Нет предела защищенности | Ofisp.org

Нет предела защищенности

28 Март 201409:28

Информационная безопасность будет одним из основных направлений развития ИТ в медицине. Такую точку зрения высказал Григорий Ройтберг, президент клиники «Медицина», выступая на конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты». По его словам, недостаточная защищенность информации пациента может не только нарушить деонтологические принципы, но и нанести клинике экономический ущерб.

Участники конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина», обсудили актуальные тенденции в сфере информационной безопасности, проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.

Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами. С ростом числа задач по защите информации и количества поддерживаемых средств инфозащиты увеличивается нагрузка на персонал подразделениий, ответственных за обеспечение информационной безопасности, отметил Виктор Сердюк, генеральный директор компании «ДиалогНаука». Немногочисленным штатным специалистам по информационной безопасности необходимо оперативно реагировать на множество угроз, среди которых на первый план в последнее время выходят действия инсайдеров, целенаправленные атаки и угрозы, связанные с Интернетом. Созданная в «Медицине» с помощью специалистов компании «ДиалогНаука» система менеджмента информационной безопасности покрывает все ключевые бизнес-процессы клиники, включая основной – оказание медицинских услуг.

Системность и сертификация

«Медицина» обладает весьма высоко развитой ИТ-инфраструктурой: собственный ЦОД, 57 серверов, 40 информационных систем, 563 автоматизированных рабочих места. В процесс обработки информации, включающей 60 тыс. объектов персональных данных и 2,3 млн записей, составляющих врачебную тайну, вовлечены 848 сотрудников. При этом из 18 специалистов ИТ-службы клиники обеспечением информационной безопасности заняты двое.

Как рассказал Сергей Смолин, инженер по информационной безопасности «Медицина», раз в месяц все компьютеры сканируются с помощью XSpider 7.8 и на них расставляются необходимые обновления. Управление доступом организовано на основе встроенных механизмов сертифицированной версии Windows, а централизованный контроль, установка обновлениий и настройка механизмов защиты производятся с помощью Net_Check.

USB-устройства разрешено использовать только 50 сотрудникам клиники, на остальных рабочих местах USB-порты заблокированы. Для управления доступом к съемным устройствам на АРМ, где USB-порты должны быть открыты, используется сертифицированная версия ПО DeviceLock компании «Смарт Лайн». Централизованный сбор событий безопасности и последующий их анализ реализуется с помощью программно-аппаратного комплекса HP ArcSight Logger, в качестве межсетевого экрана используется комплекс StoneGate компании Stonesoft, а для антивирусной защиты применяются продукты «Лаборатории Касперского».

В информационную систему клиники включены не только электронные истории болезни с онлайн-доступом для врачей и пациентов, но и смарт-операционные и смарт-палаты. Поэтому при внедрении системы управления информационной безопасностью требовалось минимализировать изменения, вносимые в процессы обработки данных, а также сохранить уровень надежности медицинского оборудования, подключенного к информационной системе. Но основной трудностью создания системы управления информационной безопасности Смолин назвал непонимание сотрудниками необходимости такого внедрения вообще и формализации отдельных процессов в частности. Сегодня основные сложности уже позади.

Результатом формализации процессов управления информационной безопасностью стало значительное снижение количества инцидентов (с 13 в 2012 году до семи в 2013-м) и времени реакции на инцидент. Существенную роль в уменьшении числа нарушений играет постоянный контроль деятельности персонала и информирование пользователей о таком контроле. «Достоинством системы управления информационной безопасности является наличие механизмов контроля эффективности мер защиты», – отметил Виктор Пархоменко, замдиректора службы ИТ по эксплуатации клиники «Медицина». Благодаря такой системе удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования и использование посторонних неинсталлируемых приложений, запускаемых через Интернет.

По словам Пархоменко, внедрение системы управления информационной безопасностью в клинике позволило оптимизировать расходы и снизить риски, связанные с возможным ущербом для активов компании. За счет формализации процессов информационной безопасности удалось уменьшить операционные затраты, в то же время обеспечив соответствие уровня безопасности целям бизнеса, а также законодательным, отраслевым, контрактным и внутрикорпоративным требованиям.

В декабре прошлого года «Медицина» прошла аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования), став первой в России клиникой, сертифицированной по данному стандарту.

Но выполнив требования ФЗ-152 и пройдя аттестацию по международным стандартам, «Медицина» не перестала совершенствовать систему защиты персональных данных пациентов от потенциальных угроз. «Чем больше мы узнаем, тем яснее понимаем, что мало знаем и защищены недостаточно», – заметил Ройтберг. По его словам, сегодня не разрешены многие острые проблемы, связанные с информационной безопасностью. К примеру, страховая компания, направляющая пациента в клинику, обязана получить у него согласие на работу своих экспертов с его медицинской картой. На практике таких разрешений пациентов у страховщиков нет, что делает юридически уязвимыми не только их самих, но и медицинские организации, с которыми они работают.

Средства мониторинга

Из конкретных технологических решений на конференции были рассмотрены возможности организации мониторинга событий информационной безопасности на базе решений HP ArcSight, платформы для визуализации и анализа рисков сетевой безопасности RedSeal, системы FireEye для защиты от целевых атак APT (Advanced Persistent Threat), а также технологии мониторинга интернет-ресурсов с помощью онлайн-сервиса «Лавина Пульс». Как подчеркнул Андрей Масалович, руководитель направления конкурентной разведки «ДиалогНаука», организовать информационную атаку на конкурента гораздо проще, чем повысить качество собственных услуг: «уронить» репутацию компании в блогах сегодня стоит всего 3-5 тыс. руб. Поэтому руководителю бизнеса важна «ситуационная осведомленность и поддержка принятия стратегических решений»

 

Похожие материалы

23.12.2013
В воскресенье, 22 декабря, веб-браузер Google Chrome заблокировал доступ к официальному сайту РИА Новости.При попытке зайти на сайт через браузер появляется сообщение "веб-сайт, на который вы хотите перейти, содержит вредоносное ПО". В других браузерах сайт агентства РИА Новости работает нормально.Помимо сайта ria.ru, Chrome блокирует также сайты спортивного агентства Р-Спорт и экономического Прайм.
28.04.2014
My.com, международный бренд Mail.Ru Group, анонсирует новый бесплатный мобильный почтовый сервис с адресами в домене @my.com. Аккаунты @my.com можно создавать с телефонов и планшетов на iOS/Android. Благодаря тому, что пользователям @my.com не придется придумывать и запоминать пароль во время регистрации, безопасность электронной почты выходит на новый уровень. «Мобилизация» интернет-пользователей показала, что настало время переосмыслить электронную почту. Мобильная почта @my.com создана для использования в паре с почтовым приложением myMail, запущенным в ноябре 2013 года.
08.02.2018
Что же еще можно посоветовать азартным натурам в качестве отличного отдыха, если не игровые автоматы. Не всегда есть свободные деньги для игры, скажете вы? Но ведь они и не нужны, есть вполне реальная возможность играть, не внося ни копейки на свой счет.
19.10.2016
Некоторые предприниматели сегодня решают открыть интернет-клубы, надеясь на быстрый заработок. Но в таких интернет-кафе есть свои правила, есть законы и предписания, как правильно вести эту деятельность. И главный вопрос, который тревожит владельцев интернет-клубов и будущих бизнесменов – может ли их интернет-кафе быть игровым залом? Если нет, то какие здесь действуют предписания? Постараемся разобрать в этой статье детали и нюансы предоставления услуг интернет-кафе.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв