Компания «Кит-системс» в качестве системного интегратора создала комплекс защиты от кибератак и анализа событий информационной безопасности для единого пространства взаимодействия «Национального медицинского исследовательского центра нейрохирургии им. академика Н.Н. Бурденко» (НИИ им. Н.Н. Бурденко), относящегося к Минздраву РФ, с федеральными информационными системами.
В 2022 году центр начал внедрять клиническую информационную систему ЕМИАС (КИС ЕМИАС), созданную Департаментом информационных технологий города Москвы и выступающую региональным компонентом федеральной инициативы «Единая государственная информационная система здравоохранения» (ЕГИСЗ). Данный проект стал первым опытом перевода учреждения в единое цифровое пространство с применением номенклатуры справочника лабораторных анализов согласно стандартам Минздрава России, осуществлённым на федеральном уровне. Это дало возможность автоматизировать и унифицировать все основные этапы ведения пациентов: от амбулаторного приёма до стационарного лечения и завершения случая, а также улучшить координацию между лечебными и диагностическими подразделениями.
Согласно Федеральному закону №187, медицинские информационные системы причисляются к объектам критической информационной инфраструктуры (КИИ), которые содержат и обрабатывают значительные массивы сведений, необходимых для функционирования медучреждений, и одновременно крайне уязвимых к несанкционированному распространению и утечкам. Действующие нормативные акты (ФЗ-152, ФЗ-323) относят к таким данным персональную и медицинскую информацию пациентов (паспортные данные, медкарты, анамнез, диагнозы, итоги обследований, сведения о назначенной терапии, прописанных препаратах и т.п.). Не менее важными являются административно-хозяйственные материалы (информация о сотрудниках, перечни оборудования и лекарств, финансовые документы и др.). Вопросы защиты этих сведений регламентируются не только федеральными законами, но и внутренними правилами медицинских организаций.
В процессе внедрения ЕМИАС НИИ им. Н.Н. Бурденко был оснащён системой отслеживания инцидентов информационной безопасности MaxPatrol SIEM и сетевым экраном нового поколения NGFW UserGate. Для приведения уровня защищённости данных в соответствие с требованиями контролирующих органов учреждению потребовалось дополнительно внедрить комплекс оценки угроз и управления кибербезопасностью. Ключевой целью нового решения стала охрана цифрового периметра исследовательского центра и его коммуникаций с федеральным сегментом ЕМИАС.
Отбор исполнителя проводился через процедуру открытого конкурса. Помимо финансовых аспектов предложений, конкурсная комиссия учитывала практический опыт претендентов в реализации проектов по информационной безопасности для государственных медицинских учреждений. Победителем был признан системный интегратор, представивший наиболее сбалансированные по стоимости и профессиональному уровню условия выполнения работ.
Специалисты интегратора выполнили анализ информационных систем клиента и сформировали развернутый перечень потенциальных угроз информационной безопасности. Технологической основой проекта стало сочетание системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) с платформой управления уязвимостями MaxPatrol VM. Решения были внедрены в ИТ-инфраструктуру медучреждения, проведены пусконаладочные мероприятия, запуск в эксплуатацию и тестовые проверки. На всех этапах проекта инженеры «Кит-системс» пользовались консультационной поддержкой со стороны ИБ-специалистов заказчика и экспертов Positive Technologies, что позволило завершить работы в минимальные сроки. В рамках сервисного соглашения интегратор обеспечивает дальнейшее обслуживание и сопровождение реализованного решения.
«Главная медицинская информационная система ЕМИАС предоставляет врачам федеральных больниц быстрый доступ к электронным медицинским картам, включающим детальную информацию о здоровье пациентов: историю обращений в медучреждения, выписные заключения из стационаров, итоги лабораторных анализов и другие данные. Разработанное для НМИЦ им. академика Бурденко решение стало центральным звеном в защите обрабатываемой информации на всех стадиях её существования: от формирования до удаления. Его внедрение позволило заблаговременно выявлять возможные угрозы и нейтрализовать их до перерастания в инциденты информационной безопасности. Параллельно клиент привел ИТ-инфраструктуру в соответствие с требованиями надзорных органов», – подчеркнул Максим Митрохин, руководитель департамента стратегического развития «Кит-системс».
«Функционирование ЕМИАС в нашем центре подтвердило возможность распространения опыта столичного Департамента здравоохранения на федеральный масштаб. Это должно привести к унификации медицинских сведений и их открытому обмену между центральным учреждением и региональными филиалами, – отметил Александр Балакирев, руководитель ИТ-службы НМИЦ нейрохирургии им. академика Н. Н. Бурденко. – При этом требуется обеспечить надежную защиту особо важных данных как внутри периметра организации, так и при передаче в ведомственные информационные системы. Проект, осуществленный «Кит-системс», существенно помог в решении данной задачи и укрепил общую киберустойчивость центра».
