсайдер имеет законный доступ к информации и активам организации.

Инсайдер может попытаться украсть имущество и информацию в личных интересах или в интересах другой организации или страны. Угроза организации может также проводиться посредством вредоносных программ, оставленных на своих компьютерных системах бывшими сотрудниками, так называемая логическая бомба.

конфиденциальность информационный персональный программный

1.8 Защита от утечек конфиденциальной информации (Data Loss Prevention - DLP)

Системы защиты ценных данных существовали с момента их появления. В течение веков эти системы развивались и эволюционировали вместе с человечеством. С началом компьютерной эры и переходом цивилизации в постиндустриальную эпоху, информация постепенно стала главной ценностью государств, организаций и даже частных лиц. А основным инструментом её хранения и обработки стали компьютерные системы.

Государства всегда защищали свои секреты, но у государств свои средства и методы, которые, как правило, не оказывали влияния на формирование рынка. В постиндустриальную эпоху частыми жертвами компьютерной утечки ценной информации стали банки и другие кредитно-финансовые организации. Мировая банковская система первой стала нуждаться в законодательной защите своей информации. Необходимость защиты частной жизни осознали и в медицине. Вслед за растущим спросом стали появляться компании, предлагавшие первые DLP_системы.

Общепринятых расшифровок термина DLP несколько: Data Loss Prevention, Data Leak Prevention или Data Leakage Protection, что можно перевести на русский как «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных». Этот термин получил широкое распространение и закрепился на рынке примерно в 2006 году. А первые DLP_системы возникли несколько раньше именно как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации, опознаваемой по ключевым словам или выражениям и по заранее созданным цифровым «отпечаткам» конфиденциальных документов.

Дальнейшее развитие DLP_систем определялось инцидентами, с одной стороны, и законодательными актами государств, с другой. Постепенно, потребности по защите от различных видов угроз привели компании к необходимости создания комплексных систем защиты. В настоящее время, развитые DLP_продукты, кроме непосредственно защиты от утечки данных, обеспечивают защиту от внутренних и даже внешних угроз, учёт рабочего времени сотрудников, контроль всех их действий на рабочих станциях, включая удалённую работу.

При этом, блокирование передачи конфиденциальных данных, каноническая функция DLP-систем, стала отсутствовать в некоторых современных решениях, относимых разработчиками к этому рынку. Такие решения подходят исключительно для мониторинга корпоративной информационной среды, но в результате манипуляции терминологией стали именоваться DLP и относиться в этому рынку в широком понимании.

В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.

Помимо развития собственной функциональности, современные DLP_системы предоставляют широкие возможности по интеграции с различными смежными и даже с конкурирующими продуктами. Дальнейшее развитие DLP_систем ведет к их интеграции с IDS/IPS-продуктами, SIEM_решениями, системами документооборота и защите рабочих станций.

DLP_системы различают по способу обнаружения утечки данных:

· при использовании (Data-in_Use) -- на рабочем месте пользователя;

· при передаче (Data-in_Motion) -- в сети компании;

· при хранении (Data-at_Rest) -- на серверах и рабочих станциях компании.

DLP_системы могут распознавать критичные документы:

· по формальным признакам -- это надёжно, но требует предварительной регистрации документов в системе;

· по анализу содержимого -- это может давать ложные срабатывания, но позволяет обнаруживать критичную информацию в составе любых документов.

Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLP_систем. Современный рынок предъявляет к этим системам следующие требования:

· поддержка нескольких способов обнаружения утечки данных (Data in_Use, Data -in_Motion, Data-at_Rest);

· поддержка всех популярных сетевых протоколов передачи данных: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, различных P2P_протоколов;

· наличие встроенного справочника веб-сайтов и корректная обработка передаваемого на них трафика (веб-почта, социальные сети, форумы, блоги, сайты поиска работы и т.д.);

· желательна поддержка туннелирующих протоколов: VLAN, MPLS, PPPoE, и им подобных;

· прозрачный контроль защищенных SSL/TLS протоколов: HTTPS, FTPS, SMTPS и других;

· поддержка протоколов VoIP_телефонии: SIP, SDP, H.323, T.38, MGCP, SKINNY и других;

· наличие гибридного анализа -- поддержки нескольких методов распознавания ценной информации: по формальным признакам, по ключевым словам, по совпадению содержимого с регулярным выражением, на основе морфологического анализа;

· желательна возможность избирательного блокирования передачи критически важной информации по любому контролируемому каналу в режиме реального времени; избирательного блокирования (для отдельных пользователей, групп или устройств);

· желательна возможность контроля действий пользователя над критичными документами: просмотр, печать, копирование на внешние носители;

· желательна возможность контролировать сетевые протоколы работы с почтовыми серверами Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync и т.д. для анализа и блокировки сообщений в реальном времени по протоколам: (MAPI, S/MIME, NNTP, SIP и т.д.);

· желателен перехват, запись и распознавание голосового трафика: Skype, IP-телефония, Microsoft Lync;

· наличие модуля распознавания графики (OCR) и анализа содержимого; поддержка анализа документов на нескольких языках;

· ведение подробных архивов и журналов для удобства расследования инцидентов;

· желательно наличие развитых средств анализа событий и их связей;

· возможность построения различной отчётности, включая графические отчеты.

Благодаря новым тенденциям в развитии информационных технологий, становятся востребованными и новые функции DLP_продуктов. С широким распространением виртуализации в корпоративных информационных системах появилась необходимость её поддержки и в DLP_решениях. Повсеместное использование мобильных устройств как инструмента ведения бизнеса послужило стимулом для возникновения мобильного DLP. Создание как корпоративных, так и публичных «облаков» потребовало их защиты, в том числе и DLP_системами. И, как логичное продолжение, привело к появлению «облачных» сервисов информационной безопасности (security as a service -- SECaaS).

Современная система защиты от утечки информации, как правило, является распределённым программно_аппаратным комплексом, состоящим из большого числа модулей различного назначения. Часть модулей функционирует на выделенных серверах, часть -- на рабочих станциях сотрудников компании, часть -- на рабочих местах сотрудников службы безопасности.

Выделенные сервера могут потребоваться для таких модулей как база данных и, иногда, для модулей анализа информации. Эти модули, по сути, являются ядром и без них не обходится ни одна DLP_система.

База данных необходима для хранения информации, начиная от правил контроля и подробной информации об инцидентах и заканчивая всеми документами, попавшими в поле зрения системы за определённый период. В некоторых случаях, система даже может хранить копию всего сетевого трафика компании, перехваченного в течение заданного периода времени.

Модули анализа информации отвечают за анализ текстов, извлечённых другими модулями из различных источников: сетевой трафик, документы на любых устройствах хранения информации в пределах компании. В некоторых системах есть возможность извлечения текста из изображений и распознавание перехваченных голосовых сообщений. Все анализируемые тексты сопоставляются с заранее заданными правилами и отмечаются соответствующим образом при обнаружении совпадения.

Для контроля действий сотрудников на их рабочие станции могут быть установлены специальные агенты. Такой агент должен быть защищён от вмешательства пользователя в свою работу (на практике это не всегда так) и может вести как пассивное наблюдение за его действиями, так и активно препятствовать тем из них, которые пользователю запрещены политикой безопасности компании. Перечень контролируемых действий может ограничиваться входом/выходом пользователя из системы и подключением USB_устройств, а может включать перехват и блокировку сетевых протоколов, теневое копирование документов на любые внешние носители, печать документов на локальные и сетевые принтеры, передачу информации по Wi_Fi и Bluetooth и много другое. Некоторые DLP-системы способны записывать все нажатия на клавиатуре (key_logging) и сохранять копий экрана (screen_shots), но это выходит за рамки общепринятых практик.

Обычно, в составе DLP-системы присутствует модуль управления, предназначенный для мониторинга работы системы и её администрирования. Этот модуль позволяет следить за работоспособностью всех других модулей системы и производить их настройку.

Для удобства работы аналитика службы безопасности в DLP-системе может быть отдельный модуль, позволяющий настраивать политику безопасности компании, отслеживать её нарушения, проводить их детальное расследование и формировать необходимую отчётность. Как ни странно, при прочих равных именно возможности анализа инцидентов, проведения полноценного расследования и отчетность выходят на первый план по важности в современной DLP-системе.

Основные функции DLP-систем:

· Контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;

· Контроль сохранения информации на внешние носители - CD, DVD, flash, мобильные телефоны и т.п.;

· Защита информации от утечки путем контроля вывода данных на печать;

· Блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов ИБ об инцидентах, создание теневых копий, использование карантинной папки;

· Поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;

· Предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.

Обычно система класса DLP включает следующие компоненты:

· Центр управления и мониторинга;

· Агенты на рабочих станциях пользователей;

· Сетевой шлюз DLP, устанавливаемый на Интернет-периметр.

Результат применения решения:

· Предотвращение утечек и несанкционированной передачи конфиденциальной информации;

· Минимизация рисков финансового и репутационного ущерба;

· Повышение дисциплины пользователей;

· Материал для расследования инцидентов и их последствий;

· Ликвидация угроз безопасности персональных данных, соответствие требованиям по защите персональных данных.

2. Особенности обеспечения защиты персональных данных в учреждениях здравоохранения

Практически ни одно медицинское учреждение - государственное, муниципальное или частное - не обходится в своей деятельности без использования компьютеров для обработки персональных данных (ПДн) пациентов и медработников. Это влечет за собой необходимость организации защиты ПДн в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности ПДн в информационных системах медицинских учреждений - это не только выполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", но и комплекса мероприятий по охране врачебной тайны, понятие которой устанавливается "Основами законодательства Российской Федерации об охране здоровья граждан" (№ 5487-1 от 22.07.1993 г.).

В большинстве лечебно-профилактических учреждений (ЛПУ) информационные системы создавались без учета требований по защите ПДн и врачебной тайны. Поэтому перед такими учреждениями здравоохранения встает проблема создания соответствующей всем нормативным требованиям интегрированный системы защиты для уже существующих информационных систем, либо перехода к применению новых информационных систем персональных данных (ИСПДн) с реализованными функциями защиты.

Правовыми основаниями для обработки персональных данных пациентов медицинского учреждения являются:

· "Основы законодательства Российской Федерации об охране здоровья граждан" (№ 5487-1 от 22.07.1993 г.);

· Закон РФ "О донорстве крови и ее компонентов";

· Приказ Минздрава "Об утверждении форм первичной медицинской документации учреждений здравоохранения";

· Приказ Минздрава "Об утверждении учетной и отчетной медицинской документации";

· Приказ Минздрава " Об утверждении форм первичной медицинской документации для учреждений службы крови";

· Приказ Минздрава "Об утверждении порядка медицинского обследования договора крови и ее компонентов";

· и другие.

Правовыми основаниями для обработки персональных данных работников медицинского учреждения являются:

· Трудовой кодекс РФ (Глава 14);

· Постановление Госкомстата РФ от 05.01.2004 г. № 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты";

· "Основы законодательства Российской Федерации об охране здоровья граждан" (№ 5487-1 от 22.07.1993 г.);

· Сроки обработки ПДн в ЛПУ, как правило, определятся вышеуказанными приказами Минздрава, Госкомстата, а также приказом "О введении в действие положения о медицинском архиве лечебного учреждения".

При обработке ПДн пациентов медицинских учреждений следует учитывать, что Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (например, когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).

Характерной особенностью организации обработки ПДн в ЛПУ является то обстоятельство, что "Основы законодательства РФ об охране здоровья граждан" (ст.31) требуют предусмотреть в ИСПДн возможность предоставления пациенту в доступной для него форме информации о состоянии здоровья, включая сведения о результатах обследования, наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ним риске, возможных вариантах медицинского вмешательства, их последствия и результатах проведенного лечения. Это требование вполне соотносится с положениями ст.143 Федерального закона "О персональных данных", определяющей право субъекта на доступ к своим ПДн. Так же следует обеспечить возможность информирования пациентов о способах и сроках обработки и хранения ПДн, а также лицах, имеющих к ним доступ.

Для обеспечения безопасности ПДн пациентов медицинских учреждений необходимы не только технические, но и организационные меры защиты. Особенность обработки ПДн заключается так же в том, что передача сведений, составляющих врачебную тайну, разрешена только с согласия пациента, за исключением случаев, предусмотренных ст. 61 "Основ законодательства РФ об охране здоровья граждан" (аналогичное требование ст. 6 Федерального закона "О персональных данных").

Техническая составляющая системы защиты персональных данных в медицинских учреждениях создается в соответствии с требованиями руководящих и методических документов регуляторов. В большинстве случаев состав угроз информационной безопасности требует применения более широкого класса механизмов безопасности, нежели это предусмотрено руководящими и методическими документами (поскольку часто, помимо собственно ПДн, предусматривается защита иных категорий конфиденциальной информации). В таких случаях осуществляется разработка системы защиты ПДн в составе более масштабной комплексной системы обеспечения информационной безопасности, реализующей дополнительные требования по обеспечению защиты информации. Объединение в одном проекте системы защиты персональных данных и комплексной системы обеспечения информационной безопасности позволяет более рационально осуществлять инвестиции в защиту информации.

А теперь остановимся подробнее на обязанностях лечебных учреждений -- операторов обработки персональных данных. При сборе персональных данных они обязаны предоставить пациенту по его просьбе следующую информацию:

· Подтверждение факта обработки персональных данных оператором, а также цель данной обработки;

· Способы обработки персональных данных, применяемые оператором;

· Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

· Перечень обрабатываемых персональных данных и источник их получения;

· Сроки обработки персональных данных, в т. ч. сроки их хранения;

· Сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его персональных данных;

· Разъяснения последствий его отказа в предоставлении своих персональных данных в случае, если это установлено в качестве обязанности субъекта федеральным законом.

Если персональные данные были получены не от субъекта персональных данных, оператор до начала их обработки обязан предоставить субъекту следующую информацию:

· Наименование (фамилия, имя, отчество) и адрес оператора или его представителя, от которого были получены данные;

· Цель обработки персональных данных и ее правовое основание;

· Предполагаемые пользователи персональных данных;

· Установленные права субъекта персональных данных.

3. Медицинский центр "Фортуна"

Частный медицинский центр «Фортуна» является многопрофильным лечебно-диагностическим центром. Он располагает квалифицированным штатом врачей и современным специализированным оборудованием. Благодаря высокой профессиональной подготовке врачей клиники и современному уровню управления, уже более 10 лет ООО «Фортуна» имеет прочную репутацию лидирующего учреждения Самары и Самарской области в сфере платной медицины.

До 2004 года Красноглинский район г.о. Самара не располагал ни одним частным лечебно-диагностическим центром. Мы стали первыми. Открывшись, медицинская клиника предложила пациентам целый спектр платных услуг в области диагностики и лечения.

Юридическим основанием работы клиники «Фортуна» является лицензия № ЛО 63-01-003181 от 25 мая 2015 года, выданная Министерством здравоохранения и социального развития Самарской области.

Медицинский центр «Фортуна» оказывает пациентам полный спектр услуг. Каждый день в современно оснащенных кабинетах вас с улыбкой ожидают высококвалифицированные и гостеприимные врачи, готовые внимательно проанализировать ваше состояние и предложить оптимальное лечение.

Наша история:

· 22 февраля 2004 г. -- открытие первого подразделения в Красноглинском районе г. о. Самара;

· 2006 г. -- стали победителями в номинации «Социально ответственный бизнес в Красноглинском районе» в ходе проведения акции «Народное признание»;

· 2007 г. -- медицинский центр начинает издавать собственную бесплатную газету «Жигулевские Ворота» для жителей Красноглинского района;

· 2009 г. -- в рейтинге независимого исследования журнала «Деловой квартал» заняли ведущие позиции по показателям «Лидеры по врачам», «Лидеры по клиентам»;

· 2011 г. -- ООО «Фортуна» в лице генерального директора Ерхова С.А. награждено дипломом «Лучший страхователь по обязательному медицинскому страхованию» за 2011 г.;

· 2012 г. -- открытие нового подразделения в Советском районе г. о. Самара;

· 2013 г. -- создание нового отдела по работе с корпоративными клиентами. Клиенты ООО «Фортуна» -- более 300 организаций, это ведущие предприятия Самары и области ;

· 2014 г. -- в юбилейный для «Фортуны» год произведен ремонт помещения, закуплено новое современное медицинское оборудование.

Мы сегодня:

В ООО «Фортуна» работают 38 медицинских работников, из них -- 30 врачей. Мы гордимся своими врачами! Это опытные высококвалифицированные специалисты, работающие в центре на постоянной основе. В компании предусмотрено регулярное повышение квалификации врачебного и медсестринского персонала.

Уникальная система мотивации оценивает деятельность персонала не по объему оказанных услуг, а по их качеству, что позволяет нашим пациентам оптимизировать свои расходы и экономить время на лечение. За 2014 год мы приняли более 50000 пациентов -- нам доверяют.

ООО «Фортуна» оснащено современным медицинским оборудованием, что позволяет с высокой точностью проводить обследования и осуществлять диагностику заболеваний.

Уютный интерьер, отсутствие очередей, гостеприимный сервис -- это забота о вашем комфорте.

3.1 План здания

План здания ООО «Фортуна» представлен на рис.3.1 и рис.3.2.

Рис. 3.1 - План 1 этажа

Рис. 3.2 - План 2 этажа

3.2 Структура организации

Рассматриваемая организация представляет собой частную клинику, предоставляющую следующие услуги обследования пациентов:

· Прием врачей общего профиля (терапевт, педиатр);

· Прием узких специалистов (ЛОР, Офтальмолог, Гинеколог, Невролог, Онколог и пр.);

· УЗИ диагностика;

· Рентген - диагностика;

· Лабораторные исследования.

В клинике существуют следующие подразделения и персонал:

1) Администрация:

· Директор;

· Секретарь;

· Отдел кадров;

· Бухгалтерия.

2) Инженерная служба:

· Главный инженер;

· Электрики;

· Слесаря;

· Инженер по медицинскому оборудованию;

· Инженер по вентиляции.

3) Хозяйственная служба:

· Заведующий хозяйственной службой;

· Инженер по ремонту;

· Гардеробщик;

· Дворник;

· Кладовщик;

· Уборщицы;

· Вахтер.

4) Отдел информатизации:

· Начальник отдела информатизации;

· Инженер-программист;

· Системный администратор;

· Инженер - электроник;

· Техник.

5) Медицинский персонал:

· Врачи;

· Медсестры;

· Сестра-хозяйка;

· Медицинские регистраторы;

· Лаборанты;

· Санитарки.

Клиника представляет собой двухэтажное здание, с двумя входами (основной и технический) и одной лестницей (Приложение 1). На первом этаже расположены холл, комната ожидания, регистратура, кабинеты врачей, лаборатория, кабинеты УЗИ и рентген-кабинет, комната персонала, санузлы, технические и складские помещения. Второй этаж - административный, он включает кабинеты сотрудников, конференц-зал, серверные, санузлы, технические и складские помещения.

3.3 Информационная структура организации

Структура ЛВС.

Локально-вычислительная сеть в организации построена по следующей схеме (Рис. 3.3).



Рис. 3.3 - Схема локально-вычислительной сети в организации

Локальная сеть (LAN) включает в себя:

· Сервера;

· Компьютеры на рабочих местах;

· Коммутатор;

· Шлюз для выхода в интернет.

Структура данных, обрабатываемых организацией.

Как медицинское учреждение данная организация ведет обработку следующих типов данных:

Конфиденциальные данные:

1) Персональные данные (ПД) пациентов:

ФИО, дата рождения, адрес регистрации, паспортные данные, данные страхования (Полис, СМО), код ЛПУ базового, сведения об инвалидности (если есть), дата визита, протокол посещения, номер амбулаторной карты и т.д.;

2) Персональные данные сотрудников организации:

ФИО, дата рождения, адрес регистрации, паспортные данные, личный номер врача, внутренний номер врача и т.д.

Не конфиденциальные данные:

1) Все данные, доступные для общего пользования (адрес организации, контактные данные, реквизиты, расписания приема, рекламные и информационные данные об организации и т.д.).

Данные для служебного пользования:

1) К этим данным относятся все виды служебных данных в организации (приказы, договора, статистика и т.д.).

3.4 Информационные системы обработки данных

Неавтоматизированная информационная система.

Эта информационная система (ИС) представляет собой обработку и хранение документации на бумажном носителе. В данной системе обрабатываются следующие данные:

· Персональные данные пациентов (медицинские карты пациентов, копии документов, договора и пр.);

· Персональные данные сотрудников (личные дела, приказы, договоры, копии документов и пр.);

· Данные для служебного пользования;

· Данные для общего пользования (расписания приема, рекламные и информационные буклеты, и т.д.).

Автоматизированная медицинская информационная система (МИС).

В МИС обрабатываются следующие данные:

1) Персональные данные пациентов:

ФИО, дата рождения, адрес регистрации, паспортные данные, данные страхования (Полис, СМО), код ЛПУ базового, сведения об инвалидности (если есть), дата визита, внутренний код врача на приеме, код оказанных услуг, протокол посещения, номер амбулаторной карты и т.д.

2) Персональные данные сотрудников:

ФИО, личный номер врача, внутренний номер врача.

3) Данные для служебного пользования (н-р, структура организации, штатное расписание);

4) Данные для общего пользования (н-р, расписания приема).

Цель обработки персональных данных в МИС - оказание медицинской помощи субъектам (пациентам). МИС является клиент-серверным приложением.

В работе используются следующие каналы связи:

· Внутренняя ЛВС;

· Сеть Интернет.

Данные из МИС передаются в вышестоящие организации (Минздрав, ТФОМС, МИАЦ, Страховые организации и пр.) по незащищенному каналу.

К средствам создания и обработки данных необходимо отнести:

· Программное обеспечение МИС, СУБД;

· Персональные компьютеры, сервер.

Объектами угроз являются: программное обеспечение МИС, персональные компьютеры, ЛВС, сервер.

Режим обработки предусматривает следующие действия с данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Автоматизированная административно-хозяйственная информационная система (АХИС)

В АХИС обрабатываются следующие типы данных:

1) Персональные данные сотрудников:

ФИО, дата и место рождения, адрес прописки и регистрации, паспортные данные, СНИЛС, сведения о доходах, телефон, кадровые приказы, страховые данные, пенсионные данные, налоговые данные и пр.

2) Данные для служебного пользования:

Складская логистика, кадровые данные, бухгалтерские данные, приказы, выгрузки в банки, ИФНС, ПФР, данные контрагентов и т.д.

Цель обработки данных в АХИС - ведения кадрового учета сотрудников, ведения бухгалтерского учета в организации, автоматизирования складского учета, автоматизации электронного документооборота между организациями (банки, ИФНС, ПФР, Минздрав и пр.)

АХИС является клиент-серверным приложением. В работе используются следующие каналы связи:

· Внутренняя ЛВС;

· Сеть Интернет.

Данные из АХИС передаются в сторонние организации (банки, ИФНС, ПФР, Минздрав и пр.) по незащищенному каналу.

К средствам создания и обработки данных необходимо отнести:

· Программное обеспечение АХИС, СУБД;

· Персональные компьютеры, сервер.

Объектами угроз являются: программное обеспечение АХИС, персональные компьютеры, ЛВС, сервер.

АХИС содержит следующие модули:

· Модуль Кадры;

· Модуль Бухгалтерия;

· Модуль Склад.

Режим обработки предусматривает следующие действия с данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

4. Анализ угроз безопасности

4.1 Модели нарушителей безопасности

Для анализа возможных угроз безопасности в данной организации определим основные модели нарушителей.

Существуют два типа нарушителей - внешние и внутренние.

Внешние нарушители.

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в организации, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных на утечку информации по техническим каналам.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Внутренние нарушители.

К внутренним нарушителям можно отнести:

· Сотрудников отдела информатизации;

· Пользователей информационных систем (ИС);

· Пользователей, являющихся внешними по отношению к конкретной ИС (администрация, тех. персонал и т.д.);

· Сотрудников организации, имеющих санкционированный доступ в служебных целях в помещения, в которых размещаются элементы ИС, но не имеющие права доступа к ним (технический персонал, хозяйственный персонал).

Сотрудники отдела информатизации потенциально могут реализовывать угрозы информационной безопасности(ИБ), используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИС, а также к техническим и программным средствам ИС, включая средства защиты, используемые в конкретных ИС, в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИС в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

Предполагается, что в число сотрудников отдела информатизации будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что все остальные лица относятся к вероятным нарушителям.

4.2 Определение актуальных угроз безопасности

Составим перечень угроз безопасности для рассматриваемой организации согласно базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, предоставленной ФСТЭК. Проведем анализ этих угроз на актуальность по методике определения актуальных угроз безопасности, предоставленной ФСТЭК.

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Для рассматриваемой организации исходный уровень защищенности (согласно показателям в методике) представлен в таблице 4.1.

Таблица 4.1. Исходный уровень защищенности

Технические и эксплуатационные характеристики	Уровень защищенности
1. По территориальному размещению	Высокий
2. По наличию соединения с сетями общего пользования	Средний
3. По встроенным (легальным) операциям с записями баз ПДн	Низкий
4. По разграничению доступа к персональным данным	Средний
5. По наличию соединений с другими базами ПДн иных ИСПДн	Высокий
6. По уровню (обезличивания) ПДн	Низкий
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки	Высокий

Таким образом ИСПДн в рассматриваемой организации имеет средний уровень исходной защищенности. Показатель исходной защищенности Y1= 5.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий. Насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2 , а именно:

0- для маловероятной угрозы;

2- для низкой вероятности угрозы;

5 - для средней вероятности угрозы;

10 - для высокой вероятности угрозы.

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением Y (Y1 Y2 )/ 20.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если 0 Y 0,3 , то возможность реализации угрозы признается низкой;

если 0,3 Y 0,6 , то возможность реализации угрозы признается средней; если 0,6 Y 0,8 , то возможность реализации угрозы признается высокой; если Y 0,8 , то возможность реализации угрозы признается очень высокой.

При оценке опасности каждой угрозы на основе опроса экспертов (в данной организации, это начальник и сотрудники отдела ИБ) определяется вербальный показатель опасности для рассматриваемой ИСПДн.

Этот показатель имеет три значения:

- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Правила определения актуальности угрозы приведены в таблице 4.2.

Таблица 4.2. Правила определения актуальности угрозы

Возможность реализации угрозы	Показатель опасности угрозы
	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

5. DLP-система как набор мероприятий по устранению угроз безопасности

В связи с проведенным анализом угроз безопасности необходимо построить DLP систему мероприятий по устранению вероятных угроз. Основные мероприятия указаны в схеме (см. Рис. 5.1).

Рис. 5.1 - Схема DLP системы мероприятий

В основе лежат три вида вносимых изменений:

· Организационные изменения;

· Техническое оснащение;

· Внедрение системы защиты ЛВС и ИС.

5.1 Организационные изменения

Изменения в структуре организации.

Для организации безопасности в клинике необходимо создать следующие подразделения и должности:

1) Должность заместителя директора по безопасности, являющегося ответственным лицом за безопасность в организации.

2) Отдел безопасности (Начальник отдела, охранники), выполняющий следующие функции:

Охрана входов в здание:

· Контроль над системой охранной сигнализации;

· Мониторинг системы видеонаблюдения;

· Контроль входящих лиц;

· Проверка вносимых/выносимых предметов, документов;

· Выдача ключей персоналу;

· Ведение журналов;

· Отчетность перед зам. директора по безопасности.

3) Отдел информационной безопасности (Начальник отдела - лицо, ответственное за информационную безопасность; инженер по безопасности), выполняющий следующие функции:

· Создание рабочей документации по безопасности (приказы, инструкции, предписания, шаблоны журналов);

· Ведение журналов безопасности (выдачи ЭЦП, регистрация инцидентов, учет носителей охраняемых данных и пр.);

· Контроль выпуска и настройки электронных ключ-карт, ЭЦП;

· Учет носителей информации;

· Выдача учетных записей пользователей ИС;

· Введение в эксплуатацию новых систем защиты информации;

· Контроль над имеющимися системами защиты информации (антивирус, резервное копирование и пр.);

· Контроль бесперебойной работы ЛВС;

· Проведение регламентных проверок;

· Отчетность перед зам. директора по безопасности;

· Отчетность перед контролирующими органами.

4) Комиссия по расследованию инцидентов безопасности (В составе - зам. директор по безопасности, начальник отдела безопасности и начальник отдела информационной безопасности).

Создание рабочей документации по безопасности.

Отделом информационной безопасности совместно с отделом безопасности должна быть создана следующая рабочая документация:

· Политика безопасности;

· Регламент взаимодействия с субъектами персональных данных и организации обработки персональных данных в информационных системах;

· Приказы о назначении ответственных лиц;

· Приказ о введении контрольно-пропускной системы;

· Приказ о запрещенных ко вносу в организацию носителей информации (телефонов, ноутбуков, планшетов, флэш-носителей, внешних жестких дисках и т.д.);

· Приказ о разграничении доступа на административный этаж, в кабинеты и технические помещения;

· Приказы по техническим изменениям и контролю за ИС;

· Журналы безопасности: учета носителей, выдаче/сдаче личных ключ-карт и т.д.;

· Инструкции: пользователей ЛВС, о выдаче/сдаче личных ключ-карт, антивирусной защиты, парольной защите, по порядку учета, использования и уничтожения носителей данных, резервного копирования и т.д.

5.2 Техническое оснащение

После введения рабочей документации и назначения ответственных за безопасность лиц необходимо соответствующее материально-техническое оснащение.

Создание защищенного периметра организации.

1) Установка системы охранной сигнализации;

2) Оборудование контрольно-пропускного пункта (КПП):

· Оборудование места охранника;

· Оборудования хранилища временно изъятых носителей информации, запрещенных к проносу в здание;

· Установка сейфа для хранения ключей (ключ-карт);

· Обеспечение журналами для регистрации получения/сдачи ключей сотрудниками;

· Обеспечение журналами для регистрации сдачи/ получения временно изъятых носителей информации, запрещенных к проносу в здание;

· Установка турникета на проход в холл.

3) Оборудование лестницы на второй административный этаж дополнительной дверью с электронным замком, разграничивающим доступ (только сотрудники);

4) Оборудование запасного входа дополнительной дверью с электронным замком, разграничивающим доступ (только охрана, завхоз и кладовщик);

5) Установка системы видеонаблюдения:

· Установка камер в коридорах и на входах;

· Установка мониторов наблюдения на посту охраны, в кабинете отдела безопасности;

· Установка оборудования для записи и хранения видео с камер в серверной.

6) Установка системы электронных дверных замков:

· Установка электронных замков на все двери в здании;

· Выпуск именных электронных ключ-карт для сотрудников;

· Настройка разграниченного доступ к дверям;

· Регистрация получения / сдачи ключ-карт сотрудниками на КПП под запись в журнале (таким образом также контролируется время нахождения сотрудников в здании).

7) Установка устройств контроля вскрытия на особо охраняемые помещения (серверная, коммутаторная, помещения с защищенными хранилищами).

Обеспечение защищенного хранения.

· Создание перечня защищаемых предметов (носители информации, содержащие конфиденциальные данные; ключ-карты с ЭЦП; ключи и электронные ключ-карты от помещений);

· Установка защищенные хранилища (сейфы, несгораемые шкафы);

· Установка устройств контроля вскрытия на особо охраняемые помещения (серверная, коммутаторная, помещения с защищенными хранилищами);

· Назначение лиц, ответственных за ключи от защищенных хранилищ;

· Обеспечение учета ключей от хранилищ (ведение журнала выдачи, несъемные номерные брелоки);

· Хранение дубликатов ключей у ответственного за безопасность организации.

5.3 Подготовка к внедрению системы защиты ЛВС

Для внедрения системы защиты ЛВС необходимы следующие изменения:

Реорганизация ЛВС;

Реорганизация рабочих мест пользователей.

Реорганизация ЛВС

Согласно обновленной схеме ЛВС (см. Рис. 5.2), были сделаны следующие изменения:



Рис. 5.2 - Обновленная схема ЛВС

· Установка межсетевого экрана для выхода в интернет (поиск информации, обновление ПО, взаимодействие со сторонними организациями-ИФНС, ПФР, банки, и т.д.);

· Установка координатора VipNet для обеспечения шифрованного туннеля и зашифрованной деловой переписки со сторонними организациями (ТФОМС, Минздрав, страховые и пр. организации, с которыми заключен договор о передаче данных третьим лицам);

· Введение в эксплуатацию дополнительных серверов: контроллер домена; сервер DLP; сервер видеорегистрации; почтовый сервер; сервер терминалов;

· Выделение отдельного компьютера для управления DLP (КУ).

Реорганизация рабочих мест пользователей:

· Замена компьютера на тонкий клиент (хранение и обработка данных пользователя ведется на сервере терминалов; отсутствие прямого доступа к ИС; централизованный контроль подключения съемных носителей информации);

· Обеспечение корпусов тонких клиентов пломбами контроля вскрытия.

6. Внедрение программного DLP продукта

Существует большое количество готовых программных продуктов по защите ЛВС. В качестве программного продукта в описываемой организации было решено использовать систему InfoWatch Traffic от российской компании InfoWatch. Этот продукт для крупного бизнеса, предназначенный для защиты от утечки конфиденциальных данных и других внутренних угроз.

6.1 Архитектура InfoWatch Traffic Monitor

InfoWatch Traffic Monitor представляет собой модульную многокомпонентную распределённую систему, в которой комбинация используемых модулей может изменяться в зависимости от потребностей заказчика. Схема взаимодействия представлена на рис. 6.1.

Рис. 6.1 - Архитектура InfoWatch Traffic Monitor

В состав InfoWatch Traffic Monitor входят следующие компоненты:

· InfoWatch Traffic Monitor -- модуль контроля сетевых каналов передачи данных;

· InfoWatch Device Monitor -- модуль для защиты рабочих станций, который осуществляет контроль печати, копирования документов на съемные носители и производит контроль портов;

· InfoWatch Crawler -- модуль контроля информации в общедоступных сетевых ресурсах и системах документооборота;

· InfoWatch Forensic Storage -- модуль централизованного хранения перехваченной и проанализированной информации (является юридически значимой доказательной базой при проведении внутрикорпоративного расследования инцидентов и в ходе судебных разбирательств);

· InfoWatch Vision - модуль визуальной аналитики информационных потоков в режиме реального времени. Модуль автоматически загружает данные из базы данных InfoWatch Traffic Monitor и расширяет возможности DLP-системы для более глубокого анализа подозрительной активности сотрудников и проведения расследований.

В свою очередь, InfoWatch Traffic Monitor состоит из нескольких подсистем:

· Подсистема перехвата трафика. Обеспечивает перехват и передачу на обработку трафика;

· Подсистема обработки. Обеспечивает извлечение из перехваченных объектов вложений, определение форматов вложений и передача извлеченного текста в подсистему анализа;

· Подсистема анализа. Осуществляет анализ извлечённых текстов из перехваченных объектов. Эта подсистема включает в себя ряд субмодулей: лингвистического анализа, детектирования кредитных карт (заполненных форм, страниц паспортов, печатей, текстовых объектов, цифровых отпечатков, эталонных выгрузок из БД);

· Подсистема применения политик. На основе результата работы подсистем анализа и обработки выносит вердикт о нарушении (ненарушении) перехваченным объектом политик информационной безопасности. В состав этой подсистемы входят субмодули интеграции с Active Directory и принятия решений;

· Подсистема хранения. Представляет собой базу данных, в которой хранятся все перехваченные объекты, результаты анализа, применения политик. Предоставляет возможность просмотра сохранённой информации для проведения ретроспективного анализа;

· Подсистема мониторинга. Обеспечивает удаленный мониторинг состояния серверов, на которых установлены компоненты InfoWatch Traffic Monitor, а также работающих на них служб;

· Консоль управления. С помощью которой осуществляется настройка, администрирование и работа с InfoWatch Traffic Monitor.

6.2 Установка и предварительная настройка

Установка модулей?

Установка InfoWatch Traffic Monitor Enterprise:

· Установка ОС RHEL6 на сервер DLP;

· Установка InfoWatch Traffic Monitor на сервер DLP;

· Установка СУБД Oracle на сервер DLP;

· Установка RPM пакетов сервера InfoWatch Traffic Monitor на сервер DLP;

· Установка схемы базы данных InfoWatch Traffic Monitor на сервер DLP.

Установка InfoWatch Device Monitor:

· Установка серверной части InfoWatch Device Monitor;

· Установка клиентской части InfoWatch Device Monitor на конечные точки;

· Установка Консоли управления InfoWatch Device Monitor на сервер и рабочую станцию.

Установка InfoWatch Crawler:

· Установка всех компонентов на сервер InfoWatch Crawler;

· Соединение сервера InfoWatch Crawler с базой данных сервера InfoWatch Traffic Monitor;

· Настройка параметров соединения непосредственно с сервером InfoWatch Traffic Monitor;

· Настройка параметров сканера InfoWatch Crawler.

Первоначальная настройка модулей:

Первоначальная настройка сервера InfoWatch Traffic Monitor:

· Установка лицензии на программное обеспечение;

· Синхронизация с LDAP-каталогами;

· Создание учётных записей пользователей системы и назначение ролей.

Первоначальная настройка сервера InfoWatch Device Monitor:

- создание учётных записей пользователей системы и назначение ролей:

· Проверка и корректировка настроек сервера (указание параметров соединения с клиентами, контроля дискового пространства на клиентах;

· Логирования и уведомлений;

· Указание сегментов корпоративной сети, доменов и списка разрешённых серверов; настройки контроля программ обмена мгновенными сообщениями и т.д.

Настройка контроля на уровне шлюза (модуль InfoWatch Traffic Monitor):

· Настройка мониторинга состояния системы (добавление и настройка необходимых виджетов консоли управления);

· Настройка работы с инцидентами. Конструктор запросов для поиска и выборки инцидентов по самым разнообразным критериям позволяет получить исчерпывающую информацию обо всех процессах, связанных с безопасностью данных, происходящих в инфраструктуре и оперативно реагировать на инциденты, а также проводить детальный ретроспективный анализ;

· Настройка работы с классификаторами и категориями.

Классификатор - это набор категорий, которые используются для проведения лингвистического анализа объектов перехвата.

Каждая категория содержит свой список терминов, текстовых объектов, эталонных документов, печатей, форм и выгрузок из баз данных, которые описывают возможные нарушения политики безопасности;

· Настройка работы с карточками сотрудников

Настройка списков сотрудников и рабочих станций в виде карточек сотрудников, синхронизированных с LDAP-каталогом инфраструктуры компании. Наличие этой информации помогает сотрудникам службы безопасности работать с объектами перехвата за счёт данных об отправителях, получателях, структурных подразделениях и прочих;

· Настройка работы с политиками

Политики - это набор правил, в соответствии с которыми проводится анализ и обработка объектов перехвата. Правило включает в себя набор условий, по которым ведется проверка объекта, и действий, которые выполняются при совпадении или несовпадении заданных условий.

...