КЛИЕНТ
АО «Международный аэропорт Сочи» — крупнейший аэропортовый комплекс Черноморского побережья и один из ключевых аэропортов юга России, ежегодно обслуживающий миллионы пассажиров и принимающий международные рейсы. Аэропорт является стратегическим транспортным объектом, играющим важную роль в обеспечении туристического потока, проведении международных мероприятий и обслуживании официальных делегаций. Инфраструктура аэропорта представляет собой сложный комплекс взаимосвязанных систем: аэродромное оборудование, системы авиационной безопасности, информационные системы обслуживания пассажиров и багажа, служебные и корпоративные ИТ-системы, а также специализированные системы медицинского обеспечения.Наличие собственной развитой медицинской службы — характерная особенность крупных аэропортов: медицинский пункт обеспечивает предполётный осмотр лётного состава, оказание медицинской помощи пассажирам и персоналу, проведение периодических медицинских осмотров, а в ряде случаев — координацию с санитарно-эпидемиологическими службами. Работа медицинской службы подразумевает обработку значительных объёмов персональных данных, относящихся к специальным категориям: сведения о состоянии здоровья, результаты медицинских обследований, диагнозы, информация о допуске к работе, данные о хронических заболеваниях.
ЗАДАЧА
Перед нашей командой была поставлена задача обеспечить защиту специальных категорий персональных данных в сложной медицинской информационной системе персональных данных (ИСПДн) аэропорта. Конкретный перечень работ включал: определение уровня защищённости ИСПДн в соответствии с Постановлением Правительства № 1119, инвентаризацию контуров ИСПДн с уточнением границ, составов и взаимосвязей, моделирование угроз безопасности персональных данных по актуальной методике ФСТЭК России, подбор и внедрение сертифицированных средств защиты информации (СЗИ), а также прохождение аттестационных испытаний по требованиям Приказа ФСТЭК России № 21 от 18 февраля 2013 года и Приказа ФСТЭК России № 77 от 29 апреля 2021 года.ОТРАСЛЬ
Пересечение двух регулируемых отраслей — гражданская авиация и здравоохранение. С одной стороны, аэропорт как субъект КИИ попадает под 187-ФЗ и приказы ФСТЭК по защите значимых объектов; с другой — медицинская служба обрабатывает персональные данные специальных категорий (состояние здоровья), что требует соблюдения 152-ФЗ, ПП № 1119, Приказа ФСТЭК № 21, а также учёта специфики медицинского законодательства (323-ФЗ «Об основах охраны здоровья граждан», требования к врачебной тайне). Сочетание регуляторных рамок делает такие ИСПДн одними из наиболее сложных для проектирования защиты.ПРОБЛЕМАТИКА
Клиент обозначил потребность в усилении защиты специальных категорий персональных данных в медицинской ИСПДн. Проблематика складывалась из нескольких взаимосвязанных факторов.- Первый — высокая чувствительность обрабатываемых данных: сведения о состоянии здоровья относятся к наиболее чувствительной категории по российскому законодательству, и утечка таких данных грозит не только штрафами по 152-ФЗ, но и существенным репутационным ущербом, а также потенциальными исками от субъектов данных.
- Второй фактор — сложность самой системы. Медицинская ИСПДн аэропорта — это не изолированная локальная база, а распределённая система, в которой медицинский пункт обменивается данными с кадровой службой (для согласования допусков), со службой авиационной безопасности (предполётный контроль лётного состава), с внешними лечебными учреждениями (направления, результаты обследований), с информационными системами надзорных органов. Каждый контур обмена — это потенциальный канал утечки, требующий отдельного моделирования угроз и подбора компенсирующих мер.
- Третий фактор — ранее сформированный базис защиты устарел. Использовавшаяся ранее модель угроз была построена по методике ФСТЭК 2008 года, которая в 2021 году была заменена новой методикой. Часть ранее применявшихся СЗИ не обновлялась либо потеряла актуальные сертификаты. Документация по системе защиты не соответствовала текущему составу ИСПДн.
- Четвёртый фактор — регуляторное давление: за последние годы ФСТЭК России и Роскомнадзор существенно усилили контроль за защитой медицинских ПДн, участились проверки, выросли размеры штрафов. Для аэропорта как публичной организации любой инцидент с медицинскими данными имел бы непропорционально высокий репутационный эффект.
Проблемы главврача, директора по ИТ, ответственного за обработку ПДн — заключалась в совокупности опасений: страх проверки регулятора при отсутствии актуальной аттестации, страх утечки данных и последующих санкций, неопределённость относительно достаточности существующих мер, неуверенность в соответствии подрядчиков и интеграторов требованиям законодательства.
РЕШЕНИЕ
Мы применили актуальные подходы к моделированию угроз на основе методики ФСТЭК от 2021 года — документа «Методика оценки угроз безопасности информации», утверждённого ФСТЭК России 5 февраля 2021 года. В отличие от предыдущей методики, новая ориентирована на оценку возможностей нарушителя (тактик, техник и процедур — TTP) и построение сценариев атак, что позволяет получить более реалистичную модель угроз и более точно подобрать меры защиты.Работа была разделена на несколько последовательных этапов.
- На первом этапе проводилось обследование ИСПДн: инвентаризация ПДн с классификацией по категориям субъектов (работники, пассажиры, пациенты), объёмам, составу, целям обработки; описание технологических процессов обработки; составление схем информационных потоков между подсистемами и внешними системами; фиксация границ контролируемой зоны.
- На втором этапе определялся уровень защищённости ИСПДн в соответствии с Постановлением Правительства № 1119: с учётом обработки специальных категорий ПДн и актуальности угроз был определён соответствующий уровень защищённости, задающий минимальный состав мер защиты.
- На третьем этапе выполнялось моделирование угроз: идентифицировались возможные нарушители с привязкой к тактикам из Банка данных угроз ФСТЭК, строились сценарии реализации угроз, оценивалась актуальность каждой угрозы, формулировались требования к мерам защиты. Модель угроз согласовывалась с руководством заказчика.
- На четвёртом этапе проводился подбор СЗИ. Были внедрены сертифицированные средства защиты информации от компании «Код Безопасности» — одного из ведущих российских разработчиков СЗИ. Конкретный состав включал средства контроля доступа, защиты от несанкционированного доступа, межсетевого экранирования, антивирусной защиты, контроля целостности. Выбор вендора был обусловлен наличием действующих сертификатов ФСТЭК, зрелостью продуктовой линейки, совместимостью между продуктами и доступностью технической поддержки на территории РФ — особенно актуальный критерий в условиях текущей геополитической обстановки.
- На пятом этапе разрабатывалась организационно-распорядительная документация: политики обработки и защиты ПДн, инструкции для пользователей и администраторов ИСПДн, регламенты реагирования на инциденты, журналы учёта. Документация была приведена в соответствие как с требованиями 152-ФЗ и приказов ФСТЭК, так и с внутренними нормативными актами аэропорта.
- На шестом этапе проводились аттестационные испытания согласно требованиям 77-го приказа ФСТЭК России — документа, определяющего порядок проведения аттестации по требованиям безопасности информации. Испытания включали проверку соответствия реализованных мер защиты требованиям приказа № 21, тестирование СЗИ, анализ документации. По итогам был оформлен аттестат соответствия.
РЕЗУЛЬТАТЫ
Заказчик получил уверенность в защите медицинской ИСПДн, обрабатывающей специальные категории персональных данных, и минимизацию возможности утечек ПДн. Успешное прохождение аттестационных испытаний по 77-му приказу ФСТЭК официально подтвердило соответствие системы требованиям законодательства.С точки зрения управления рисками достигнут ряд эффектов. Во-первых, закрыт регуляторный риск: у аэропорта есть актуальный аттестат соответствия, актуальная модель угроз, актуальная документация — все базовые артефакты, которые проверяют регуляторы при плановых и внеплановых проверках. Во-вторых, существенно снижен технический риск утечки: внедрённые СЗИ от «Кода Безопасности» обеспечивают многоуровневую защиту, соответствующую требуемому уровню защищённости. В-третьих, формализованы процессы реагирования на инциденты, что сокращает время обнаружения и реакции.
Для ЛПР закрыты ключевые боли: медицинский директор перестал опасаться внеплановых проверок Роскомнадзора и ФСТЭК; директор по ИТ получил структурированную систему защиты с понятной архитектурой и регламентами сопровождения; ответственный за обработку ПДн получил актуальный комплект документов, соответствующий современной нормативной базе. Репутационные риски для аэропорта как публичной организации существенно снижены.
Дополнительно, применение современной методики моделирования угроз ФСТЭК 2021 года обеспечило задел на будущее: модель построена с учётом новых подходов и может обновляться по мере развития инфраструктуры без полной переработки.