Нет предела защищенности | Ofisp.org

Нет предела защищенности

28 Март 201409:28

Информационная безопасность будет одним из основных направлений развития ИТ в медицине. Такую точку зрения высказал Григорий Ройтберг, президент клиники «Медицина», выступая на конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты». По его словам, недостаточная защищенность информации пациента может не только нарушить деонтологические принципы, но и нанести клинике экономический ущерб.

Участники конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина», обсудили актуальные тенденции в сфере информационной безопасности, проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.

Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами. С ростом числа задач по защите информации и количества поддерживаемых средств инфозащиты увеличивается нагрузка на персонал подразделениий, ответственных за обеспечение информационной безопасности, отметил Виктор Сердюк, генеральный директор компании «ДиалогНаука». Немногочисленным штатным специалистам по информационной безопасности необходимо оперативно реагировать на множество угроз, среди которых на первый план в последнее время выходят действия инсайдеров, целенаправленные атаки и угрозы, связанные с Интернетом. Созданная в «Медицине» с помощью специалистов компании «ДиалогНаука» система менеджмента информационной безопасности покрывает все ключевые бизнес-процессы клиники, включая основной – оказание медицинских услуг.

Системность и сертификация

«Медицина» обладает весьма высоко развитой ИТ-инфраструктурой: собственный ЦОД, 57 серверов, 40 информационных систем, 563 автоматизированных рабочих места. В процесс обработки информации, включающей 60 тыс. объектов персональных данных и 2,3 млн записей, составляющих врачебную тайну, вовлечены 848 сотрудников. При этом из 18 специалистов ИТ-службы клиники обеспечением информационной безопасности заняты двое.

Как рассказал Сергей Смолин, инженер по информационной безопасности «Медицина», раз в месяц все компьютеры сканируются с помощью XSpider 7.8 и на них расставляются необходимые обновления. Управление доступом организовано на основе встроенных механизмов сертифицированной версии Windows, а централизованный контроль, установка обновлениий и настройка механизмов защиты производятся с помощью Net_Check.

USB-устройства разрешено использовать только 50 сотрудникам клиники, на остальных рабочих местах USB-порты заблокированы. Для управления доступом к съемным устройствам на АРМ, где USB-порты должны быть открыты, используется сертифицированная версия ПО DeviceLock компании «Смарт Лайн». Централизованный сбор событий безопасности и последующий их анализ реализуется с помощью программно-аппаратного комплекса HP ArcSight Logger, в качестве межсетевого экрана используется комплекс StoneGate компании Stonesoft, а для антивирусной защиты применяются продукты «Лаборатории Касперского».

В информационную систему клиники включены не только электронные истории болезни с онлайн-доступом для врачей и пациентов, но и смарт-операционные и смарт-палаты. Поэтому при внедрении системы управления информационной безопасностью требовалось минимализировать изменения, вносимые в процессы обработки данных, а также сохранить уровень надежности медицинского оборудования, подключенного к информационной системе. Но основной трудностью создания системы управления информационной безопасности Смолин назвал непонимание сотрудниками необходимости такого внедрения вообще и формализации отдельных процессов в частности. Сегодня основные сложности уже позади.

Результатом формализации процессов управления информационной безопасностью стало значительное снижение количества инцидентов (с 13 в 2012 году до семи в 2013-м) и времени реакции на инцидент. Существенную роль в уменьшении числа нарушений играет постоянный контроль деятельности персонала и информирование пользователей о таком контроле. «Достоинством системы управления информационной безопасности является наличие механизмов контроля эффективности мер защиты», – отметил Виктор Пархоменко, замдиректора службы ИТ по эксплуатации клиники «Медицина». Благодаря такой системе удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования и использование посторонних неинсталлируемых приложений, запускаемых через Интернет.

По словам Пархоменко, внедрение системы управления информационной безопасностью в клинике позволило оптимизировать расходы и снизить риски, связанные с возможным ущербом для активов компании. За счет формализации процессов информационной безопасности удалось уменьшить операционные затраты, в то же время обеспечив соответствие уровня безопасности целям бизнеса, а также законодательным, отраслевым, контрактным и внутрикорпоративным требованиям.

В декабре прошлого года «Медицина» прошла аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования), став первой в России клиникой, сертифицированной по данному стандарту.

Но выполнив требования ФЗ-152 и пройдя аттестацию по международным стандартам, «Медицина» не перестала совершенствовать систему защиты персональных данных пациентов от потенциальных угроз. «Чем больше мы узнаем, тем яснее понимаем, что мало знаем и защищены недостаточно», – заметил Ройтберг. По его словам, сегодня не разрешены многие острые проблемы, связанные с информационной безопасностью. К примеру, страховая компания, направляющая пациента в клинику, обязана получить у него согласие на работу своих экспертов с его медицинской картой. На практике таких разрешений пациентов у страховщиков нет, что делает юридически уязвимыми не только их самих, но и медицинские организации, с которыми они работают.

Средства мониторинга

Из конкретных технологических решений на конференции были рассмотрены возможности организации мониторинга событий информационной безопасности на базе решений HP ArcSight, платформы для визуализации и анализа рисков сетевой безопасности RedSeal, системы FireEye для защиты от целевых атак APT (Advanced Persistent Threat), а также технологии мониторинга интернет-ресурсов с помощью онлайн-сервиса «Лавина Пульс». Как подчеркнул Андрей Масалович, руководитель направления конкурентной разведки «ДиалогНаука», организовать информационную атаку на конкурента гораздо проще, чем повысить качество собственных услуг: «уронить» репутацию компании в блогах сегодня стоит всего 3-5 тыс. руб. Поэтому руководителю бизнеса важна «ситуационная осведомленность и поддержка принятия стратегических решений»

 

Похожие материалы

14.04.2014
В минувшую пятницу, 11 апреля, начались мировые продажи Galaxy S5. Согласно предварительным данным, флагманский смартфон производства Samsung пользуется высоким спросом во многих странах мира и оказался гораздо популярнее предшественника — по крайней мере, на старте. Как сообщает интернет-издание ZDNet Korea, по объёму начальных продаж Galaxy S5 опередил Galaxy S4, по разным данным, на 30 — 100 %. Samsung пока не раскрывает информацию о количестве проданных устройств и лишь говорит, что компания получила миллионы заказов на покупку новинки.
21.08.2014
В не столь давние времена, когда провайдеры еще не так активно продвигали свои услуги, не так далеко прокладывали свои кабели и не так часто заключали договора с различными ТСЖ, обеспечивая доступом в Интернет жителей многоквартирных домов и когда Wi-Fi еще не был так широко известен в нашей стране, некоторые обитатели домов, имеющие базовые знания о работе провайдеров и общей схеме доступа во всемирную сеть, использовали весь свой предпринимательский потенциал для открытия собственного небольшого дела, которое заключалось в предоставлении доступа к Интернету своим соседям.
09.11.2013
Часто основной причиной поломки является выход из строя материнской платы ноутбука, ремонт которой бывает очень сложен, а иногда и вовсе требует замены всей платы на новую, рабочую. Но в квалифицированном сервисном центре могут оказать компьютерную помощь и выполнить такой сложный ремонт, что позволит значительно сэкономить на расходах, затрачиваемых на починку ноутбука. Это связано с тем, что замена материнской платы, скорее всего, будет очень накладна, так как ее стоимость чаще всего составляет половину от стоимости всего мобильного устройства.
09.02.2013
В Москву прибывают два высокопоставленных представителя Белого дома и Госдепа США для переговоров о мерах доверия в киберпространстве, пишет «Коммерсантъ». По данным издания, визит нанесут спецпомощник президента США по вопросам информационной безопасности Майкл Дэниел и координатор по вопросам кибербезопасности Госдепа Крис Пейнтер. Источники в дипломатических ведомствах обеих стран рассказали газете, что происходит активизация диалога в сфере мер доверия в киберпространстве. Источник «Ъ» в Госдепартаменте не исключил, что по итогам совместной работы страны заключат несколько межправительственных соглашений. По его словам, в составе российско-американской президентской комиссии может появиться отдельная рабочая группа по вопросам информационной безопасности.
22.10.2013
Недовольный автоматическим обновлением iOS7 житель Калифорнии подал в суд на главу Apple Тима Кука с требованием удалить апдейт и выплатить $50. Житель Калифорнийского города Повей Марк Менахер (Mark David Menacher) подал в Верховный суд Калифонии иск к гендиректору Apple Тиму Куку (Tim Cook). Менахер требует от главы Apple удалить с его устройств установочный файл системного апдейта iOS7 и выплатить компенсацию в размере $50. Истец пока не придал своему иску статус коллективного, но сделать это готов.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв