Нет предела защищенности | Ofisp.org

Нет предела защищенности

28 Март 201409:28

Информационная безопасность будет одним из основных направлений развития ИТ в медицине. Такую точку зрения высказал Григорий Ройтберг, президент клиники «Медицина», выступая на конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты». По его словам, недостаточная защищенность информации пациента может не только нарушить деонтологические принципы, но и нанести клинике экономический ущерб.

Участники конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина», обсудили актуальные тенденции в сфере информационной безопасности, проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.

Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами. С ростом числа задач по защите информации и количества поддерживаемых средств инфозащиты увеличивается нагрузка на персонал подразделениий, ответственных за обеспечение информационной безопасности, отметил Виктор Сердюк, генеральный директор компании «ДиалогНаука». Немногочисленным штатным специалистам по информационной безопасности необходимо оперативно реагировать на множество угроз, среди которых на первый план в последнее время выходят действия инсайдеров, целенаправленные атаки и угрозы, связанные с Интернетом. Созданная в «Медицине» с помощью специалистов компании «ДиалогНаука» система менеджмента информационной безопасности покрывает все ключевые бизнес-процессы клиники, включая основной – оказание медицинских услуг.

Системность и сертификация

«Медицина» обладает весьма высоко развитой ИТ-инфраструктурой: собственный ЦОД, 57 серверов, 40 информационных систем, 563 автоматизированных рабочих места. В процесс обработки информации, включающей 60 тыс. объектов персональных данных и 2,3 млн записей, составляющих врачебную тайну, вовлечены 848 сотрудников. При этом из 18 специалистов ИТ-службы клиники обеспечением информационной безопасности заняты двое.

Как рассказал Сергей Смолин, инженер по информационной безопасности «Медицина», раз в месяц все компьютеры сканируются с помощью XSpider 7.8 и на них расставляются необходимые обновления. Управление доступом организовано на основе встроенных механизмов сертифицированной версии Windows, а централизованный контроль, установка обновлениий и настройка механизмов защиты производятся с помощью Net_Check.

USB-устройства разрешено использовать только 50 сотрудникам клиники, на остальных рабочих местах USB-порты заблокированы. Для управления доступом к съемным устройствам на АРМ, где USB-порты должны быть открыты, используется сертифицированная версия ПО DeviceLock компании «Смарт Лайн». Централизованный сбор событий безопасности и последующий их анализ реализуется с помощью программно-аппаратного комплекса HP ArcSight Logger, в качестве межсетевого экрана используется комплекс StoneGate компании Stonesoft, а для антивирусной защиты применяются продукты «Лаборатории Касперского».

В информационную систему клиники включены не только электронные истории болезни с онлайн-доступом для врачей и пациентов, но и смарт-операционные и смарт-палаты. Поэтому при внедрении системы управления информационной безопасностью требовалось минимализировать изменения, вносимые в процессы обработки данных, а также сохранить уровень надежности медицинского оборудования, подключенного к информационной системе. Но основной трудностью создания системы управления информационной безопасности Смолин назвал непонимание сотрудниками необходимости такого внедрения вообще и формализации отдельных процессов в частности. Сегодня основные сложности уже позади.

Результатом формализации процессов управления информационной безопасностью стало значительное снижение количества инцидентов (с 13 в 2012 году до семи в 2013-м) и времени реакции на инцидент. Существенную роль в уменьшении числа нарушений играет постоянный контроль деятельности персонала и информирование пользователей о таком контроле. «Достоинством системы управления информационной безопасности является наличие механизмов контроля эффективности мер защиты», – отметил Виктор Пархоменко, замдиректора службы ИТ по эксплуатации клиники «Медицина». Благодаря такой системе удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования и использование посторонних неинсталлируемых приложений, запускаемых через Интернет.

По словам Пархоменко, внедрение системы управления информационной безопасностью в клинике позволило оптимизировать расходы и снизить риски, связанные с возможным ущербом для активов компании. За счет формализации процессов информационной безопасности удалось уменьшить операционные затраты, в то же время обеспечив соответствие уровня безопасности целям бизнеса, а также законодательным, отраслевым, контрактным и внутрикорпоративным требованиям.

В декабре прошлого года «Медицина» прошла аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования), став первой в России клиникой, сертифицированной по данному стандарту.

Но выполнив требования ФЗ-152 и пройдя аттестацию по международным стандартам, «Медицина» не перестала совершенствовать систему защиты персональных данных пациентов от потенциальных угроз. «Чем больше мы узнаем, тем яснее понимаем, что мало знаем и защищены недостаточно», – заметил Ройтберг. По его словам, сегодня не разрешены многие острые проблемы, связанные с информационной безопасностью. К примеру, страховая компания, направляющая пациента в клинику, обязана получить у него согласие на работу своих экспертов с его медицинской картой. На практике таких разрешений пациентов у страховщиков нет, что делает юридически уязвимыми не только их самих, но и медицинские организации, с которыми они работают.

Средства мониторинга

Из конкретных технологических решений на конференции были рассмотрены возможности организации мониторинга событий информационной безопасности на базе решений HP ArcSight, платформы для визуализации и анализа рисков сетевой безопасности RedSeal, системы FireEye для защиты от целевых атак APT (Advanced Persistent Threat), а также технологии мониторинга интернет-ресурсов с помощью онлайн-сервиса «Лавина Пульс». Как подчеркнул Андрей Масалович, руководитель направления конкурентной разведки «ДиалогНаука», организовать информационную атаку на конкурента гораздо проще, чем повысить качество собственных услуг: «уронить» репутацию компании в блогах сегодня стоит всего 3-5 тыс. руб. Поэтому руководителю бизнеса важна «ситуационная осведомленность и поддержка принятия стратегических решений»

 

Похожие материалы

20.05.2014
Социальная сеть Facebook ведет разработку нового приложения для обмена фотографиями или короткими видеороликами, которые будут исчезать после просмотра, сообщает газета The Financial Times. Сервис, имеющий кодовое название Slingshot, сможет составить конкуренцию популярному мессенджеру с самоуничтожающимися сообщениями Snapchat.
07.04.2014
Инициатива Microsoft по переносу Windows на маломощное аппаратное обеспечение не ограничивается снижением системных требований обновления Windows 8.1 Update, которое должно выйти в скором времени. На конференции Build 2014 в Microsoft также пообещали выпустить Windows on the Internet of Things — операционную систему для «Интернета вещей». Анонс проходил с использованием светящейся напольной фортепианной клавиатуры, как в фильме «Большой», призванной символизировать разнообразие устройств, на которых сможет работать Windows «для вещей».
08.05.2014
Новая версия XenMobile компании Citrix Systems позволяет управлять как мобильными устройствами, так и «рабочими столами» персональных компьютеров. Кроме того, в компании работают над тем, чтобы упростить для пользователей процесс обновления системы виртуализации приложений XenApp.
12.11.2012
Аукционный дом Christie’s выставит на торги 2,4-метрового человекоподобного радиоуправляемого робота, представленного в 1957 году, сообщает The Telegraph. Робот, которого зовут Gygan (в других источниках Mr. Moto или Cygan – возможно, из-за ошибочного прочтения Gygan), был построен итальянским авиамоделистом Пьеро Фиорито (Piero Fiorito) и демонстрировался на ярмарках и выставках в 1950-1960-х годах. Gygan умеет передвигаться вперед и назад со скоростью три метра в минуту, выполняет правый и левый развороты и поднимает предметы руками. Робот весит более 450 килограммов.
29.04.2014
Фонд Apache представил первый начальный выпуск продукта FlexJS, продолжающего развитие Flex SDK в направлении ухода от привязки к технологиям Adobe Flash. FlexJS позволяет компилировать Flex-приложения, написанные с использованием разметки MXML и языка ActionScript, не только в формат SWF, но и в форму универсальных web-приложений на базе HTML5, CSS и JavaScript. Кросс-компилированный таким образом Flex-проект может быть выполнен в обычном web-браузера, без необходимости установки дополнительных плагинов.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв