Приложение А (справочное). Угрозы защиты медицинской информации. Национальный стандарт РФ ГОСТ Р ИСО 27799-2015 "Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.12.2015 N 2219-ст)

Приложение А
(справочное)

Угрозы защиты медицинской информации

Угрозы конфиденциальности, целостности и доступности активов медицинской информации включают в себя все нижеследующее.

1) Имитация другого лица сотрудником организации (включая имитацию другого лица медицинскими работниками и вспомогательным персоналом)

Имитация другого лица сотрудниками организации заключается в использовании системы теми, кто извлекает выгоду из учетных записей, не принадлежащих им. Она представляет собой сбой в надежной аутентификации пользователей. Многие случаи имитации другого лица сотрудниками организации были совершены просто потому, что это облегчает людям работу. Например, когда один медицинский работник может заменить другого на рабочей станции и продолжает работать по уже открытой карте объекта оказания медицинской помощи, существует сильное искушение пропустить процедуру выхода первого пользователя из системы и входа второго пользователя. Тем не менее, имитация другого лица сотрудниками организации также является источником серьезных нарушений конфиденциальности. В самом деле, большая часть нарушений конфиденциальности совершается сотрудниками организации. Имитация другого лица сотрудниками организации также может осуществляться с целью сокрытия случаев причинения вреда.

2) Имитация другого лица поставщиками услуг (включая сотрудников по обслуживанию, работающих на договорной основе, таких как разработчики системного программного обеспечения, сотрудников по ремонту оборудования и других лиц, которые могут иметь формальное законное основание на доступ к системе и данным)

Имитация другого лица поставщиками услуг заключается в использовании сотрудниками, работающими на договорной основе, привилегированного доступа к системам (например, во время испытания на месте и ремонта неисправного оборудования) для получения несанкционированного доступа к данным. Само по себе это является нарушением, или неспособностью должным образом обеспечить безопасное использование внешних источников. Хотя и реже, чем в случае с имитацией другого лица членами организации, имитация другого лица поставщиками услуг также может быть источником серьезных нарушений конфиденциальности персональной медицинской информации.

3) Имитация другого лица посторонними лицами (включая хакеров)

Имитация другого лица посторонними лицами происходит, когда третьи лица получают доступ к данным или ресурсам системы, выдав себя за уполномоченного пользователя или обманным путем став уполномоченным пользователем (например, через так называемый "социальный инжиниринг"). В дополнение к хакерам, имитацию другого лица посторонними лицами также совершают журналисты, частные детективы и "хактивисты" (хакеры, которые работают от имени или в поддержку политических группировок). Имитация другого лица посторонними лицами представляет собой отказ одной или нескольких нижеуказанных мер безопасности:

i) идентификация пользователя;

ii) аутентификация пользователя;

iii) аутентификация источника;

iv) контроль доступа и управление полномочиями.

4) Несанкционированное использование приложения для доступа к медицинской информации

Получить несанкционированный доступ к приложению для доступа к медицинской информации может быть на удивление легко (например, объектом оказания медицинской помощи, проникнувшим в незанятую рабочую станцию в рабочем кабинете терапевта и включившим монитор). Уполномоченные пользователи также могут выполнять несанкционированные действия, такие как изменение данных со злым умыслом. В Великобритании доктор Гарольд Шипман пытался скрыть скандальное убийство десятков своих пациентов путем изменения записей в своей компьютерной системе.

Критическая важность правильной идентификации объектов оказания медицинской помощи и правильное установление соответствия с их медицинской картой приводит медицинские организации к сбору подробных идентификационных данных по пациентам, проходящим лечение. Эти идентификационные данные имеют большую потенциальную ценность для того, кто может использовать ее для хищения персональных данных, и поэтому они должны быть строго защищены.

В общем, несанкционированное использование приложений медицинской информации представляет собой сбой в одной или нескольких нижеуказанных мерах безопасности:

i) контроль доступа рабочей группы (например, позволяя пользователю получать доступ к картам объектов оказания медицинской помощи, с которыми он не имеет никаких законных отношений);

ii) подотчетность и контроль аудита (например, позволяя неподходящим действиям пользователя оставаться незамеченными);

iii) безопасность персонала (например, предоставляя сотрудникам недостаточный уровень обучения или не объясняя, что их доступ к записям подлежит аудитам и проверкам).

5) Попадание вредоносного или разрушительного программного обеспечения (включая вирусы, червей и другое вредоносное программное обеспечение)

Большая часть инцидентов защиты IT представлена компьютерными вирусами. Попадание вредоносного или разрушительного программного обеспечения представляет собой сбой в антивирусной защите или в управлении изменениями программного обеспечения. В то время как обычно они находятся в пределах должностных полномочий сетевых операторов, распространение червей электронной почты и вирусов, а также использование хакерами слабых мест в программном обеспечении сервера объединились, чтобы в значительной степени осложнить меры, которые необходимо принять для предотвращения попадания вредоносного или разрушительного программного обеспечения.

6) Злоупотребление системными ресурсами

Эта угроза представляет собой пользователей, использующих информационные системы здравоохранения и сервисы для собственной работы; пользователей, скачивающих с Интернета не связанную с работой информацию на компьютеры, предназначенные исключительно для поддержки информационных систем здравоохранения; пользователей, создающих базы данных или другие приложения для вопросов, не связанных с работой, или пользователей, ухудшающих доступность информационных систем здравоохранения, например, используя пропускную способность сети для загрузки потокового видео или аудио для личного пользования. Такое злоупотребление представляет собой сбой в исполнении соглашений о надлежащем использовании или обучении пользователей важности поддержания целостности и доступности источников медицинской информации.

7) Несанкционированный доступ к передаче данных

Несанкционированный доступ к передаче данных по электронным коммуникациям происходит, когда человек (хакер, например) вмешивается в нормальное перемещение данных по сети. Наиболее распространенным результатом является атака типа отказ в обслуживании (при которой серверы или сетевые ресурсы эффективно выводятся из строя), но возможны и другие формы несанкционированного доступа к передаче данных (например, атака повторного воспроизведения, при которой реальное, но устаревшее сообщение передается повторно таким образом, что создается впечатление, что оно новое). Несанкционированный доступ к передаче данных представляет собой сбой в обнаружении вторжений и/или управления доступа к сети, и/или анализа рисков (в частности, анализа уязвимости), и/или архитектуры системы (которая должна быть разработана с защитой от атаки типа отказ в обслуживании).

8) Перехват информации в каналах связи

Если не шифруется во время передачи конфиденциальность информации, содержащейся в сообщении, может быть аннулирована посредством перехвата информации в каналах связи. Это проще, чем кажется, так как любой пользователь локальной сети может установить на своей рабочей станции так называемый "анализатор пакетов" и контролировать большую часть сетевого трафика в их локальной сети, в том числе читать электронную почту во время ее передачи. Хакерские инструменты помогают автоматизировать и упростить большую часть этого процесса. Перехват информации в каналах связи представляет собой сбой в защищенной связи.

9) Отказ от авторства

Эта угроза представляет собой пользователей, отрицающих, что они послали сообщение (отказ от авторства) и пользователей, отрицающих, что они получили сообщение (отказ от получения). Однозначное установление того, имел ли место факт перехода персональной медицинской информации от одного врача или медицинского учреждения к другому, может быть основным признаком расследований врачебной ошибки. Отказ от авторства может представлять собой сбой в применении элементов управления, таких как цифровые подписи на электронных рецептах (пример отказа от авторства) или элементов управления, таких как уведомления о прочтении сообщений электронной почты (пример отказа от получения).

10) Сбой подключения (включая сбои в сетях медицинской информации)

Все сети подвержены периодическим отключениям. Качество обслуживания является одним из основных факторов в предоставления сетевых услуг в сфере здравоохранения. Сбой подключения может быть также результатом неправильного направления сетевых услуг (например, злонамеренного изменения таблиц маршрутизации, которое приводит к переадресации сетевого трафика). Отказы подключения могут облегчить раскрытие конфиденциальной информации, заставляя пользователей отправлять сообщения с помощью менее безопасных механизмов, например по факсу или через Интернет.

11) Встраивание вредоносного кода

Эта угроза включает в себя вирусы электронной почты и враждебный мобильный код. Хотя это и не является специфичной угрозой для информационных систем здравоохранения, более широкое использование беспроводных и мобильных технологий среди медицинских работников увеличивает возможность угрозы нанесения повреждений. Встраивание вредоносного кода представляет собой сбой в эффективном применении программного управления антивирусом или средств управления для предотвращения вторжений.

12) Случайная неправильная маршрутизация

Эта угроза включает в себя возможность того, что информация доставлена по неправильному адресу, в случае передачи по сети. Случайная неправильная маршрутизация может представлять собой сбой в образовании пользователя или неспособность поддерживать целостность каталогов врачей или медицинских учреждений (или и то, и другое).

13) Техническая неисправность ведущего компьютера, накопителей или инфраструктуры сети

Эти угрозы включают в себя отказ оборудования, сбои сети или сбои в работе накопителей информации. Такие отказы обычно представляют собой сбой одного или нескольких элементов управления операциями, перечисленными в разделе 10 ИСО/МЭК 27002:2005. Хотя это и не является специфичным для информационных систем здравоохранения, потеря доступности таких систем может впоследствии представлять угрозу жизни пациентов.

14) Сбой в системе жизнеобеспечения (включая перебои в подаче электроэнергии и перебои с обслуживанием, связанные со стихийными бедствиями или техногенными катастрофами)

Информационные системы здравоохранения могут иметь решающее значение во время стихийных бедствий и других событий, которые могут угрожать жизни большого числа людей. Эти же бедствия могут нанести ущерб системам жизнеобеспечения, необходимым для проведения операций. Надлежащая оценка угроз и рисков медицинской информации о состоянии здоровья будет включать в себя оценку того, насколько важны такие системы в случае стихийных бедствий, и насколько устойчивой будет их работа при таких сценариях бедствия.

15) Сбой системы или сетевого программного обеспечения

Атаки типа отказ в обслуживании значительно облегчаются слабостью или неверной настройкой операционной системы или программного обеспечения сетевой операционной системы. Сбой системы или сетевого программного обеспечения представляет собой сбой в проверке целостности программного обеспечения, испытаний системы или элементы управления сопровождения программного обеспечения.

16) Сбой прикладного программного обеспечения (например, приложения для доступа к медицинской информации)

Сбои прикладного программного обеспечения могут быть использованы в атаках типа отказ в обслуживании, а также могут быть использованы для того, чтобы скомпрометировать конфиденциальность защищенных данных. Сбой прикладного программного обеспечения представляет собой сбой в испытании программного обеспечения, контроле над внесением изменений в программное обеспечение или проверке целостности программного обеспечения.

17) Ошибка оператора

Счета об ошибках оператора образуют небольшую, но ощутимую часть непреднамеренных разглашений конфиденциальной информации и значительную часть непреднамеренных раскрытий данных. Ошибка оператора представляет собой сбой в одном или нескольких следующих действиях:

i) управление работой.

ii) безопасность персонала (включая эффективную подготовку).

iii) аварийное восстановление (включая резервное копирование и восстановление данных).

18) Ошибка технического обслуживания

Ошибки технического обслуживания это ошибки, допущенные теми, кто отвечает за техническое обслуживание систем аппаратного и программного обеспечения. Ошибки технического обслуживания могут быть совершены сотрудниками, а также сторонними сотрудниками, работающими на договорной основе и выполняющими обязанности по техническому обслуживанию. Такие ошибки могут, в свою очередь, поставить под угрозу конфиденциальность защищенных данных. Неправильная настройка программного обеспечения во время установки является частой причиной возникновения уязвимостей, позже используемых хакерами. Ошибки обслуживания представляют собой сбой в средствах управления аппаратного обеспечения технического обслуживания, в средствах управления программного обеспечения технического обслуживания, средствах контроля изменений в программном обеспечении или комбинацию вышеперечисленных сбоев.

19) Ошибка пользователя

Ошибка пользователями может, например, привести к тому, что конфиденциальная информация будет отправлена к неправильному получателю. Ошибка пользователя иногда может представлять собой сбой в:

i) элементах управления пользователя.

ii) безопасности персонала (включая подготовку).

20) Нехватка персонала

Угроза нехватки персонала включает в себя возможность отсутствия ключевого персонала и сложность его замены. Уязвимость к этой угрозе зависит от степени, в которой нехватка персонала будет влиять на бизнес-процессы. В здравоохранении эпидемия, которая значительно увеличивает спрос на своевременный доступ к медицинской информации, может также создать нехватку персонала, что ставит под угрозу наличие таких систем. Сбой подобного рода представляет собой сбой в управления непрерывностью бизнеса (см. раздел 14 ИСО/МЭК 27002:2005).

21) Кража сотрудниками организации (включая кражу оборудования или данных)

Сотрудники организации, как правило, имеют более широкий доступ к конфиденциальной информации, чем посторонние, и поэтому находятся в выгодном положении для кражи информации для того, чтобы продать ее или раскрыть ее другим лицам. Хотя угроза кражи персональной медицинской информации сотрудниками организации является сравнительно редкой, она увеличивается вместе со славой или скандальной известностью субъекта данных (например, знаменитости или главы государства) и уменьшается с потенциальной угрозой последующего наказания (например, потери врачом его лицензии на врачебную практику). Кража сотрудниками организации представляет собой отказ одного из многих возможных элементов управления, в том числе управления выхода печатной копии, документов или информации, физической безопасности или физической защиты оборудования.

22) Кража посторонними лицами (включая кражу оборудования или данных)

Кража данных и оборудования посторонними лицами является серьезной проблемой в некоторых больницах. Кража может привести к нарушению конфиденциальности, потому что конфиденциальные данные находятся на сервере или украденном ноутбуке, или потому, что сами данные являются целью кражи. Кража посторонними лицами может представлять собой отказ одного из многих элементов управления, в том числе элементов управления мобильных компьютерных сред, безопасного перемещения в среде, обработки последствий происшествия, проверок соответствия или физической защиты от кражи.

23) Умышленное причинение вреда сотрудниками организации

Умышленное причинение вреда сотрудниками организации включает акты вандализма и другие случаи нанесения физического вреда IT-системам или их поддерживающей среде людьми, которым было предоставлено право доступа. Пользователями информационных систем здравоохранения, как правило, являются преданные делу работники здравоохранения, и умышленное причинение встречается редко. Умышленное причинение вреда сотрудниками организации представляет собой отказ безопасности людских ресурсов (см. раздел 8 ИСО/МЭК 27002:2005).

24) Умышленное причинение вреда посторонними лицами

Угроза умышленного причинения вреда посторонними лицами включает в себя акты вандализма и другие случаи нанесения физического вреда IT-системам или их поддерживающей среде людьми, которые не имеют доступа к таким системам. В то время как в большинстве отраслей промышленности акты такого рода представляют собой неспособность эффективно применять физические средства безопасности, доступ объектов оказания медицинской помощи и их близких и родственников в операционные зоны больниц, клиник и других медицинских организаций значительно усложняет устранение таких угроз по сравнению с большинством других операционных зон. Элементы управления безопасности в разделе 9 ИСО/МЭК 27002:2005 должны быть тщательно отобраны и применены для минимизации подобных угроз.

25) Терроризм

Угроза терроризма включает в себя действия экстремистских групп, желающих повредить или нарушить работу медицинских организаций или навредить медицинским работникам, или сорвать работу информационных систем здравоохранения. Хотя таких масштабных атак еще не происходило, планировщики должны рассмотреть вероятность угроз терроризма, особенно когда спроектированы крупномасштабные информационные системы здравоохранения, так как атаки на такие системы могут повысить эффективность биотерроризма и других атак, которые вызывают кризис, связанный с состоянием здоровья.