Рекомендации по ПДн от Минздравсоцразвития

В конце декабря на сайте Минздравсоцразвития были опубликованы Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, а также модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ), рекомендации по составлению частной модели угроз (215 страниц!), а также 26 приложений.

 Что интересного я могу отметить в данных документах:

• они утверждены начальником 2-го управления ФСТЭК. С одной стороны это придает документам некоторую официозность, а с другой — причем тут 2-е управление? С юридической точки зрения никакой ценности такая подпись не дает.
• по прежнему в качестве часа Х указано 1-е январа 2010 года. Хотя авторы и согласующие не могли не знать, что закон перенесут (особенно в момент подписания 23-го декабря). Особенно смешно выглядит фраза про проведение первоочередных мероприятий в сжатые сроки — до 1-го января (за 8 дней). Еще смешнее — указание о пересмотре всех мероприятий в течении 6 месяцев ввиду опубликования новых пояснений по ФЗ-152 со стороны регуляторов.
• постоянная путаница статуса документа — то это рекомендации, то медучреждения «обязаны».
• жесткая ориентация на ФСТЭКовские документы — аттестация, сертификация и т.п.
• огромным достоинством является наличие шаблонов документов, требуемых в процессе приведения в соответствие и рекомендаций по их составлению и заполнению. Правда, кто и как это будет делать в районной поликлинике, где один врач и пара медсестер, непонятно.
• интересным является разделение мероприятий на обязательные и выполняемые, только при выделении финансирования.
• интересно, что в рекомендациях (напомню, что они согласованы с ФСТЭК) дано определение ПДн, позволяющих идентифицировать личность (т.е. дано описание разницы между 2-й и 3-ей категорией ПДн Приказа трех).
• для снижение класса ИСПДн предлагаются различные не раз уже описанные варианты. В т.ч. и сегментация сети с помощью сертифицированных МСЭ. Вопрос о применении сертифицированных коммутаторов остается пока открытым. Но следуя логике рекомендаций это допустимо.
• описан из один из механизмов обезличивания, который не подразумевает необратимость преобразования. И вновь напомню, что документ согласован с ФСТЭК, а значит эти рекомендации вполне применимы и в других сценариях.
• к обязательным мерам защиты (невзирая на финансирование) относится антивирус, МСЭ и СКЗИ (последение — при подключении к Интернет и взаимодействии с другими системами). Из антивирусов прямо рекомендуется продукция Касперского или Dr.Web, а из МСЭ — VipNet и Застава (куда смотрит антимонопольная служба?)
• сертифицированные ФСТЭК средства обязательны. Защита от ПЭМИН осталась! Акустика и видовая информация тоже в прицеле данных документов.
• интересна методика составления модели угроз. Достаточно подробно описывается, как определяется актуальность угрозы. Судя по тексту и используемой фактографии используются секретные наработки ФСТЭК. Например, если соблюдаются меры пожарной безопасности, то все стихийные бедствия (видимо наводнения тоже) считаются маловероятными. Или вот еще. Если сотрудники подписали договор о неразглашении, то вероятность утечки — низкая. Логика от меня ускользает, но для облегчения модели угроз это хорошо. Еще. Если ПДн не передаются через Интернет, то DoS-атаки и спам маловероятны. Плюсом методики являются примеры моделей для различных видов ИСПДн медучреждений.

В целом повторяется история с четверокнижием ФСТЭК. Рекомендации Минздравсоцразвития совершенно неприменимы на практике, неработоспособны и не учитывают реализий современного российского здравоохранения. Зато раскрывают отдельные спорные моменты первой версии четверокнижия ФСТЭК. Именно первой, потому что второй и третьей редакции ФСТЭКовского творения описываемые рекомендации уже начинают противоречить.

ЗЫ. В свойствах документов в качестве автора указана «Практика безопасности».

ЗЗЫ. Красивая фраза «информация в виде бит, байт, IP-протоколов, файлов и других логических структур«. Значит ли это, что защиту неструктурированной информации можно не обеспечивать? А если информация у меня в килобайтах?