Защита данных в здравоохранении: от киберугроз к качеству услуг

ProКачество:  Расскажите, для чего медицинским организациям ИСО/МЭК 27001:2022?

Людмила Семавина: Прежде всего, внедрение ИСО/МЭК 27001:

• помогает не упустить из виду ни один из процессов, видов деятельности организации и связанных с ними рисков в области информационной безопасности;

• помогает подобрать организационные и технические меры, наиболее подходящие к каждой конкретной организации, с учетом ее специфики;

• за счет общей структуры с ИСО 9001 и ИСО 7101 позволяет интегрировать меры по  ИБ с мерами по управлению качеством и безопасностью медицинской деятельности;

• за счет общей структуры с ИСО/МЭК 42001:2022 на системы менеджмента искусственного интеллекта (ИИ) позволяет сочетать меры по ИБ с мерами по управлению развитием ИИ в здравоохранении;

• способствует повышению вовлеченности персонала в мероприятия по информационной безопасности и высшего руководства в управление информационными технологиями.

ProКачество: Почему стандарт помогает добиваться значительных результатов?

Ольга Субханкулова: Постоянное улучшение и достижение новых, более высоких результатов – это основа модели ИСО/МЭК 27001 на базе цикла PDCA:

• P (Планируй) – планирование мероприятий по ИБ, на основе анализа состояния дел в этой области, оценки рисков, изменений нормативных требований и прочих факторов;

• D (Делай) – реализация запланированных мероприятий, например, проведение инструктажей по ИБ, установка антивирусного программного обеспечения, внедрение более безопасных каналов коммуникаций между персоналом и т.п.;

• С (Проверяй) – проверка степени реализации мероприятий и динамики показателей в области ИБ, например, инцидентов в области защиты персональных данных, нарушений требований к безопасному использованию программного обеспечения, показателей подготовки персонала в области ИБ и т.п.;

• A (Действуй) – корректировка планов и выявление новых областей для улучшения в области ИБ.

ProКачество:  Какие основные проблемы в ИБ клиник помогает решить внедрение стандарта ИСО/МЭК 27001? Приведите, пожалуйста, конкретные примеры.

Константин Писаренко: Из практики работы с медицинскими организациями и применения ИСО/МЭК 27001 можно привести следующие примеры:

1. Документы по ИБ сложные для понимания персоналом и руководством. Часто персонал ИТ-службы использует типовые комплекты документов по ИБ и не адаптирует их к условиям медицинской организации. В результате персонал больницы даже не знает требований к ИБ.

2. Не все процессы и риски охватываются мерами информационной безопасности, подход к ИБ носит фрагментарный характер.

Например:

• все внимание уделяется в основном информации в электронном виде, без внимания к бумажным документам; 

• никак не контролируются и не управляются ситуации, в которых персонал может распространять информацию и документы за пределами медицинской организации (дома, на конференциях, в других медицинских организациях и т.п.) или передавать ее в мессенджерах.

3. Управление ИБ замыкается на уровне ИТ-службы, без должного уровня вовлеченности высшего руководства и руководителей подразделений. Это приводит к тому, что в медицинском учреждении нет понимания о существовании стратегического и оперативного уровней управления информационными технологиями и ИБ:

• ИТ-служба не готовит для высшего руководства отчеты на понятном «доступном языке» о динамике показателей по ИБ, о существующих рисках, о наиболее значимых проблемах и т.п. Однако такие отчеты необходимы руководству для принятия грамотных управленческих решений в области развития информационных технологий и ИБ;

• вместо этого ИТ-служба сосредоточена на формальной отчетности перед внешними надзорными органами и учредителем.

4. Планы медорганизаций по действиям в ЧС часто не учитывают сбои в ИТ и кибербезопасности. Однако именно от работы информационных систем и защиты данных в кризис зависит возможность продолжать лечить пациентов.

5. ИТ-служба не понимает требований ИСО 9001 и ИСО 7101, что приводит к дублированию документов и мероприятий по менеджменту качества и ИБ.

Например:

не используются возможности отработанных в рамках системы менеджмента качества (СМК) внутренних аудитов и внутреннего контроля качества и безопасности медицинской деятельности (ВККиБМД);

не используются отработанные в рамках СМК системы управления рисками и нежелательными событиями для управления рисками и инцидентами (нежелательными событиями) в рамках ИБ.

ProКачество: Кроме цикла PDCA, какой набор инструментов предусматривает ИСО/МЭК 27001?

Людмила Семавина: Стандарт ИСО/МЭК 27001:2022 выделяет следующие группы средств управления ИБ:

• организационные;

• связанные с персоналом;

• связанные с физическим доступом;

• технологические.

Описание средств из каждой группы приведено в Приложении А к стандарту в виде чек-листа, по которому организации – пользователи стандарта должны проводить самооценку. Кроме того, существует несколько стандартов, детализирующих описание каждого средства управления из Приложения А ИСО/МЭК 27001:2022:

• ИСО/МЭК 27002 «Свод норм и правил применения средств обеспечения информационной безопасности»;

• ИСО/МЭК 27799 «Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002».

ProКачество:  Можете привести примеры конкретных мероприятий по улучшению в области ИБ по итогам самооценки с помощью чек-листа из Приложения А к ИСО/МЭК 27001?

Константин Писаренко: Да, конечно. Приведу примеры, структурированные по группам средств управления ИБ:

организационные:

• внедрить аудиты поставщиков услуг, несущих риски ИБ в местах выполнения работ поставщиками, например, аудиты процессов утилизации документации, содержащей сведения о финансово-экономической деятельности МО и др.;

• уточнить требования к действиям в случае утери историй болезней на бумажных носителях. Провести соответствующее обучение с персоналом, ответственным за ведение и хранение историй болезней;

• разработать стратегию и поддерживающую программу развития ИТ, включающую мероприятия по обеспечению и улучшению уровня ИБ. При этом программа развития ИТ должна быть основана на общей стратегии развития медицинской организации;

• обеспечить интеграцию  системы менеджмента информационной безопасности  с СМК;

• обеспечить представление высшему руководству МО информации для анализа результативности СМИБ в наглядном виде, учитывая все входные данные, требуемые по разделу 9.3 ИСО/МЭК 27001. Например, в виде графиков с динамикой показателей ИБ, описанием изменений рисков с ранжированием их по значимости и качественными выводами по основным проблемам;

связанные с персоналом:

• больше внимания уделять практической подготовке персонала в области ИБ, включая знания и навыки применения инструкций в области ИБ, отработку действий в случае аварийных ситуаций и чрезвычайных ситуаций;

• повысить уровень вовлечения персонала в выявление рисков в области ИБ и разработку мер по их снижению на основе повышения доступности и информативности процедуры управления рисками для всех групп персонала;

• установить требования к квалификации в области ИБ для каждой должности, а также учитывать соответствующие требования при разработке должностных инструкций;

связанные с физическим доступом:

• уточнить требования к возможности использования информации медицинской организации на бумажных носителях за ее пределами: выноса документации, передачи другим организациям. Провести соответствующее обучение с персоналом;

• обеспечить регистрацию всех посетителей медицинской организации в журнале посетителей по установленной форме;

• уточнить требования к ИБ при использовании для внутренних коммуникаций чатов WhatsApp, «Телеграм» и т.п. Провести соответствующее обучение с персоналом;

технологические:

• изучить риски отсутствия резервного копирования информации, хранящейся в базах данных медицинского оборудования. На основе анализа изучить возможности внедрения дополнительных мер по обеспечению сохранности информации;

• уточнить требования к работам по проектированию и разработке ПО и ИС, выполняемых МО или с ее участием, для обеспечения ИБ на всех этапах проектирования и разработки, а также на этапах внедрения, применения и сопровождения ПО;

• уточнить меры на случай прекращения сотрудничества с разработчиками информационного портала медицинской организации и другими разработчиками информационных систем медицинской организации для обеспечения возможности продолжения поддержания работоспособности систем, их модификации и сопровождения, в том числе на основе доступа к программному коду и базам данных, а также к проектной документации (к описанию архитектуры).

ProКачество: РДКБ г. Уфы участвует в апробации нового стандарта «Цифровая трансформация – Основные принципы, этапы и результаты реализации». Поделитесь опытом совместного применения стандартов.

Ольга Субханкулова: Цифровая трансформация как минимум не должна снижать уровень ИБ, а желательно и повышать его.

В ходе апробации Стандарта ЦТ мы провели анализ его связи с базовым стандартом на системы менеджмента качества медицинских организации ИСО 7101:2023, который применяется в том числе и в нашей организации. В результате получилась интегрированная модель управления качеством и безопасностью медицинской деятельности и цифровой трансформации.

На рисунке прямым шрифтом обозначены разделы ИСО 7101, курсивом – разделы стандарта  ЦТ . Этот анализ позволил оценить возможности Стандарта ЦТ для управления медицинской организацией. Аналогичную работу мы провели по интеграции стандартов ИСО 7101 и ИСО/МЭК 27001.

Ниже я приведу примеры мер по информационной безопасности в рамках ИСО/МЭК 27001, которые мы внедряем на каждом этапе цифровой трансформации согласно разделу 4 Стандарта ЦТ.

Первый этап ЦТ – оценка и анализ текущего состояния организации

Мероприятия в области ИБ: оценка и анализ соответствия системы управления медицинской организации требованиям ИСО/МЭК 27001:2022 по итогам внутренних и внешних аудитов.

Второй этап ЦТ – стратегическое планирование

Мероприятия в области ИБ: планирование мероприятий по улучшению по итогам аудитов в области ИБ.

Третий этап ЦТ – определение ключевых ресурсов

Четвертый этап ЦТ – реализация запланированных мер и шагов

Мероприятия в области ИБ: 

работа с персоналом:

• подготовка персонала в области ИБ;

• повышение доступности и информативности процедуры управления рисками для всех групп персонала;

• установка и выполнение требований к квалификации в области ИБ для каждой должности;

работа с ИТ-инфраструктурой:

• установка и выполнение требований к ИБ при использовании для внутренних коммуникаций чатов WhatsApp, «Телеграм» и т.п.;

• установка и выполнение дополнительных мер по обеспечению сохранности информации баз данных медицинского оборудования.

Пятый этап ЦТ – измерение и оценка полученных результатов

Наглядно демонстрировать высшему руководству эффективность системы менеджмента ИБ. Предоставлять всю информацию, требуемую разделом 9.3 стандарта ИСО/МЭК 27001: графики с динамикой показателей, анализ изменений в рисках с расстановкой приоритетов и выводы по ключевым проблемам.

Шестой этап ЦТ – улучшение

Выявление областей для улучшения в области ИБ по итогам анализа результативности системы менеджмента ИБ со стороны руководства (этап 5 ЦТ).

Предлагаем вам посмотреть запись вебинара, посвященного применению ИСО/МЭК 27001:2022 в медицинских организациях. Эфир был организован в рамках проекта «Устойчивая пятница» Академии Роскачества.