РАЗРАБОТКА ИНФРАСТРУКТУРЫ ОБЛАЧНОЙ ПЛАТФОРМЫ ДЛЯ РАЗМЕЩЕНИЯ КРИТИЧЕСКИХ ИНФОРМАЦИОННЫХ СЕРВИСОВ В СФЕРЕ ЗДРАВООХРАНЕНИЯ

АННОТАЦИЯ

В статье исследованы процессы разработки и эксплуатации инфраструктуры облачной платформы для размещения критических информационных сервисов в сфере здравоохранения. Изучены угрозы безопасности, выявлены направления атаки злоумышленников. Описаны этапы подготовки к проектированию и самого проектирования подсистемы защиты.

Ключевые слова: персональные данные, информационная система, медицинское учреждение, злоумышленник, угроза безопасности информации.

Деятельность любой медицинской организации неразрывно связана с обработкой персональных данных. До недавнего времени все эти данные хранились и обрабатывались на бумажных носителях, а затем на локальных серверах внутри организации. Эта особенность являлась большим недостатком с учетом повышения мобильности пациентов и увеличения объема информации. Решением проблемы стала интеграция современных технологий в систему здравоохранения.

С использованием современных технологий становится возможным быстрый обмен данными о пациентах между различными организациями, что в свою очередь позволяет быть более оперативным в области оказания медицинских услуг. Однако злоумышленников, пытающихся завладеть ценной информацией, не становится меньше и вопрос с обеспечением информационной безопасности в сфере здравоохранения остается открытым.

Угрозы безопасности облачной платформы в сфере здравоохранения

Злоумышленники должны иметь четкую мотивацию, чтобы провести атаку на информационную систему. Главной движущей силой в этом случае являются деньги. Данные из информационных систем медицинских организаций представляют особую ценность. Они после кражи перепродаются третьим лицам, которые в свою очередь могут открыть банковский счет на чужое имя или оформить кредит.

Еще одной причиной атак злоумышленников в сфере здравоохранения является атака на публичную репутацию. Кража данных об известных людях может привести к компрометации и краху карьеры.

Направления атаки злоумышленников

Система здравоохранения в Российской Федерации имеет сложную организационную структуру. Это увеличивает количество векторов нападения злоумышленниками на медицинские информационные системы:

•  ­фишинговые атаки, в том числе целевые;
• DDoS-атаки;
• сетевые атаки на уязвимое программное обеспечение;
• атаки на инфраструктуру, например, на систему охлаждения и т.д.

В основном атаки направлены на использование уязвимостей телекоммуникационного оборудования.

Подготовка к проектированию подсистемы защиты

Первым этапом в проектировании является определение актуальных угроз безопасности информации. Необходимо описать объекты воздействия, каналы атак, проанализировать источники угроз безопасности информации и определить потенциал нарушителей.

Следующим этапом является анализ угроз безопасности информации.

Проектирование подсистемы защиты

После выдвижения перечня актуальных угроз безопасности информации по результатам предыдущих этапов начинается разработка подсистемы защиты.

Защитить информационную систему можно лишь комплексно используя средства защиты информации и средства криптографической защиты.

Для обеспечения требуемого уровня защищенности информации рекомендуется использовать эшелонированную защиту. Она обладает двумя основными преимуществами. Во-первых, эшелонированная защита позволяет существенно замедлить злоумышленника, ведь даже в случае успешного преодоления одного эшелона, необходимо будет разрабатывать способ преодоления следующего рубежа в то время, как его действия в информационной системе могут быть уже обнаружены. Во-вторых, у администратора безопасности, в случае выявления уязвимости, появляется больше времени для ее устранения.

Выводы

В современном мире медицинская сфера и информационные технологии тесно связаны и развиваются в очень интенсивном темпе. Количество информации, нуждающейся в защите, растет. Потенциал нарушителей с каждым годом повышается. Поэтому реализация на практике всех перечисленных мер по защите информации в медицинских информационных системах должна существенно снизить риски, связанные воздействием на данные.

Список литературы:

1. Приказ ФСТЭК от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
2. Методический документ «меры защиты информации в государственных информационных системах» утвержден ФСТЭК от 11 февраля 2014 г.