Научная электронная библиотека
Монографии, изданные в издательстве Российской Академии Естествознания
АВТОМАТИЗАЦИЯ МЕДИЦИНСКОЙ ЭКСПЕРТИЗЫ НАЗНАЧЕНИЯ ЛЬГОТНЫХ ЛЕКАРСТВ
Кошкаров А. А., Рубцова И. Т., Семенов А. Б., Халафян А. А.,
4.2. Система идентификации угроз информационной безопасности
Одним из базовых мероприятий для обеспечения безопасности персональных данных является определение угроз безопасности в информационных системах персональных данных (ИСПДн) и уровня защищенности персональных данных [129]. Учитывая особую социальную значимость создания и функционирования единого программного продукта с возможностями выписки, отпуска, управления товарными запасами и контроля реализации программ льготного лекарственного обеспечения (ЛЛО), проблема информационной безопасности в этой сфере становится особенно актуальной.
Выявлены актуальные угрозы безопасности для обеспечения защиты персональных данных при их автоматизированной обработке в сфере ЛЛО Краснодарского края, разработана схема бизнес-процессов идентификации актуальных угроз в аналогичных информационных системах.
Угрозами безопасности персональных данных являются условия и факторы, при которых создается опасность несанкционированного (в том числе случайного) доступа к ним. Под уровнем защищенности персональных данных понимают комплексный показатель, который характеризует требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в ИСПДн [129].
Дано описание потенциального нарушителя и, предложена модель актуальных угроз безопасности персональных данных, с учетом особенностей существующей информационной системы «Льготного лекарственного обеспечения» (ИС «ЛЛО») медицинского информационно-аналитического центра Краснодарского края. Модель угроз – это документ, разработанный в соответствии с требованиями нормативных документов ФСТЭК России и ФСБ России, описывающий перечень возможных угроз ИС «ЛЛО».
Исходными данными для построения модели угроз стали материалы проведенного аудита информационной безопасности ИС «ЛЛО» с привлечением специалистов компании-лицензиата ФСБ России и ФСТЭК России. Угрозы безопасности персональных данных выявлены на основе экспертного метода, в том числе путем опроса обслуживающего персонала ИС «ЛЛО».
Модель угроз предназначена для решения следующих задач:
– анализ угроз безопасности персональных данных;
– анализ защищенности ИСПДн;
– определение уровня криптографической защиты персональных данных при использовании криптосредств;
– определение мер для разработки системы защиты ИСПДн;
– определение мер контроля уровня защищенности обрабатываемых персональных данных.
Разработанная модель содержит описание последовательности мероприятий: построение модели нарушителя; определение исходного уровня защищенности ИС «ЛЛО»; определение вероятности, возможности реализации, опасности и актуальности каждой из угроз; описание возможных мер нейтрализации актуальных угроз.
ИС «ЛЛО» предназначена для хранения и обработки персональных данных граждан, получивших услуги в медицинских организациях, обладает техническими и эксплуатационными характеристиками [75], приведенными в табл. 4.1.
Источниками угроз в ИСПДн могут быть: аппаратная закладка, носитель вредоносной программы, нарушитель. Экспертным путем определено, что угрозы безопасности персональных данных, связанные с внедрением аппаратных закладок в ИС «ЛЛО» неактуальны. Носителями вредоносной программы в ИСПДн могут быть: отчуждаемый носитель (флеш-память, оптический диск, отчуждаемый винчестер, дискета и так далее); встроенные носители информации (винчестеры); пакеты передаваемых по компьютерной сети сообщений; файлы (текстовые, графические, исполняемые и так далее).
Таблица 4.1
Показатели исходной защищенности ИСПДн
|
№ п/п |
Технические |
Исходные характеристики ИС «ЛЛО» |
|
1. |
По территориальному размещению |
распределенная |
|
2. |
По наличию соединения с сетями общего пользования |
одноточечный выход в сеть общего пользования |
|
3. |
По встроенным операциям с записями баз персональных данных |
запись, чтение, удаление, сортировка, поиск |
|
4. |
Разграничение прав доступа к персональным данным |
в соответствии с перечнем определен доступ сотрудникам организации – владельцу ИС «ЛЛО» |
|
5. |
По наличию соединений с другими базами персональных данных иных ИСПДн |
используется одна база персональных данных, принадлежащая организации – владельцу ИС «ЛЛО» |
|
6. |
По уровню (обезличивания) персональных данных |
предоставляемые пользователю данные не являются обезличенными |
|
7. |
По объему персональных данных |
предоставляется часть персональных данных |
|
8. |
Объем обрабатываемых персональных данных |
обрабатываются данные более 100 000 субъектов, не являющихся сотрудниками оператора персональных данных |
|
9. |
Категория обрабатываемых персональных данных |
специальная (данныео здоровье) |
Нарушителем является физическое лицо (лица), случайно или преднамеренно совершающее действия, которые повлекли нарушения безопасности персональных данных [75]. Потенциальные нарушители могут быть внешними (осуществляющие атаки из-за пределов контролируемой зоны ИСПДн) и внутренними (в пределах контролируемой зоны).
Модель угроз основана на предположении, что у внешнего нарушителя только во время ее передачи по каналам связи вне контролируемой зоны есть возможность воздействовать на защищаемую информацию или из сети международного информационного обмена. Исходили из того, что ИС «ЛЛО» – распределенная информационная система, ее элементы, непосредственно хранящие и обрабатывающие персональные данные, расположены на территории контролируемой зоны, кроме каналов линии связи, по которым осуществлена передача данных. При этом исключено несанкционированное пребывание посторонних лиц на территории контролируемой зоны.
Для защиты персональных данных от действий внешнего нарушителя при их передаче по сетям международного информационного обмена, в модели угроз предусмотрены средства криптографической защиты информации (СКЗИ), которые должны противостоять действиям конкретного типа нарушителя, располагающего только доступными в свободной продаже аппаратными компонентами и средой функционирования криптосредства [78]. Таким образом, СКЗИ должны обеспечить криптографическую защиту персональных данных, не содержащих сведений, составляющих государственную тайну.
Внутренние потенциальные нарушители разделены на восемь категорий в зависимости от способа доступа и полномочий доступа к персональным данным [8]. Учитывая характеристики ИС «ЛЛО», способ и полномочия доступа к ИСПДн, предположения о возможностях нарушителя, степени его информированности, определены две вероятные категории:
– лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к персональным данным (категория I);
– зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к персональным данным по локальной информационной сети (категория III).
Актуальной считают угрозу, которая представляет опасность для персональных данных и может быть реализована [75]. На рис. 4.6 приведена схема идентификации актуальных угроз ИС «ЛЛО», на которой изображен последовательный ход выполнения процедур определения актуальности для каждой из угроз.
Уровень исходной защищенности является обобщенным показателем, который зависит от технико-эксплуатационных характеристик ИСПДн (табл. 4.1) и называемый коэффициентом степени исходной защищенности (Y1) [75]. Коэффициент Y1 оценивают согласно таблицам соответствия по методике, изложенной в [75] в балльной шкале в соответствии со следующей градацией: 0 – для высокой степени; 5 – для средней степени; 10 – для низкой степени.
Рис. 4.6. Схема бизнес-процессов идентификации актуальных угроз
Возможность реализации каждой из угроз определяют посредством показателя, называемого коэффициентом вероятности реализации угрозы (Y2). Коэффициент Y2 также оценивают в балльной шкале в соответствии со следующей градацией: 0 – маловероятная, 2 – низкая, 5 – средняя, 10 – высокая. Коэффициент Y2 определяют для каждой из угроз путем экспертной оценки по установленной шкале.
По коэффициентам Y1 и Y2 рассчитывают обобщенный коэффициент Y реализуемости угроз (4.1):
(4.1)
Если коэффициент Y ∈ [0; 0,3), то уровень реализации угрозы считают низким; если Y ∈ [0,3; 0,6) – средним; если Y ∈ [0,6; 0,8) – высоким; если Y принимает значения не менее 0,8 – очень высоким [75]. Анализ безопасности ИС «ЛЛО» показал, что коэффициенту Y1 соответствует значение 5 (средняя степень). Наряду с вышеописанными коэффициентами используют показатель опасности реализации каждой из угроз, который определяют экспертным путем по шкале: «низкая», «средняя», «высокая».
Для ИС «ЛЛО» наибольший интерес представляют угрозы случайных действий (сд) пользователей и преднамеренных действий (пд) внутренних нарушителей, которые идентифицированы как угрозы соответственно средней и высокой опасности. Возможности реализации каждой из этих угроз определены как низкие с коэффициентами 
и 
. Так как коэффициент Y1 для обеих угроз принимает одинаковое значение, равное 5, по формуле (4.1) легко рассчитать, что коэффициенты реализуемости угроз Yсд и Yпд принимают значения 0,35 из интервала [0,3; 0,6).
Следовательно, в ИС ЛЛО каждая угроза имеет средний уровень реализуемости. Табл. 4.2 представляет собою правило идентификации угроз – характер угрозы (актуальная, неактуальная) определяют записью в ячейке таблицы, расположенной на пересечении строки и столбца [75]. По таблице легко видеть, что для ИС «ЛЛО» угрозы случайных действий пользователей и преднамеренных действий внутренних нарушителей следует идентифицировать как актуальные – соответствующие ячейки в таблице выделены полужирным курсивом.
Таблица 4.2
Правила отнесения угрозы безопасности к актуальной
|
Возможность реализации угрозы (Y) |
Показатель опасности угрозы |
||
|
Низкая |
Средняя |
Высокая |
|
|
Низкая |
неактуальная |
неактуальная |
актуальная |
|
Средняя |
неактуальная |
актуальная |
актуальная |
|
Высокая |
актуальная |
актуальная |
актуальная |
|
Очень высокая |
актуальная |
актуальная |
актуальная |
Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении признаны неактуальными. Следовательно, для ИС «ЛЛО» актуальны так называемые угрозы третьего типа [97], предполагающие действия несанкционированного доступа. Поэтому, учитывая, что в ИС «ЛЛО» обрабатываются персональные данные специальной категории более 100 000 субъектов, необходимо обеспечить второй уровень защищенности из четырех возможных [97], который предполагает:
– идентификацию и аутентификацию устройств, в том числе стационарных, мобильных и портативных;
– доверенную загрузку средств вычислительной техники;
– учёт и управление доступом к машинным носителям персональных данных;
– мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них;
– применение системы обнаружения вторжений;
– контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;
– возможность восстановления персональных данных с резервных машинных носителей персональных данных;
– подлинность сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов;
– обнаружение, идентификацию и регистрацию инцидентов.
В модели угроз представлены меры по обеспечению требуемого уровня защищенности ИС «ЛЛО» в соответствии с нормативно-правовыми актами регулирующих органов, с учётом характеристик системы и особенностей среды её функционирования в сфере ЛЛО. Высокие требования к защите данных в этой области обусловлены большим количеством участников информационного обмена на разных уровнях управления здравоохранением Краснодарского края: медицинские и аптечные организации, муниципальные органы управления здравоохранения, министерство здравоохранения Краснодарского края и подведомственные ему организации.
В соответствии с базовым набором мер [103] по обеспечению второго уровня защищенности сформирован адаптированный и уточненный для ИС «ЛЛО» набор мер, с учётом ее структурно-функциональных характеристик и выявленных актуальных угроз безопасности. Составленный набор мер может быть реализован с применением имеющихся средств защиты информации и выполнением утвержденных организационных мероприятий. При этом реализация выбранных мер не приведет к увеличению сложности эксплуатации и повышению требований к квалификации обслуживающего персонала ИС «ЛЛО».
Полученные результаты проведенного исследования дали общее представление о защищенности персональных данных в ИС «ЛЛО», позволили выявить уязвимые места информационной системы, подобрать меры по обеспечению безопасности и спланировать её дальнейшее развитие в направлении защиты информации. Даны рекомендации по обеспечению конфиденциальности, доступности и целостности защищаемых данных в ИС «ЛЛО», обрабатываемых всеми участниками информационного обмена.
Результаты представленных исследований [57; 58] могут быть использованы при составлении организационно-распорядительных документов, регламентирующих обработку персональных данных, в том числе должностных инструкций и регламентов работ; при разработке моделей угроз безопасности персональных данных идентичных информационных систем.