Методические подходы к внедрению международного стандарта ISO/IEC 27001:2005 при построении системы управления информационной безопасностью медицинской организации (Н.Ф. Князюк, И.С Кицул, "Врач и информационные технологии", N 6, ноябрь-декабрь 2011 г.)

Методические подходы к внедрению международного стандарта ISO/IEC 27001:2005 при построении системы управления информационной безопасностью медицинской организации

Одной из наиболее актуальных проблем, которые сегодня приходится решать медицинской организации при внедрении современных информационных технологий, является защита конфиденциальной информации. Особенно остро данная проблема актуализировалась в условиях реализации законодательства по защите персональных данных.

Информация может существовать во многих формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, посылаться по почте или копироваться путем использования электронных средств, может быть представлена в видеоматериалах, на пленках или высказана в разговоре. Организации и их информационные системы и сети сталкиваются с угрозами для безопасности, исходящими из весьма разнообразных источников, включая компьютеризированное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Причины ущерба, например, злонамеренный код, компьютерное хакерство и воздействия, вызывающие отказ в обслуживании законных пользователей, становятся все более изощренными (1). Вне зависимости от того, в каком виде информация сохраняется, какими средствами она распространяется или хранится, она всегда должна быть надлежащим образом защищена. Каждый руководитель медицинской организации должен объективно оценивать текущее состояние информационных систем, видеть и понимать нужды в информационном обеспечении и существующие информационные проблемы.

Тема создания системы управления информационной безопасностью медицинской организации остается одной из наиболее актуальных в сфере информатизации и построения системы управления, поскольку речь идет о наиболее критичных персональных данных - о состоянии здоровья людей. К данной категории информации относятся все сведения из истории болезни, анамнез заболевания, детали о наследственности и другие данные медицинского характера, которые требуют максимального уровня защиты.

Кроме этого, существует конфиденциальная информация, касающаяся деловой практики медицинской организации, защита которой - это охрана информации от большого разнообразия угроз, осуществляемая с целью обеспечения непрерывности ее деятельности, минимизации деловых рисков и максимизации возможностей в плане инновационного развития. Защита информации в медицинской организации должна осуществляться путем реализации соответствующего набора средств управления, включая политику, процессы, процедуры, организационные структуры, программные и аппаратные функции. Эти элементы управления необходимо создать, внедрить, постоянно контролировать, анализировать и улучшать для выполнения конкретных организационных задач защиты деловой информации.

Системный подход к описанию информационной безопасности предлагает выделить несколько ее компонентов. Во-первых, это законодательная, нормативно-правовая и научная база. Во-вторых, структура и задачи органов (подразделений), обеспечивающих безопасность ИТ. В третьих, организационно-технические и режимные меры и методы (например, Политика информационной безопасности). В четвертых, программно-технические способы и средства обеспечения информационной безопасности. Конечной целью реализации задачи построения информационной безопасности медицинской организации является построение Системы обеспечения информационной безопасности (СОИБ). Для построения и эффективной эксплуатации данной системы необходимо выявить требования защиты информации, специфические для данной медицинской организации как объекта защиты. В первую очередь следует учесть требования российского и международного законодательства. Необходимо использовать наработанные практики (стандарты, методологии) построения подобных систем. Руководителем медицинской организации определяются подразделения, ответственные за реализацию и поддержку СОИБ, распределяются области ответственности в осуществлении требований СОИБ между подразделениями. На базе действующей системы управления рисками информационной безопасности определяются общие положения, технические и организационные требования, составляющие Политику информационной безопасности организации. Для реализации требований Политики информационной безопасности внедряются соответствующие программно-технические способы и средства защиты информации, позволяющие выстроить систему менеджмента информационной безопасности (СМИБ). В основе настоящего международного стандарта лежит методология, известная как "цикл РDСА" (Рlаn-Do-Check-Act). Цикл PDCA можно кратко описать следующим образом:

- планирование: разрабатываются цели и процессы, необходимые для достижения результатов в соответствии с политикой организации в области управления информационной безопасностью;

- осуществление: данные процессы внедряются;

- проверка: процессы контролируются и измеряются в сопоставлении с политикой и целями в области управления информационной безопасностью, законодательными и прочими требованиями; о полученных результатах докладывается руководству;

- действие: предпринимаются действия по постоянному улучшению системы менеджмента информационной безопасности.

Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

С позиций руководителя медицинской организации важно понять общие принципы и концептуальные подходы к построению системы и организовать внедрение СМИБ как проект. По нашему мнению, лучшей мировой практикой в области управления информационной безопасностью является стандарт ISO/IEC 27001:2005. Международный стандарт ISO/IEC 27001:2005 "Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования" разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Этот стандарт представляет собой дополнение к стандарту ISO/IES 17799:2005 "Информационные технологии - Методы обеспечения безопасности - Практические правила управления информационной безопасностью". Стандарт ISO 27001 определяет информационную безопасность как "сохранение конфиденциальности, целостности и доступности информации (рис. 1); кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность".

/--------------------\       /-----------------------------------\

|                    |       |обеспечение доступности информации |

| Конфиденциальность |------|     только для тех, кто имеет     |

|                    |       |    соответствующие полномочия     |

|                    |       |   (авторизованные пользователи)   |

\--------------------/       \-----------------------------------/

/--------------------\       /-----------------------------------\

|                    |       |  обеспечение точности и полноты   |

|    Целостность     |------|  информации, а также методов её   |

|                    |       |             обработки             |

\--------------------/       \-----------------------------------/

/--------------------\       /-----------------------------------\

|                    |       | обеспечение доступа к информации  |

|    Доступность     |------|авторизованным пользователям, когда|

|                    |       |  это необходимо (по требованию)   |

\--------------------/       \-----------------------------------/

Рис. 1. Критерии информационной безопасности по ISO 27001

ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 27002:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

Стандарт ISO/IEC 27001:2005 определяет цели и средства контроля, представляющие возможность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих рисков организации.

В общем виде модель системы менеджмента информационной безопасности представлена в стандарте (рис. 2). Однако разработку элементов системы необходимо рассматривать с позиции применимости для данной конкретной организации, с учетом отраслевой специфики.

/--------------------\    /--------------------------------------------\    /--------------------\

|  Заинтересованные  |---|                 Планируйте                 |---|  Заинтересованные  |

|      стороны       |    |  /------------------------------------\    |    |       стороны      |

|                    |    |  |Создание Системы менеджмента защиты |    |    |                    |

|                    |    |  |         информации (СМЗИ)          |    |    |                    |

|                    |    |  \------------------------------------/    |    |                    |

|                    |    |  Делайте      |            |    Действуйте |    |                    |

|                    |    |/-------------------\  /-------------------\|    |                    |

|                    |    ||Внедрение и работа |  |   Поддержание и   ||    |                    |

|                    |    ||       СМЗИ        |  |  улучшение СМЗИ   ||    |                    |

|                    |    |\-------------------/  \-------------------/|    |                    |

|Требования к защите |    |               | Проверяйте |               |    | Управляемая защита |

|     информации     |    |        /-------------------------\         |    |     информации     |

|                    |    |        |Мониторинг и анализ СМЗИ |         |    |                    |

|                    |---|        \-------------------------/         |---|                    |

\--------------------/    \--------------------------------------------/    \--------------------/

Рис. 2. Модель системы менеджмента информационной безопасности

Для успешной реализации мероприятий по внедрению и сертификации системы менеджмента защиты информации (СМЗИ) необходимо четко определить цели проекта. Основными целями, как правило, являются повышение уровня безопасности информационных активов медицинской организации, сокращение количества инцидентов, связанных с информационной безопасностью и тяжестью их последствий, а также обеспечение уверенности потребителей медицинской организации (пациентов и их законных представителей) в том, что вся конфиденциальная информация находится под защитой. На начальной стадии проекта, как правило, не ставится цель получения сертификата по ISO/IEC 27001 (ИСО/МЭК 27001). Требования стандарта принимаются как руководство к действию, обеспечивая понимание руководством организации основных направлений деятельности в области защиты информации, подходов к выбору инструментов управления и процедур. В дальнейшем возможно прохождение аудита и получение сертификата. Поскольку внедрение СМИБ по сути должно происходить в организациях, уже имеющих действующую систему менеджмента качества, соответствующую требованиям ISO 9001:2008, СМИБ может быть включена в сертификацию Интегрированной системы менеджмента (ИСМ).

Первым шагом в данном направлении является разработка политики медицинской организации в области информационной безопасности, планирование данной деятельности, идентификация рисков, формирование реестра рисков, разработка методик оценки рисков в соответствии с отраслевой спецификой, управление рисками.

В этой связи нами предлагается проверенный практикой подход к успешному прохождению аудита, состоящий из следующих этапов:

Этап 1. Аудит организации на соответствие ISO/IEC 27001:2005

Этап 2. Разработка системы управления информационной безопасностью (СУИБ)

Этап 3. Внедрение СУИБ. Управление рисками. Обучение персонала.

Этап 4. Повторный аудит организации на соответствие требованиям ISO/IEC 27001:2005

Этап 5. Сертификация в BSI Management SYSTEM

Рис. 3. Этапы внедрения СМИБ

Этап 1: Медицинская организация принимает решение по внедрению ISO 27001, определяются основные цели и задачи проекта. На данном этапе определяются основные принципы и области применения системы управления информационной безопасностью. Назначается лицо, ответственное за разработку проекта, формируется группа менеджеров по защите информации, распределяются обязанности, выделяются необходимые средства. На этом этапе необходимо провести обучение ключевых сотрудников организации, задействованных в проекте, которые в дальнейшем будут осуществлять совместное планирование мероприятий по проекту ISO/IEC 27001 (ИСО/МЭК 27001). Проводится диагностический аудит для понимания текущего состояния дел и определения степени соответствия медицинской организации требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Организация получает отчет о текущем состоянии системы менеджмента информационной безопасности.

Этап 2: Рабочей группой проводится анализ рисков в области применения СМИБ, разрабатывается методика оценки рисков, принятие решений о путях управления указанными рисками. Стандарт ISO/IEC 27005:2011 описывает принципы управления рисками в системах менеджмента информационной безопасности и может быть использован в качестве методического пособия на данном этапе проекта. Деятельность по обработке риска в рамках процесса менеджмента риска информационной безопасности представлена в стандарте (рис. 4). Варианты обработки риска должны выбираться на основе результатов оценки риска, ожидаемой стоимости реализации этих вариантов и ожидаемой выгоды от этих вариантов (2). Неблагоприятные последствия рисков необходимо снижать до разумных пределов и независимо от каких-либо абсолютных критериев. Менеджеры должны рассматривать редкие, но серьезные риски. В таких случаях может возникнуть необходимость реализации средств контроля, которые являются необоснованными по строго экономическим причинам.

                        /-------------------------\

                        | Результаты оценки риска |

                        \-------------------------/

                                    |

                      /----------------------------\

                      |  Удовлетворительная оценка |

                      \----------------------------/

                                    |                      Точка принятия

                                                     решения о риске N 1

/------------- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- ----------\

           /---------------------------------------------------\

|          |              Варианты обработки риска             |         |

           \---------------------------------------------------/

|                |            |            |            |                |

           /---------\ /---------\ /---------\ /---------\

|          | Снижение | |Сохранение| |Избежание | | Перенос  |           |

           |  риска   | |  риска   | |  риска   | |  риска   |

|          \----------/ \----------/ \----------/ \----------/           |

                   \----\     |            |       /------/

|                     /--------------------------\                   |

                      |         Остаточный риск      |

|                     \------------------------------/                   |

\------------- -- -- -- -- -- -- -- +- -- -- -- -- -- -- -- -- ----------/

                                    |                       Точка принятия

                                                      решения о риске N 1

                      /-----------------------------\

                      | Удовлетворительная обработка|

                      \-----------------------------/

Рис. 4. Деятельность по обработке рисков.

Четыре варианта обработки рисков не являются взаимоисключающими. Иногда организация может значительно выиграть от объединения вариантов, таких как снижение вероятности риска, уменьшение их последствий и перенос или сохранение любых остаточных рисков.

Параллельно осуществляется разработка необходимых процессов, процедур, положений, инструкций, форм записей (целей и средств контроля), согласование и утверждение разработанных документов. Административные документы являются отправной точкой для внедрения СМИБ. Их разработку и издание осуществляет высшее руководство (3). Обязательным условием реализации данного этапа является внедрение инструментов контроля над реализацией проекта. Завершением данного этапа является детальный план внедрения СМИБ с указанием результатов каждого этапа, ответственных, исполнителей, сроков реализации и индикаторов контроля.

Этап 3: Внедрение системы СМИБ, которая включает такие обязательные мероприятия, как проведение инструктажей персонала организации, проведение внутренних аудитов информационной безопасности, а также проведение корректирующих действий по результатам внутреннего аудита. Проводится подготовка организации к сертификационному аудиту по ISO/IEC 27001 (ИСО/МЭК 27001). Комплект документов редактируется по результатам аудитов информационной безопасности.

Этап 4: Сопровождение системы менеджмента информационной безопасности. В рамках этого этапа регулярно проводится внутренний аудит СМЗИ, а также подготовка медицинской организации к аудиту третьей стороной (надзорному аудиту) на соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Акты аудитов тщательно анализируются, разрабатываются корректирующие действия, определяются сроки, ответственные и ресурсы для их реализации. Руководству представляется сводный отчет о результатах функционирования СМЗИ, на основе анализа которого в дальнейшем разрабатываются планы развития медицинской организации в области менеджмента информационной безопасности.

Этап 5: Сертификация системы менеджмента информационной безопасности на соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001).

Не вызывает сомнения тот факт, что внедрение современных информационных технологий в медицинских организациях позволяет вывести их работу на качественно новый уровень, повысить эффективность работы врачей-специалистов, регистратуры или приемного отделения, всех немедицинских служб, обеспечить лояльность медицинского персонала и рост удовлетворенности пациентов. При этом важным условием является внутреннее осознание руководством необходимости структурированного подхода к обеспечению определенного уровня безопасности. Обычно такое осознание наступает после внедрений ряда технических решений по безопасности, когда возникают проблемы управления такими решениями. Реализация управленческой деятельности включает и вопросы обеспечения безопасности персонала, куда входит как защита самих работников, так и защита от них, юридические аспекты и другие факторы, приводящие руководство к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделением или другими специалистами. Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям: разработка политики безопасности; организация информационной безопасности; организация управления внутренними активами и ресурсами, составляющими основу ключевых процессов деятельности; защита персонала и снижение внутренних угроз; физическая безопасность и безопасность окружающей среды; управление средствами связи и эксплуатацией оборудования; управление и контроль доступа; разработка и обслуживание аппаратно-программных систем; соответствие требованиям стандарта и соблюдение правовых норм по безопасности (2).

Основная выгода внедрения СМИБ - выявление наиболее опасных угроз и экономия средств на создание эффективной системы обеспечения информационной безопасности. Проблемы ИТ-безопасности выходят на высший уровень управления, позволяя всесторонне оценивать ИT-риски и заблаговременно их минимизировать. Результатом данной деятельности является решение проблем до их возникновения.

Литература

1. Щербаков А. Выбор средств защиты персональных данных / PC Week Doctor N 4 (4), 2008, доступно на эл. ресурсе http://www.pcweek.ru/security/article/detail.php?ID=116851 (дата обращения 08.09.2011).

2. Чесалов А. Методология внедрения международного стандарта ISO/IEC 27001:2005 при построении корпоративной системы управления информационной безопасностью / Ж-л "CIO" N 2, 2007 г.

3. Дмитриев А.А. ISO/IEC 27001 - Международный подход к управлению информационной безопасностью. Национальные особенности внедрения. / Ж-л "Das Management". N 1, 2009, с. 10-12.

Дополнительная информация

В Российской Федерации международным стандартам ИСО/МЭК 27001:2005 и ИСО/МЭК 27002:2005 соответствует следующие стандарты соответственно:

- ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования";

- ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью".

Кроме того, в Российской Федерации на безопасность информационных технологий действуют следующие стандарты:

- ГОСТ Р ИСО/МЭК 15408-1-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель";

- ГОСТ Р ИСО/МЭК 15408-2-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности";

- ГОСТ Р ИСО/МЭК 15408-3-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности".

Н.Ф. Князюк,

кандидат медицинских наук,

заведующая кафедрой менеджмента

Байкальской международной бизнес-школы

Иркутского государственного университета,

заместитель главного врача Иркутского

диагностического центра по качеству

И.С. Кицул,

доктор медицинских наук,

профессор кафедры общественного здоровья и здравоохранения

Иркутской государственной медицинской академии

последипломного образования

"Врач и информационные технологии", N 6, ноябрь-декабрь 2011 г.