04 марта 2015 года в 12-00 ч. на технической площадке ГБУЗ МИАЦ состоялась видеоконференция на тему: «Актуальные вопросы информационной безопасности». Обсуждены вопросы:
1. Ограничение доступа к МИС.
Во исполнение требований по обеспечению информационной безопасности необходимо усилить контроль по ограничению доступа к серверам МИС из сторонних сетей и сети «Интернет».
Данные требования основываются на положениях следующих нормативно-правовых актов:
• Приказ ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (п.12);
• Приказ ФСТЭК от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (п. 26);
• Указ президента Российской Федерации № 351 от 17 марта 2008 года;
В письме ГБУЗ МИАЦ от 14 ноября 2014 года № 2117 О «Об обеспечении информационной безопасности» были даны рекомендации по ограничению доступа к серверам МИС из сторонних сетей и сети «Интернет».
Рекомендации заключались в проведении работ по приведению схемы локальной сети учреждения в соответствии с типовой схемой сети передачи данных.
2. Соблюдение типовых схем подключения.
Соблюдение типовой схемы сети передачи данных обеспечивает минимально необходимый уровень защищенности медицинской информационной системы, разграничение сетевого адресного пространства учреждений, стабильное взаимодействие с региональным информационным ресурсом ГБУЗ МИАЦ.
Согласно утвержденным схемам, сервера и терминальные станции должны находиться в отдельных сетях, взаимодействие которых осуществляется через сертифицированные межсетевые экраны (координаторы) для работы с медицинской информационной системой.
Отступление от типовой схемы сети передачи данных в учреждении приводит к проблемам доступности информационных ресурсов, как со стороны учреждения, так и со стороны ГБУЗ МИАЦ, а также к повышению уровня угроз несанкционированного доступа к ресурсам медицинских информационных систем.
3. Предупреждение инцидентов (установка антивирусов, обновление операционных систем).
В рамках проведения работ по повышению уровня информационной безопасности защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края в целях защиты информации от вредоносного воздействия компьютерных вирусов и предотвращения несанкционированного доступа, для обеспечения конфиденциальности и целостности информации реализован пилотный проект по развёртыванию подсистемы антивирусной защиты в выделенных сегментах ЛВС учреждений, предназначенных для работы с РИР.
По состоянию на 03 марта 2015 года в пилотном проекте по развёртыванию подсистемы антивирусной защиты на базе продуктов ЗАО «Лаборатория Касперского» в выделенных сегментах ЛВС учреждений, предназначенных для работы с РИР, приняли участие 20 учреждений здравоохранения. Всего установлен 331 сетевой агент (32% от количества терминальных станций участников).
Специалистами произведена установка 275 антивирусов на целевые машины с сетевыми агентами, что составляет 83%.
При установке антивируса Касперского 8.0 Linux File Servers на оставшиеся 17% терминальных станций возникли трудности с организацией сетевой доступности управляющего сервера. При установке на сервера МИС возникали трудности в связи с отсутствием обновлений компонентов операционной системы Linux на серверах лечебных учреждений.
Благодарим всех, кто принял участие, и предлагаем продолжить работу по установке сетевых агентов на максимальное количество терминальных станций и серверов выделенного сегмента. Срок действия имеющегося ключа лицензии продлён до 31 марта 2015 года. Работоспособность установленных антивирусов в рамках пилотного проекта сохраняется и после истечения срока действия ключа лицензии.
4. Защищенный информационный обмен по сопровождению МИС.
В целях повышения уровня информационной безопасности, при информационном взаимодействии с контрагентами, осуществляющими сопровождение информационных систем (в т.ч. медицинских), учреждениям здравоохранения рекомендовано заключать соглашения о защищенном информационном обмене.
Данное соглашение накладывает на стороны обязательства по соблюдению ряда технических и организационных мер по обеспечению защиты информации, обрабатываемой в рамках сопровождения. В частности, при информационном обмене сторон устанавливается обязанность использования защищенной сети (ViPNet № 1988) министерства здравоохранения края, а также дополнительные меры организационного характера по сбору с допущенных лиц обязательств о неразглашении.
Форма соглашения расположена на сайте ГБУЗ МИАЦ в разделе «защита информации».
Копии заключенных соглашений о защищенном информационном обмене с внешними контрагентами в целях исполнения контрактов по сопровождению, необходимо направлять на адрес электронной почты отдела информационной безопасности ГБУЗ МИАЦ (oib@miackuban.ru).
Наряду с организационной работой по заключению Соглашений необходимо проводить работы по техническому обеспечению безопасности серверов медицинской информационной системы – в частности, не забывать о необходимости периодической смены учетных данных доступа к серверам (не менее одного раза в год).
5. Заключение Соглашений с участниками ЗСКПД МЗ КК (обмен данными по сети ViPNet №1988) в соответствии с приказом министерства здравоохранения Краснодарского края от 24 апреля 2014 года № 1920.
Медицинским организациями, которые подписали, но не забрали свои экземпляры Соглашения с ГБУЗ МИАЦ, необходимо явится в отдел информационной безопасности (каб. 26) для получения бумажного носителя (по предварительному согласованию).
6. Дополнительные меры по информационной безопасности (мониторинг исполнения рекомендаций)
Медицинским организациям рекомендуется принимать дополнительные меры по повышению уровня защиты информационных ресурсов, обратив особое внимание:
- на недопущение принятия и реализации планов, в которых не предусмотрены меры по защите информации в соответствии с законодательством Российской Федерации;
- на обеспечение контроля за выполнением требований по защите информации при подключении к сети «Интернет» для обработки информации ограниченного доступа.
7. Сопровождение средств защиты.
К проведению работ по сопровождению средств криптографической защиты информации могут быть привлечены организации, имеющие лицензии ФСТЭК России и ФСБ России на оказание услуг в области защиты конфиденциальной информации.
Техническое сопровождение со стороны организации-лицензиата должно включать: техническую поддержку, обеспечение работоспособности средств защиты информации в защищенном сегменте сети учреждения, обновление версий программного обеспечения ViPNet.
Техническое сопровождение в отдельно взятом учреждении является необходимым условием для поддержания должного уровня безопасности во всей защищённой сети.
8. О размещении серверов на территории РФ.
В связи с изменениями, внесенными в Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации» технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями должны размещаться на территории Российской Федерации.
Таким образом, до 1 июля 2015 года учреждениям здравоохранения необходимо осуществить переход исключительно на почтовые сервисы и сервисы хостинговых площадок для веб-сайтов, технические средства которых, размещаются на территории Российской Федерации. Одним из таких сервисов является почтовый сервер ГБУЗ МИАЦ «miackuban.ru».
9. Анонсирование вебинаров по информационной безопасности.
В целях повышения компетенций технических специалистов учреждений здравоохранения в вопросах обеспечения информационной безопасности планируется проведение ряда видеоконференций по следующим темам:
1. Техническая поддержка продуктов ViPNet сети 1988, установленных в медицинских организациях Краснодарского края.
2. Основы технической защиты ИСПДн, в соответствии с приказом ФСТЭК №21: реализация мер по защите каналов связи и межсетевому экранированию.
3. Основы технической защиты ИСПДн, в соответствии с приказом ФСТЭК №21: реализация мер по защите от НСД.
4. Основы технической защиты ИСПДн, в соответствии с приказом ФСТЭК №21: реализация мер по организации антивирусной защиты.
5. Основы технической защиты ИСПДн, в соответствии с приказом ФСТЭК №21: реализация мер по организации подсистемы обнаружения вторжений и анализа защищённости.
10. Разное
10.1 Об идентификации страховой принадлежности граждан.
Проблемы, связанные с доступностью ресурса поиска сведений по региональному сегменту застрахованных лиц в рамках защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края (сеть ViPNet № 1988) из некоторых учреждений, носили локальный характер и на сегодняшний день устранены.
10.2 Подключение информационных киосков (инфоматов) в защищенную сеть.
При подключении информационных киосков (инфоматов) в защищённую сеть необходимо средствами координатора организовать минимально необходимый доступ для работы инфомата - только к ресурсу http://10.0.1.211 (единый краевой портал записи на прием к врачу http://www.kuban-online.ru).
10.3 О проектах концепции и методических рекомендаций.
Проекты «Концепции информационной безопасности учреждений здравоохранения Краснодарского края» и «Методических рекомендаций по определению состава средств защиты информации, схем их использования и особенностях применения для обеспечения информационной безопасности в учреждениях здравоохранения Краснодарского края» прошли согласование рабочей группы.
В Концепции определены цели обеспечения информационной безопасности, правовые основы, а также основные направления деятельности по обеспечению информационной безопасности информационных систем в учреждениях здравоохранения Краснодарского края, приведён перечень угроз безопасности информации, актуальных для деятельности учреждений здравоохранения Краснодарского края, и представлены контрмеры по обеспечению требуемого уровня информационной безопасности.
Положения Концепции рекомендуется использовать при разработке министерством здравоохранения Краснодарского края, а также подотчетными министерству здравоохранения Краснодарского края государственными и муниципальными органами, учреждениями и предприятиями Краснодарского края, осуществляющими деятельность в области здравоохранения, внутренних документов по вопросам защиты персональных данных и врачебной тайны, а также при проектировании систем защиты информации информационных систем.
Методические рекомендации содержат наименования аппаратных и программных средств защиты информации, схем их использования и описание особенностей применения для обеспечения информационной безопасности информационных систем, автоматизированных рабочих мест и систем обмена информацией в медицинской организации.