Bryansk, Bryansk, Russian Federation
The features of existing directions and methods for assessing the effectiveness of information protection measures in medical institutions are considered. A comprehensive analysis of objects and identifying threats to the security of personal data is carried out. The authors identify key stages of the object research, consisting of determining the cost of information resources, identifying the most relevant threats, and calculating the damage from their application. The analysis of the possibility of implementing and eliminating threats is performed; a classification of the most critical threat groups is built. The main scientific result of the performed research states that this algorithm application is possible both for scientific purposes and for forming effective personal data protection systems in various organizations. Based on this, this study will lead to increasing the level of the effectiveness assessment for the protection measures of confidential information in medical organizations.
effectiveness assessment of information security, categorizing the effectiveness level of measures and means of confidential information
Введение
На данный момент в информационном обществе важно обеспечить защиту информации от различных угроз и рисков. Каждый день мы сталкиваемся с новыми угрозами, связанными с хакерскими атаками, вирусами, кражей данных и другими событиями, которые могут нанести серьезный ущерб деловой репутации и потерю конфиденциальной информации. Поэтому актуальность разработки и применения эффективных методов оценки информационной безопасности никогда не была такой высокой.
Материалы исследования
В современном обществе угрозам информационной безопасности подвержен не только каждый человек, но и каждая организация, медицинские организации в том числе [1, 7, 12]. Оценка уровня реализуемости угроз безопасности информации не является исключением и для организаций медицинского назначения, так как в данных учреждения обрабатывается информация конфиденциального характера. В последнее время на медицинскую инфраструктуру увеличивается количество хакерских атак. Интерес к медицинским учреждениям для нарушителей объясняется тем, что в информационных системах обрабатывается большое количество информации конфиденциального характера, включая различные медицинские сведения, личные данные пациентов, номера банковских карт. Обработка персональных медицинских данных является важным аспектом в сфере здравоохранения. Защита конфиденциальности этих данных является не только юридическим требованием, но и этической обязанностью организаций, работающих с медицинской информацией. Для обеспечения достаточной безопасности персональных медицинских данных необходимо осуществлять организационные и технические мероприятия. В данной статье будет рассмотрен анализ существующих организационных и технических мероприятий, а также предложения по их усовершенствованию [4, 11].
В 2022 году здравоохранение стало самой атакуемой сферой, доля медицинских учреждений в статистике жертв преступников постоянно увеличивалась: с 8 % в 1 квартале до 12 % в конце года. По данным исследования PositiveTechnologies, преступники чаще всего похищали персональные данные клиентов и сотрудников, а именно 39 % от общей доли похищенных данных. Помимо персональных данных, также хищению подвергалась и медицинская информация, общая доля похищенной информации которой составляла 36 % [2, 6].
В медицинских организациях похищенную информацию могут использовать для различных целей:
1. Финансовые. Использование данной информации в фальсификационных банковских действиях.
2. Идентификационные. Использование украденной информации для получения поддельных удостоверениях личности. Помимо этого, использовать данную информацию для взлома учетных записей пациентов на различных онлайн платформах.
3. Медицинские. Использование медицинской информации для получения медицинских услуг или препаратов на имя другого человека, оставляя счета и ответственность за оплату на пострадавшего.
4. Вымогательские. Шантаж медицинской организации или пациента для получения выкупа.
5. Социальный инжиниринг. Использование данных для получения дополнительных данных и доступа к системе у пациента.
6. Сбор персональных данных. Сбор информации для спама и мошеннических сообщений [8, 9].
Кроме нормативно-правовых актов (НПА) регулятора Министерство здравоохранения выпустило внутренние НПА, в которых содержатся требования к государственным информационным системам в сфере здравоохранения (все информационные системы персональных данных (ИСПДн) медицинского назначения являются таковыми) и методические рекомендации по защите медицинских информационных систем (МИС).
Согласно этим рекомендациям, оценочные мероприятия при определении актуальных угроз безопасности предлагается производить экспертным методом, что не всегда возможно и приемлемо для ИСПДн медицинского назначения. Сотрудники, привлекаемые в качестве экспертов, могут не обладать необходимой квалификацией при оценке угроз, также оценка может иметь субъективный характер. Согласно статистическим данным в сфере здравоохранения только в 29 % случаев ИС их защитой занимаются профильные специалисты, а выделенные отделы информационной безопасности существуют только в 10 % медицинских организаций. Особенно эти проблемы актуальны при создании ИСПДн медицинского назначения для отдельных медицинских учреждений [3, 5].
Обработка персональных медицинских данных является важным аспектом в сфере здравоохранения. Защита конфиденциальности этих данных является не только юридическим требованием, но и этической обязанностью организаций, работающих с медицинской информацией. Для обеспечения достаточной защищенности персональных медицинских данных необходимо осуществлять организационные и технические мероприятия, но для этого необходимо оценивать эффективность защиты персональных данных в различных организациях, с помощью которого можно рассчитать показатель эффективности наборов контрмер для снижения риска утечки персональных данных [6, 10].
Алгоритм оценки эффективности мер и средств защиты персональных данных
Разработанный алгоритм оценки эффективности мер и средств защиты персональных данных в медицинских организациях предложен на рис. 1.
Рис. 1. Алгоритм оценки эффективности мер защиты персональных данных
Fig. 1. Algorithm for evaluating the effectiveness of personal data protection measures
Главным преимуществом предложенного алгоритма является возможность оценки уровня остаточного риска от практической реализации разработанного набора контрмер и расчета степени влияния конкретных средств и методов защиты на общую защищенность организации сферы здравоохранения. Для определения оценки риска синтезирован алгоритм оценки ущерба от нарушения свойств защищенности, который базируется на экспертно-статистической оценке, особенностью которого является использование метода прогнозного графа. Алгоритм позволяет определять качественную и количественную оценку возможного ущерба персональным данным.
1. Определение и оценка персональных данных. На начальном этапе оценки эффективности средств защиты персональных данных в рамках определенной организации сферы здравоохранения, необходимо выполнить анализ максимального финансового ущерба от реализации угроз целостности, доступности и конфиденциальности (размер штрафов, вызванных нарушением требований, действующих нормативно-правовых актов, а также стоимость восстановления информации при появлении деструктивных последствий. В результате выполнения данного этапа должны быть сформированы расчетные показатели, стоимости утечки персональных данных не только клиентов (пациентов), но и сотрудников данного учреждения. Данные показатели должны обрабатываться на объекте с учетом суммы наносимого ущерба, стоимости их восстановления и ряда других показателей.
2. Анализ и формирование групп угроз безопасности информации. На втором этапе нужно определить актуальные угрозы и выявить вероятность реализации угрозы. Помимо этого, в рамках работы на данном этапе должны быть сформированы группы угроз, чтобы определить степень вариативности реализации угроз.
При анализе угроз из состава банка данных угроз (БДУ) ФСТЭК необходимо производить систематизацию перечисленных угроз. Подробная систематизация выполнена в работе [4].
Анализ результатов работы и ряда других источников позволил ранжировать данные о частоте возникновения различных угроз безопасности информации (УБИ) для медицинских учреждений (табл. 1).
Таблица 1
Наиболее частые УБИ в медицинских учреждениях
Table 1
Most common UBIs in health care settings
|
Наименование УБИ |
Частота угрозы в % |
Частота угрозы средняя в % |
|
|
УБИ.006 |
Угроза внедрения кода или данных |
52…92 |
72 |
|
УБИ.030 |
Угроза использования информации идентификации/аутентификации, заданной по умолчанию |
50…87 |
69 |
|
УБИ.050 |
Угроза неверного определения формата входных данных, поступающих в хранилище больших данных |
48…69 |
59 |
|
УБИ.052 |
Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения |
48…59 |
52 |
|
УБИ.057 |
Угроза неконтролируемого копирования данных внутри хранилища больших данных |
46…87 |
67 |
|
УБИ.063 |
Угроза некорректного использования функционала программного и аппаратного обеспечения |
50…89 |
70 |
|
УБИ.067 |
Угроза неправомерного ознакомления с информацией |
62…100 |
81 |
|
УБИ.088 |
Угрозы несанкционированного копирования данных |
46…92 |
69 |
|
УБИ.135 |
Угроза потери и утечки данных, обрабатываемых в облаке |
48…69 |
59 |
|
УБИ.138 |
Угроза потери управления собственной инфраструктурой при переносе её в облако |
48…59 |
52 |
|
УБИ.140 |
Угроза приведения системы в состояние «отказ в обслуживании» (DOS) |
46…87 |
67 |
|
УБИ.156 |
Угроза утраты носителей информации |
62…100 |
81 |
|
УБИ.164 |
Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре |
67…83 |
75 |
|
УБИ.167 |
Угроза заражения компьютера при посещении неблагонадежных сайтов |
50…87 |
69 |
|
УБИ.168 |
Угроза «кражи» учетной записи доступа к сетевым сервисам |
48…69 |
59 |
|
УБИ.170 |
Угроза неправомерного шифрования информации |
38…69 |
47 |
|
УБИ.172 |
Угроза распространения «почтовых червей» |
46…87 |
67 |
|
УБИ.175 |
Угроза «фишинга» |
62…100 |
81 |
|
УБИ.179 |
Угроза несанкционированной модификации защищаемой информации |
67…83 |
75 |
|
УБИ.197 |
Угроза хищения аутентификационной информации из временных файлов cookie |
67…100 |
83 |
3. Определение параметров риска для каждой группы угроз. Осуществление дифференциации групп угроз и выделение критичной группы угроз на основании параметров: ki – ответ на i вопрос опросника, ai – коэффициент важности, определяющийся экспертным методом и удовлетворяющий условию (1).
. (1)
4. Оценка вероятности реализации выявленных угроз. Оценка вероятности реализации выявленных угроз проводится экспертным методом (2).
Vry = 
. (2)
Определение вероятности реализации определенной угрозы рассмотрим на примере угрозы УБИ.067«Угроза неправомерного ознакомления с информацией» (табл. 2).
Таблица 2
Пример определения возможности реализации УБИ. 067
Table 2
An example of determining the possibility of implementing UBI. 067
|
№ угрозы |
Название угрозы безопасности информации |
Уязвимости |
ki |
Коэффициент важности ai |
Возможность реализации угрозы Vr |
|
УБИ.067 |
Угроза неправомерного ознакомления с информацией |
Не назначен администратор ИБ / управление ИБ для регулярной проверки логов (системных событий) |
0 |
0,4 |
0,4 |
|
Установлена многофакторная аутентификации для DNS-сервера |
1 |
0,4 |
|||
|
Переговорные не проходили аттестацию (проходили более 5 лет назад) |
0 |
0,2 |
Vr на пример УБИ.067 вычисляется следующим образом:
Vr = (0·0,4) + (1·0,4) + (0·0,2) = 0,4.
5. Определение средней вероятности реализации угроз. Следующим этапом является определение среднего значения возможности реализации угроз:
Vry = 
(3)
где Vry – среднее значение возможности реализации угроз; Ny – общее количество угроз, выявленных для данной организации.
В заключении данного этапа необходимо перевести количественный средний показатель возможности реализации угрозы (Vry) в качественный показатель возможности возникновения угрозы (ПВВУ): 0…40 (Vry) – показатель «низкий» (ПВВУ); 41…70 (Vry) – показатель «средний» (ПВВУ); 71…100(Vry) – показатель «высокий» (ПВВУ).
Приведенное преобразование от количественного показателя к качественному продиктовано необходимостью расчета риска в соответствии с матрицей, представленной в табл. 3. В матрице все значения для определения уровня эффективности мер защиты информации определены по качественным показателям. В рамках данного этапа должна сформироваться группа угроз и показатель вероятности реализации угроз безопасности персональных данных. Таким образом, это позволяет определить необходимые контрмеры, для минимизации этого риска.
6. Определение коэффициента риска информационной безопасности. На шестом этапе проводится оценка степени критичности групп угроз. Этот показатель можно рассчитать с помощью значения коэффициента риска (4).
Kd = 
, (4)
где Kd – коэффициент риска; b – последствия от реализации угрозы (ценность актива); Ny – количество определенных угроз.
7. Оценка уровня риска информационной безопасности. В рамках данного этапа должен быть определен показатель уровня риска ИБ. Показатель уровня риска информационной безопасности «Yr» – определяет будет ли реализована угроза в данном медицинском учреждении с учетом вероятности реализации угрозы и уровня коэффициента риска информационной безопасности. Данное значение рассчитывается по формуле (5).
Yr = 
(5)
где Yr – уровень риска информационной безопасности, 0 ≤ Yr ≤ 50; Vry – возможность реализации угрозы, 0 ≤ Vry ≤ 100; Kd – коэффициент риска, 0 ≤ Kd ≤ 10.
После расчета Yr будут получены количественные оценки. Чтобы понять их значение, переведем данный результат в качественные с помощью шкалы оценок. Данная шкала оценивания выглядит следующим образом:
Если 0 ≤ Yr ≤ 20, то уровень риска является низким;
Если 20 < Yr ≤ 30, то уровень риска является средним;
Если 30 < Yr ≤ 40, то уровень риска является высоким;
Если 40 < Yr ≤ 50, то уровень риска является очень высоким.
8. Подведение итоговой оценки эффективности защиты персональных данных. На восьмом этапе определяется итоговая оценка эффективности защиты персональных данных. Оценка эффективности формируется благодаря сравнительному анализу, который был получен в результате просчета модели показателя уровня риска и рассчитанной вероятности реализации угроз. Уровень эффективности мер защиты информации производится согласно табл. 3.
Таблица 3
Уровень эффективности мер защиты информации
Table 3
Level of effectiveness of information security measures
|
Уровень риска ИБ (Yr) |
Возможность реализации угроз(Vry) |
||
|
Низкий |
Средний |
Высокий |
|
|
Низкий |
0 |
1 |
2 |
|
Средний |
1 |
2 |
3 |
|
Высокий |
2 |
3 |
4 |
|
Очень высокий |
3 |
4 |
5 |
Данная шкала оценивания выглядит следующим образом:
Если 0…1, то уровень эффективности мер защиты конфиденциальной информации является достаточно высокой;
Если 2…3, то уровень эффективности мер защиты конфиденциальной информации является средней;
Если 4…5, то уровень эффективности мер защиты конфиденциальной информации является очень низкой.
Результаты
Особенностью разработанного алгоритма является возможность оценки уровня эффективности мер защиты конфиденциальной информации не только в медицинских, но и в других организациях. Для расчета оценки эффективности мер защиты разработан алгоритм оценки показателя вероятности реализации угроз, базирующийся на экспертно-статистической оценке. Данная математическая модель позволит рассчитать оптимальный показатель уровня эффективности мер защиты конфиденциальной информации.
Заключение
Разработанный алгоритм можно использовать для оценки эффективности защиты персональных данных в различных организациях. Исходя из этого, данное исследование приведет к повышению уровня оценки эффективности мер защиты конфиденциальной информации в медицинских организациях, что, в свою очередь, приведет к повышению эффективности работы сферы здравоохранения.
1. Rytov M.Yu., Leksikov E.V. Formalization of Methods for Analysis of Information Security Risks. Bulletin of BSTU. 2018;3:141-146.
2. Konareva L.A. The Quality of Consumer Goods as an Element of National Security. USA-Canada: Economics, Politics, Culture. 2019;11.
3. Kotov V. Organization of State (Municipal) Concessions and Economic Security. The Economist. 2020;5.
4. Federal Law From 2006 Jul 27 on Information, Information Technologies and the Protection of Information, no. 149-FZ (27-07-2006).
5. Meshcheryakov R.V. Protection of Personal Data in Healthcare Organizations. Moscow: Hotline-Telecom; 2020.
6. Adamov N.A., Morozova A.K., Morozov A.Yu., Khmelev S.A. Competitive Advantages as a Factor of Ensuring Economic Security of Consumer Cooperation. Russian Journal of Management. 2019;7(3):61.
7. Basalai S.V. Construction of a Risk Management System to Increase Economic Security. Microeconomics. 2019;2.
8. Bauer V.P., Litvinova E.M. Economic Security and International Reserves of the Bank of Russia. EKO. 2018;9.
9. Bendikov M., Khrustalev E. Economic Security of Science-Intensive Production. Voprosy Ekonomiki. 2019;9.
10. Bendikov M.A., Khrustalev E.Yu. Science-Intensive Production and Economic Security. ECO. 2020;8.
11. Beketov N.V., Tarasov M.E. Problems of Ensuring the Economic Security of the State in the Sphere of Foreign Economic Activity. National Interests: Priorities and Security. 2019;8.
12. Rytov M.Yu., Sedakov K.A. Analysis of the Possibility of Using the Methodology for Determining Current Threats to Information Security for Medical Institutions. Information Systems and Technologies. 2023;5(139):112-119.
13. Sedakov KA, Rytov MYu. Analysis of the Methods for Ensuring Information Security of Medical Institutions. In: Proceedings of the All-Russian Conference on Automation and Modelling in Design and Management: 2023. p. 78-80.
