Pages - Menu

Страницы

1.2.10

Рекомендации по ПДн от Минздравсоцразвития

В конце декабря на сайте Минздравсоцразвития были опубликованы Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, а также модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ), рекомендации по составлению частной модели угроз (215 страниц!), а также 26 приложений.

 Что интересного я могу отметить в данных документах:
  • они утверждены начальником 2-го управления ФСТЭК. С одной стороны это придает документам некоторую официозность, а с другой - причем тут 2-е управление? С юридической точки зрения никакой ценности такая подпись не дает.
  • по прежнему в качестве часа Х указано 1-е январа 2010 года. Хотя авторы и согласующие не могли не знать, что закон перенесут (особенно в момент подписания 23-го декабря). Особенно смешно выглядит фраза про проведение первоочередных мероприятий в сжатые сроки - до 1-го января (за 8 дней). Еще смешнее - указание о пересмотре всех мероприятий в течении 6 месяцев ввиду опубликования новых пояснений по ФЗ-152 со стороны регуляторов.
  • постоянная путаница статуса документа - то это рекомендации, то медучреждения "обязаны".
  • жесткая ориентация на ФСТЭКовские документы - аттестация, сертификация и т.п.
  • огромным достоинством является наличие шаблонов документов, требуемых в процессе приведения в соответствие и рекомендаций по их составлению и заполнению. Правда, кто и как это будет делать в районной поликлинике, где один врач и пара медсестер, непонятно.
  • интересным является разделение мероприятий на обязательные и выполняемые, только при выделении финансирования.
  • интересно, что в рекомендациях (напомню, что они согласованы с ФСТЭК) дано определение ПДн, позволяющих идентифицировать личность (т.е. дано описание разницы между 2-й и 3-ей категорией ПДн Приказа трех).
  • для снижение класса ИСПДн предлагаются различные не раз уже описанные варианты. В т.ч. и сегментация сети с помощью сертифицированных МСЭ. Вопрос о применении сертифицированных коммутаторов остается пока открытым. Но следуя логике рекомендаций это допустимо.
  • описан из один из механизмов обезличивания, который не подразумевает необратимость преобразования. И вновь напомню, что документ согласован с ФСТЭК, а значит эти рекомендации вполне применимы и в других сценариях.
  • к обязательным мерам защиты (невзирая на финансирование) относится антивирус, МСЭ и СКЗИ (последение - при подключении к Интернет и взаимодействии с другими системами). Из антивирусов прямо рекомендуется продукция Касперского или Dr.Web, а из МСЭ - VipNet и Застава (куда смотрит антимонопольная служба?)
  • сертифицированные ФСТЭК средства обязательны. Защита от ПЭМИН осталась! Акустика и видовая информация тоже в прицеле данных документов.
  • интересна методика составления модели угроз. Достаточно подробно описывается, как определяется актуальность угрозы. Судя по тексту и используемой фактографии используются секретные наработки ФСТЭК. Например, если соблюдаются меры пожарной безопасности, то все стихийные бедствия (видимо наводнения тоже) считаются маловероятными. Или вот еще. Если сотрудники подписали договор о неразглашении, то вероятность утечки - низкая. Логика от меня ускользает, но для облегчения модели угроз это хорошо. Еще. Если ПДн не передаются через Интернет, то DoS-атаки и спам маловероятны. Плюсом методики являются примеры моделей для различных видов ИСПДн медучреждений.

В целом повторяется история с четверокнижием ФСТЭК. Рекомендации Минздравсоцразвития совершенно неприменимы на практике, неработоспособны и не учитывают реализий современного российского здравоохранения. Зато раскрывают отдельные спорные моменты первой версии четверокнижия ФСТЭК. Именно первой, потому что второй и третьей редакции ФСТЭКовского творения описываемые рекомендации уже начинают противоречить.

ЗЫ. В свойствах документов в качестве автора указана "Практика безопасности".

ЗЗЫ. Красивая фраза "информация в виде бит, байт, IP-протоколов, файлов и других логических структур". Значит ли это, что защиту неструктурированной информации можно не обеспечивать? А если информация у меня в килобайтах?

8 комментариев:

  1. Анонимный1 февраля 2010 г. в 10:02

    ФСТЭК опубликовал еще любопытный документ: _http://www.fstec.ru/_licen/prik_proekt.doc
    Проект приказа Федеральной службы по техническому и экспортному контролю "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных.

    ОтветитьУдалить
  2. Алексей Т.1 февраля 2010 г. в 10:46

    По рекомендациям Минздрава - Практика безопасности кстати эту работу не афиширует. Кто конечный исполнитель неясно, судя по форме и содержанию документов - очень приближенная к ФСТЭК организация. Согласен с Алексеем - применять на практике (каламбурчик - практике безопасности ;-)) документы затруднительно, тем более персоналу медицинских учреждений самостоятельно. Кто-то найдет что-то полезное в этих документах, но, судя по-всему, деньги государства потрачены впустую. К истине приблизились ненамного.
    По "анонимному" - этот документ намного интереснее. Скорее всего, его примут (как не утвердить готовый приказ). А он, на мой взгляд, существенно уточняет, например требования по техническим каналам - для К2 по желанию оператора (не будем конечно выкидывать требования по ЭМС и т.д., но все равно никто не знает, что это такое). Ждем утверждения и более плотного обсуждения.

    ОтветитьУдалить
  3. Анонимный1 февраля 2010 г. в 11:54

    Самое главное в этом документе, что предлагается схема работы "от удара" то есть по предписаниям контролирующих органов...
    Принцип такой:
    1. что то делаем...(по мере финансирования и сил)
    2. пришла проверка - выписала постановление с перечнем недостатков
    3. выполняем только то, что прописано в постановлении.(при наличии соответственно финансирования)

    ОтветитьУдалить
  4. Tiger1 февраля 2010 г. в 15:49

    Евгений
    (Самое главное в этом документе, что предлагается схема работы "от удара" то есть по предписаниям контролирующих органов...
    Принцип такой:
    1. что то делаем...(по мере финансирования и сил)
    )

    А если нет ни финансирования ни сил, кроме
    АЛ
    (одого врача и двух медсестер)
    то, что предлагает делать данный документ?

    ОтветитьУдалить
  5. Quiet Zone1 февраля 2010 г. в 16:27

    По ФСТЭКовскому документу: что-то я упустил, про пентесты и анализ защищенности первый раз упоминается? И сертифицированы ли должны быть соответствующие средства?

    ОтветитьУдалить
  6. Анонимный1 февраля 2010 г. в 16:31

    2 Tiger
    Вопрос риторический... либо приглашать лицензиата (как указано/рекомендовано документом/проектом из первого поста) или выполнять самим и такое Учреждение к 2011 году готовиться получать ведомственные и международные награды "за вклад в развитие защиты ПДн в медицинской и не только отрасли"

    Дальше можно иронизировать:
    - Сестра! Укольчик !
    - Сейчас Анатолий Борисович, только Ipv6 в маршрутизаторе отключу и в DHCP подсеть ограничу..

    ОтветитьУдалить
  7. Алексей Т.1 февраля 2010 г. в 17:26

    2 Quiet Zone:
    ФСТЭКовский документ пока не обсуждают, хотя по-моему там революция. Аттестация не упоминается, требования для 2 и 3 классов упрощаются, сертификация упоминается только МЭ и СЗИ для К1 по НДВ.

    ОтветитьУдалить
  8. Quiet Zone1 февраля 2010 г. в 18:02

    Алексей Т.

    Да, действительно...Долгожданный дрейф регулятора в область расслабленных гаек?:)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.