ANALYSIS OF DAMAGE CAUSED BY FAILURES OF THE SOFTWARE PROTECTION SYSTEM MODULES OF PERSONAL DATA IN MEDICAL INSTITUTIONS

Abstract


Using the known formal methods of risk analysis of failure of software systems ETA (Event Tree analysis), FTA (Fault Tree analysis), FMEA (failure modes and effects analysis) identified and assessed risks of failures of protective systems, personal data in a medical facility in order to determine the types of system failures and the development of technical and organizational measures to reduce damage of personal data from violations of health protection.

Актуальность. Появление новых угроз безопасности информации (БИ) ведущих к нарушению прав гражданина России на личную неприкосновенность обусловили необходимость реализации технических мер направленных на защиту конфиденциальной информации. Законодательство России пополнилось рядом законодательных актов определяющих ответственность за сбор, хранение, распространение персональных данных (ПДн) граждан незаконными методами. Особенную актуальность проблема защиты ПДн приобрела в медицине, поскольку медицинская помощь сопряжена с анализом свдений о пациентах, относящихся к специальной категории персональных данных. Доступ к конфиденциальной информации граждан ограничен в соответствии с федеральными законами (информация ограниченного доступа). Статья 24 Конституции России определяет: "сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются". Статья 24 Конституции России обязывает всех лиц, обрабатывающих информацию о частной жизни граждан, соблюдать установленный порядок сбора, хранения, использования и распространения такой информации, установленный Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации". В связи с рядом особенностей обработки ПДн при оказании медицинской помощи в последние годы было принято несколько федеральных законов, в соответствии с которыми в настоящее время регулируется защита ПДн при осуществлении медицинской деятельности [3-5]. В качестве методической основы формирования технических требований к СЗИ ИСПДн в России используется Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". В соответствии с Постановлением правительства, а также с установленным в России правилами разработки и сертификации СЗИ [1], системы защиты разрабатываются организациями лицензиатами Федеральной службы технического и экспортного контроля России (ФСТЭК России), проходят сертификационные испытания и применяются в ИСПДн в качестве встраиваемой в состав операционных систем (ОС) защиты. Интегрирование программных модулей СЗИ в операционную систему (ОС) ИСПДн, требование реализации функций защиты при инициации любого информационного обмена и обеспечения доверенной программной среды (невозможность выключить СЗИ или обойти) обусловили актуальность проблемы надежности данных систем. Как любая программная система СЗИ ИСПДн может иметь в программном коде ошибки, не обнаруженные и не исправленные при их отладочных, приемо-сдаточных и сертификационных испытаниях. В ходе эксплуатации ошибки СЗИ могут привести к возможности реализации угроз БИ различного вида. В связи с этим характеристики надежности СЗИ должны иметься в их конструкторской документации и использоваться при разработке информационных систем. При этом, в соответствии с требованиями единой системой конструкторской документации, в "Пояснительной записке..." эскизного и технического проекта требуется наличие раздела содержащего обоснования надежности принятых проектных решений с методиками расчета и оценками показателей. Однако анализ нормативной документации, регламентирующей правила защиты ПДн в медицинских организация [2-4] показал что проблема надежности СЗИ в них не рассматривается. Анализ проблемы надежности СЗИ для автоматизированных систем в целом, проведенный в [7], показал, что в настоящее время в Российских нормативных документах и международных стандартах методы расчетов показателей надежности такого класса систем не содержатся. Соответственно, показатели надежности СЗИ отсутствуют и в программной документации СЗИ применяемых для ЗИ ИСПДн в организациях здравоохранения. Тем не менее, в практике организации защиты ПДн отказы СЗИ случаются достаточно часто и приводят к нарушению состояния безопасности ПДн (конфиденциальности, целостности и доступности). Таким образом, задача анализа влияния надежности СЗИ ИСПДн на различные аспекты безопасности ПДн медицинского учреждения достаточно актуальна. Анализ дерева событий эксплуатации системы защиты информации. Проведение и оценки и идентификации отказов СЗИ ИСПДн целесообразно реализовать с использованием формального метода анализа риска отказа [8-10] ETA (Event Tree analysis анализ дерева событий). Предназначением метода ETA является определение возможных сценариев использования СЗИ и возможных мест локализации отказов СЗИ. При построении дерева событий используется индуктивный подход построения модели реализуемых событий в СЗИ и их последствий [8]. Дерево событий предназначено для построения логической схемы СЗИ, определяющей при заданных исходных событиях сценария (корневое событие дерева множество конечных событий, являющихся реализацией всех возможных комбинаций промежуточных альтернативных событий. При этом дерево событий отражает: успешные или неуспешные финалы промежуточных событий; состояния отказы или работоспособные программных модулей; ошибочные или правильные действия операторов. Построим функциональное дерево эксплуатации системы защиты информации наиболее часто применяемой для защиты ПДн в медицинских учреждениях "Страж NT 3.0" [11]. Полученные результаты и их обсуждение. В соответствии с методологией ETA шаги по построению дерева описаны ниже. Шаг 1. Формирование границ анализа и анализируемой системы. В качестве анализируемой системы рассмотрена СЗИ "Страж NT 3.0". Система предназначена для комплексной защиты информационных ресурсов от несанкционированного доступа при работе, в ИСПДн в соответствии с требованиями [2 - 4]. Функционирует в среде 32- и 64-разрядных операционных систем Microsoft Windows [11]. Система сертифицирована ФСТЭК России на соответствие РД СВТ по 3-му классу защищенности [12] и РД НДВ по 2-му уровню контроля НДВ [11]. Система защиты функционирует на всем временном интервале обработки ПДн с момента введения в эксплуатацию ИСПДн и до момента вывода из эксплуатации. Основными категориями пользователей СЗИ являются: администратор безопасности (выполняет функции настройки и периодического контроля) и пользователь (выполняет функции по непосредственной обработке ПДн). Соответственно, в СЗИ предусмотрены два основных режима. Режим администрирования (интерфейсы программ "Менеджер пользователей", "Менеджер файлов" и др.) и режим работы пользователя (функции защиты СЗИ реализуются автоматически без участия пользователя). Система защиты взаимодействует с системными сервисами операционной системы, текстовыми и табличными процессорами и другими прикладными программами и порождаемыми ими процессами и потоками при установке специальных шаблонов системы защиты, обеспечивающих применение к ним защитных функций. Требованием, предъявляемым к СЗИ является является высокая надежность, обеспечивающая выполнение защитных функций в течение всего периода эксплуатации ИСПДн и минимальная загрузка процессора, обеспечивающая возможность работы пользователя с текстовым процессором и другими прикладными программами в реальном масштабе времени. Шаг 2. Идентификация начальных событий. В повседневном режиме работы функционирование СЗИ начинается с предъявления электронного идентификатора и введения пароля пользователем при загрузке ОС. Шаг 3. Идентификация возможных последствий. В качестве основы для проведения анализа возможных последствий отказов программных модулей СЗИ рассмотрим стандартную схему работы пользователя с конфиденциальной информацией. После выполнения начального события в СЗИ, выделенного на первом этапе, пользователь осуществляет доступ к информационному ресурсу. При доступе осуществляется контроль целостности и последовательная запись в "Журнал регистрации". После окончания работы пользователь закрывает информационный ресурс, и подсистема очистки памяти автоматически заполняет освобождаемые физические ячейки памяти нулями в несколько проходов. Возможные промежуточные события работы СЗИ и последствия отказов программных модулей СЗИ отображены в виде бинарного дерева событий, представленного на рисунке 1. Шаг 4. Определение сценариев возникновения отказов. Отказ подсистемы идентификации и аутентификации СЗИ приводит к возможности входа злоумышленника в систему с правами администратора. Вторым негативным сценарием при отказе подсистемы идентификации и аутентификации СЗИ является блокирование ЭВМ для всех категорий легальных пользователей. Рис. 1. Бинарное дерево событий отказов СЗИ Отказ подсистемы управления доступом (дискреционное и мандатное) приводит к возможности доступа к ПДн в обход установленной политики безопасности. Отказ подсистемы контроля целостности СЗИ приводит к возможности нарушения злоумышленником целостности информационных ресурсов (файлов папок содержащих ПДн и разделов жестких магнитных дисков (ЖМД) в целом), прикладных программ и программной среды. Отказ подсистемы регистрации событий и аудита СЗИ приводит к блокированию журнала регистрации событий или НСД к этому журналу злоумышленника. Отказ подсистемы очитки памяти СЗИ приводит к наличию фрагментов информации содержащей ПДн на освобождаемых физических кластерах ЖМД. Шаг 5. Прогноз сценариев отказов подсистем Отказ подсистемы идентификации и аутентификации СЗИ может возникнуть с вероятностью P1, величина которой прописывается в каждом конкретном случае в коде программ в виде Pi. Значение величины вероятностей отказов программных модулей можно оценить, используя методики [16, 17], в которых указаны данные о реализованных в них функциональных точках и оценочных данных об эквивалентном количестве строк исходного кода программы. Отказ подсистемы управления доступом возможен после ввода идентификационной и аутентификационной информации пользователем, с вероятностью (1 - P1)* P2. Отказ подсистемы контроля целостности возможен после санкционированного доступа к ПДн с вероятностью (1 - P1)* (1 - P2)*P3. Отказ подсистемы регистрации событий и аудита возможен после санкционированного доступа к ПДн и проверки целостности с вероятностью (1 - P1)*(1 - P2)* (1 - P3)*P4. Отказ подсистемы очистки памяти возможен при санкционированном доступе пользователя к ПДн после завершения работы с информационным ресурсом с вероятностью (1 - P1)*(1 - P2)*(1 - P3)* (1 - P4)*P5. Шаг 6. Оценка нарушаемых свойств безопасности персональных данных и возникающих ущербов вызванных отказами программных модулей системы защиты При оценке нарушаемых свойств безопасности ПДн и возникающих ущербов вызванных отказами программных модулей СЗИ необходимо руководствоваться анализом факторов, связывающих надёжность математического, программного и информационного обеспечения СЗИ с общими показателями БИ. Нарушаемые свойства безопасности ПДн вызванные отказами программных модулей СЗИ и связанные с отказами ущербы представлены в таблице 1. Шаг 7. Формирование перечня организационных и технических мероприятий направленных на снижение ущербов обусловленных отказами системы защиты информации Формирование перечня организационных и технических мероприятий направленных на снижение ущербов обусловленных отказами системы защиты ПДн базируются на событиях отказов, определяющих высший уровень детализации классификации событий, связанных с нарушением базовых свойств безопасности информации: конфиденциальности, целостности и надежности. При отказах СЗИ приводящих к нарушению свойства целостности информации возможны: несанкционированное уничтожение информации; несанкционированная модификация информации; несанкционированное перемещение информации; несанкционированное уничтожение информации. Таблица 1. Нарушаемые свойства безопасности персональных данных вызванные отказами программных модулей СЗИ и связанные с отказами ущербы Компонент Оценка сценария возникновения отказа Нарушаемое свойство безопасности ПДн Ущербы вызванные отказами СЗИ Подсистема идентификации и аутентификации Вход злоумышленника в систему с правами администратора Нарушение конфиденциальности ПДн Несанкционированное копирование; Несанкционированное ознакомление Блокирование ЭВМ для всех категорий легальных пользователей Нарушение доступности ПДн Отсутствие доступа на чтение ресурса; Отсутствие доступа на модификацию ресурса; Отсутствие доступа на удаление ресурса; Блокирование функций СЗИ Подсистема управления доступом Возможность доступа к ПДн в обход установленной политики безопасности Нарушение конфиденциальности ПДн Несанкционированное копирование; Несанкционированное ознакомление Подсистема контроля целостности Возможность нарушения злоумышленником целостности ПДн Нарушение целостности ПДн Блокирование функций СЗИ; Несанкционированная модификация; Несанкционированная модификация информации; Несанкционированное уничтожение информации; Несанкционированное перемещение информации Подсистема регистрации событий и аудита Блокирование журнала регистрации событий Нарушение конфиденциальности ПДн; Нарушение целостности ПДн Несанкционированное копирование; Несанкционированное ознакомление Блокирование функций СЗИ; Несанкционированная модификация; Несанкционированная модификация информации; Несанкционированное уничтожение информации; Несанкционированное перемещение информации Несанкционированный доступ к журналу событий Нарушение конфиденциальности ПДн Несанкционированное копирование; Несанкционированное ознакомление Подсистема очистки памяти Наличие фрагментов информации содержащей ПДн в освобождаемой памяти Нарушение конфиденциальности ПДн Несанкционированное копирование; Несанкционированное ознакомление При анализе событий НСД, обусловленных нарушением свойства целостности ПДн, в свою очередь, определим детальный перечень возникающих ущербов: невозможность доступа к ПДн; невозможность запуска программ для ввода накопления и обработки ПДн; нарушения заданных алгоритмов программ для ввода накопления и обработки ПДн; неадекватные действия информационных и расчетных задач, связанных с модификацией ПДн; нарушение штатных алгоритмов выполнения процессов и потоков операционной системы; замена легитимных процессов процессами реализующими НСД; сбои работы ИСПДн и отказы операционной системы. Связь между отказам подсистемы обеспечения целостности и последствиями отказов, приводящих к нарушению свойства целостность информации, представлена на рисунке 2. Рис. 2. Связь между отказам подсистемы обеспечения целостности и последствиями отказов, приводящих к нарушению свойства целостность информации Анализ последствий отказов подсистемы обеспечения целостности требует выполнения технических мероприятий направленных на снижение ущербов обусловленных изменением штатного алгоритма активных процессов и изменение состава необходимых активных процессов таких как антивирусный контроль и организационных мероприятий по контролю за выполнением антивирусной защиты. Анализ последствий отказов подсистемы обеспечения целостности СЗИ ПДн требует выполнения организационных мероприятий направленных на снижение ущербов обусловленных отсутствием возможности доступа и изменением декларируемого алгоритма обработки таких как контроль над соблюдением режима обработки ПДн, контроль над соблюдением режима защиты, проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн. При отказах СЗИ приводящих к нарушению свойства конфиденциальности возможна реализация множества угроз БИ подробно приведенная в [16, 17]. Основными из угрозами, обусловленными отказами СЗИ, являются угрозы блокирования функций управления доступом, межсетевого экранирования, нарушение штатного режима работы ИСПДн с использованием средств программно-математического воздействия на операционную систему, повышение уровня доступа в систему посредством использования учётной записи другого пользователя, использование уязвимостей различных видов (ОС или прикладного программного обеспечения, администрирования, протоколов межсетевого взаимодействия), использование вредоносных программ («троянцы», лазейки (дыры), вирусы и т.д.) с применением недекларированных возможностей, использование уязвимостей инфраструктуры сетей, НСД к информации находящейся в памяти ЭВМ. Основными подсистемами СЗИ, обеспечивающими парирование угроз БИ направленных на нарушение свойства конфиденциальности информации и информирующих о попытках НСД к ПДн являются подсистемы идентификации и аутентификации и управления доступом. Угрозы БИ, направленные на нарушение конфиденциальности или несанкционированное копирование информации, парируются средствами СЗИ обеспечивающими правильность выполнения политик предоставления доступа, такими как средства администрирования. Основой для анализа информации о нарушении конфиденциальности информации является информация журналов регистрации и учета СЗИ и журналах администрирования ОС. Соответственно, ущербы от нарушения конфиденциальности информации возникают также в результате отказов средств регистрации и учёта. Связь между отказами подсистем идентификации и аутентификации, управления доступом, регистрации и учета и последствиями отказов СЗИ, приводящих к нарушению свойства целостность информации, представлена на рисунке 3. Рис. 3. Связь между отказами подсистем идентификации и аутентификации, средствами администрирования, средствами регистрации и учета и последствиями их отказов, приводящих к нарушению свойства конфиденциальность информации Анализ последствий отказов подсистем идентификации и аутентификации, администрирования, регистрации и учета требует выполнения ряда технических и организационных мероприятий направленных на снижение ущербов при их отказах. В качестве основного технического мероприятия направленного на парирование отказов идентификации и аутентификации и администрирования целесообразно применять антивирусный контроль. При этом, требуется применение сертифицированных в соответствие с [19] антивирусных пакетов. Для парирования отказов подсистемы идентификации и аутентификации, кроме того требуется использовать средства доверенной загрузки [20], а также организация контроля доступа на территорию учреждения, в помещение где установлены соседства вычислительной техники и непосредственно к аппаратуре и программным средствам ИСПДн. Для парирования отказов системы регистрации и учета СЗИ необходимо использовать резервное копирование и восстановление работоспособности, дополнительные средства контроля целостности, а также применение дополнительных программных средств контроля за пользователем (DLP) средств [21]. Основными подсистемами СЗИ, обеспечивающими парирование угроз БИ направленных на нарушение свойства доступности информации являются подсистемы СЗИ идентификации и аутентификации и управления доступом. Связь между отказами подсистем идентификации и аутентификации, управления доступом и последствиями отказов СЗИ, приводящих к нарушению свойства доступность информации, представлена на рисунке 4. Рис. 4. Связь между отказами подсистем идентификации и аутентификации и последствиями их отказов, приводящих к нарушению свойства доступности информации В качестве основного технического мероприятия направленного на парирование отказов идентификации и аутентификации и управления доступом целесообразно применять организационные мероприятия направленные на ограничение и контроль доступа на территорию, помещение где размещены технические средства ИСПДн и к аппаратным средствам. Кроме того для обеспечения защиты ПДн от доступа по виртуальному каналу требуется применение межсетевых экранов (МЭ). Использование МЭ при защите ПДн регламентировано специальными нормативными документами [22]. Выводы. Проведенный анализ отказов подсистем входящих в состав СЗИ, используемых в составе медицинских информационных систем для защиты ПДн в соответствии с [2, 3], показал, что в результате отказов возможны различные ущербы. Ущербы ИСПДн возникают при реализации угроз БИ направленных на нарушения свойств конфиденциальности, целостности и доступности ПДн. При этом, реализация угроз БИ обуславливается недостаточной надежностью СЗИ. Используемый в статье метод анализа дерева событий [8] позволяет провести содержательный анализ событий обусловленных отказами подсистем СЗИ, провести количественную оценку вероятности реализации этих событий и разработать меры направленные на парирование отказов.

V P Gulov

Voronezh State Medical University

A V Scrypnikov

Voronezh State Medical University

V A Khvostov

Voronezh State University of Engineering Technologies

  1. Положение о системе сертификации средств защиты информации. Приказ директора ФСТЭК России от 3 апреля 2018 г. № 55 URL: https://fstec.ru/component/attachments/download/1883 (дата обращения: 26.09.2019).
  2. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Приказ директора ФСТЭК России от 18 февраля 2013 г. № 21 URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691 (дата обращения: 26.09.2019).
  3. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" "Российская газета", N 256, 07.11.2012
  4. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" "Парламентская газета", N 126-127, 03.08.2006.
  5. Федеральный закон от 29 ноября 2010 г. № 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" (с изменениями и дополнениями);
  6. Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".
  7. Хвостов В.А. Разработка моделей и алгоритмов обоснования требований к программным средствам защиты информации от несанкционированного доступа.: дис. … канд. ист. наук: 05.13.19: защищена 26.06.08. - Воронеж., 2008. - 137 с.
  8. Leveson N. Safeware: system safety and computers. Addison-Wesley Publishing Company, 1995. - 680 p.
  9. Вишняков Я.Д., Радаев Н.Н. Общая теория рисков: учебное пособие. - М.: Издательский центр «Академия», 2008. - 368 с.
  10. Хохлов Н.В. Управление риском: Учеб. пособие для вузов. - М.: ЮНИТИ-ДАНА, 2001. - 239 с.
  11. Система защиты информации от несанкционированного доступа «Страж NT». Описание применения. URL: http://www.rubinteh.ru/public/opis30.pdf (дата обращения: 23.02.2019).
  12. ФСТЭК РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [Электронный ресурс]. - URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/384-rukovodyashchij-dokument-reshenie-predsedatelya-gostekhkomissii-rossii-ot-30-marta-1992-g (дата обращения 08.05.2018).
  13. ФСТЭК РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. [Электронный ресурс]. - URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/382-rukovodyashchij-dokument-prikaz-predsedatelya-gostekhkomissii-rossii-ot-4-iyunya-1999-g-n-114 (дата обращения 08.05.2018).
  14. Park R. Software Size Measurement: A Framework for Counting Source Statements // Tech. Report CMU/SEI-92-TR-020. - Software Eng. Inst., Pittsburgh, 1992. - 242 p.
  15. Jones C. A short history of Function Points and Feature Points // Cambridge, Massachusetts: Software Productivity Research, Inc.- 1988.- 45 p.
  16. Методический документ ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год [Электронный ресурс]. - URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god (дата обращения: 10.01.2019).
  17. Кисляк А.А., Макаров О.Ю., Рогозин Е.А., Хвостов В.А. Методика оценки эффективности применения межсетевых экранов // Вестник воронежского технического университета. 2009. №5 С. 131 - 135.
  18. Макаров О.Ю., Хвостов В.А., Хвостова Н.В. Методика нормирования требований к информационной безопасности автоматизированных систем // Вестник Воронежского государственного технического университета. 2010. Т.6 №11 С. 47 - 51.
  19. Методический документ ФСТЭК России. Профиль защиты средств антивирусной защиты. типа "Б". Четвертого класса защиты ИТ.САВЗ.Б4.ПЗ. [Электронный ресурс]. - URL: https://fstec.ru/component/attachments/download/398.
  20. Методический документ ФСТЭК России. Профиль защиты. Средства доверенной загрузки уровня платы расширения четвертого класса защиты. ИТ.СДЗ.ПР4.ПЗ [Электронный ресурс]. - URL: https://fstec.ru/component/attachments/download/661.
  21. DLP-система в 2020 и её задачи [Электронный ресурс]. - URL: https://falcongaze.ru/pressroom/publications/dlp-sistemy.
  22. Методический документ ФСТЭК России. Профиль защиты. межсетевых экранов типа «А» пятого класса защиты ИТ.МЭ.А5.ПЗ [Электронный ресурс]. - URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty.

Views

Abstract - 1

PDF (Russian) - 0

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies