Нет предела защищенности | Ofisp.org

Нет предела защищенности

28 Март 201409:28

Информационная безопасность будет одним из основных направлений развития ИТ в медицине. Такую точку зрения высказал Григорий Ройтберг, президент клиники «Медицина», выступая на конференции «Информационная безопасность медицинских и страховых компаний – новые угрозы и технологии защиты». По его словам, недостаточная защищенность информации пациента может не только нарушить деонтологические принципы, но и нанести клинике экономический ущерб.

Участники конференции, организованной компанией «ДиалогНаука» и клиникой «Медицина», обсудили актуальные тенденции в сфере информационной безопасности, проблемы, с которыми сталкиваются сегодня страховые и медицинские организации, а также опыт их решения.

Обязанность соблюдать постоянно меняющиеся требования законодательства по защите информации и перспектива проверок со стороны регуляторов вызывает серьезное напряжение в медучреждениях, так как действующие нормативные документы трактуются весьма неоднозначно, а ответственность за нарушения ужесточается. В то же время ИТ-инфраструктура медицинских организаций усложняется: вводятся в действие новые прикладные системы и открываются новые филиалы, появляются удаленные пользователи и сотрудники, работающие со своими мобильными устройствами. С ростом числа задач по защите информации и количества поддерживаемых средств инфозащиты увеличивается нагрузка на персонал подразделениий, ответственных за обеспечение информационной безопасности, отметил Виктор Сердюк, генеральный директор компании «ДиалогНаука». Немногочисленным штатным специалистам по информационной безопасности необходимо оперативно реагировать на множество угроз, среди которых на первый план в последнее время выходят действия инсайдеров, целенаправленные атаки и угрозы, связанные с Интернетом. Созданная в «Медицине» с помощью специалистов компании «ДиалогНаука» система менеджмента информационной безопасности покрывает все ключевые бизнес-процессы клиники, включая основной – оказание медицинских услуг.

Системность и сертификация

«Медицина» обладает весьма высоко развитой ИТ-инфраструктурой: собственный ЦОД, 57 серверов, 40 информационных систем, 563 автоматизированных рабочих места. В процесс обработки информации, включающей 60 тыс. объектов персональных данных и 2,3 млн записей, составляющих врачебную тайну, вовлечены 848 сотрудников. При этом из 18 специалистов ИТ-службы клиники обеспечением информационной безопасности заняты двое.

Как рассказал Сергей Смолин, инженер по информационной безопасности «Медицина», раз в месяц все компьютеры сканируются с помощью XSpider 7.8 и на них расставляются необходимые обновления. Управление доступом организовано на основе встроенных механизмов сертифицированной версии Windows, а централизованный контроль, установка обновлениий и настройка механизмов защиты производятся с помощью Net_Check.

USB-устройства разрешено использовать только 50 сотрудникам клиники, на остальных рабочих местах USB-порты заблокированы. Для управления доступом к съемным устройствам на АРМ, где USB-порты должны быть открыты, используется сертифицированная версия ПО DeviceLock компании «Смарт Лайн». Централизованный сбор событий безопасности и последующий их анализ реализуется с помощью программно-аппаратного комплекса HP ArcSight Logger, в качестве межсетевого экрана используется комплекс StoneGate компании Stonesoft, а для антивирусной защиты применяются продукты «Лаборатории Касперского».

В информационную систему клиники включены не только электронные истории болезни с онлайн-доступом для врачей и пациентов, но и смарт-операционные и смарт-палаты. Поэтому при внедрении системы управления информационной безопасностью требовалось минимализировать изменения, вносимые в процессы обработки данных, а также сохранить уровень надежности медицинского оборудования, подключенного к информационной системе. Но основной трудностью создания системы управления информационной безопасности Смолин назвал непонимание сотрудниками необходимости такого внедрения вообще и формализации отдельных процессов в частности. Сегодня основные сложности уже позади.

Результатом формализации процессов управления информационной безопасностью стало значительное снижение количества инцидентов (с 13 в 2012 году до семи в 2013-м) и времени реакции на инцидент. Существенную роль в уменьшении числа нарушений играет постоянный контроль деятельности персонала и информирование пользователей о таком контроле. «Достоинством системы управления информационной безопасности является наличие механизмов контроля эффективности мер защиты», – отметил Виктор Пархоменко, замдиректора службы ИТ по эксплуатации клиники «Медицина». Благодаря такой системе удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования и использование посторонних неинсталлируемых приложений, запускаемых через Интернет.

По словам Пархоменко, внедрение системы управления информационной безопасностью в клинике позволило оптимизировать расходы и снизить риски, связанные с возможным ущербом для активов компании. За счет формализации процессов информационной безопасности удалось уменьшить операционные затраты, в то же время обеспечив соответствие уровня безопасности целям бизнеса, а также законодательным, отраслевым, контрактным и внутрикорпоративным требованиям.

В декабре прошлого года «Медицина» прошла аудит на соответствие требованиям международного стандарта ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования), став первой в России клиникой, сертифицированной по данному стандарту.

Но выполнив требования ФЗ-152 и пройдя аттестацию по международным стандартам, «Медицина» не перестала совершенствовать систему защиты персональных данных пациентов от потенциальных угроз. «Чем больше мы узнаем, тем яснее понимаем, что мало знаем и защищены недостаточно», – заметил Ройтберг. По его словам, сегодня не разрешены многие острые проблемы, связанные с информационной безопасностью. К примеру, страховая компания, направляющая пациента в клинику, обязана получить у него согласие на работу своих экспертов с его медицинской картой. На практике таких разрешений пациентов у страховщиков нет, что делает юридически уязвимыми не только их самих, но и медицинские организации, с которыми они работают.

Средства мониторинга

Из конкретных технологических решений на конференции были рассмотрены возможности организации мониторинга событий информационной безопасности на базе решений HP ArcSight, платформы для визуализации и анализа рисков сетевой безопасности RedSeal, системы FireEye для защиты от целевых атак APT (Advanced Persistent Threat), а также технологии мониторинга интернет-ресурсов с помощью онлайн-сервиса «Лавина Пульс». Как подчеркнул Андрей Масалович, руководитель направления конкурентной разведки «ДиалогНаука», организовать информационную атаку на конкурента гораздо проще, чем повысить качество собственных услуг: «уронить» репутацию компании в блогах сегодня стоит всего 3-5 тыс. руб. Поэтому руководителю бизнеса важна «ситуационная осведомленность и поддержка принятия стратегических решений»

 

Похожие материалы

13.12.2012
Роскомнадзор разработал решение, позволяющее при обнаружении противоправной информации блокировать не весь интернет-ресурс, а лишь отдельные его страницы. Роскомнадзор разработал и в течение месяца намерен обсудить с отраслью новый механизм блокировки интернет-ресурсов с вредоносной информацией – по URL, но через IP-адрес, заявил руководитель Роскомнадзора Александр Жаров журналистам на выставке «Связь-Экспокомм 2013» во вторник в Москве. Как сообщает Tasstelecom, технически предполагается, что блокировка осуществляется по URL-адресу, то есть более точечно. По словам Жарова, решение разрабатывали ученые из НИИ Радио, анализируя зарубежный опыт. Они попытались найти баланс между низкой ценой и высокой эффективностью.
23.04.2014
Компания AOC выпускает два новых монитора с диагональю экрана 28 дюймов (71,1 см). Обе новинки, m2870Vhe и m2870Vq, оснащены панелями MVA с пропорциями 16:9, разрешением Full HD, широким углом обзора и высоким уровнем яркости. Отличная цветопередача, высокая контрастность и малое время отклика позволят использовать новые мониторы и для работы с офисными приложениями, и для развлечений — компьютерных игр, просмотра фильмов и пр. Кроме того, модель m2870Vq оснащена также дополнительным разъемом DisplayPort и стереодинамиками.
01.04.2014
В свежем выпуске бюллетеня WWN (World Wine News) рассказывается о регистрации в Китае патента CN102364433, авторы которого пытаются присвоить себе право на технологию портирования свободного проекта Wine для работы на архитектуре ARM. Разработчики Wine ставят под сомнение возможность патентования средств адаптации существующего продукта для новых аппаратных архитектур. Более того, указано, что заявка на получение патента отправлена в 2011 году, в то время как основной набор коммитов, связанных с обеспечением поддержки ARM в Wine, датируется 2010 годом.
10.11.2014
Интернет - важная составляющая досуга и рабочего времени каждого современного человека. Большинство людей уже просто не представляют себя без быстрого и легкого доступа ко всемирной сети. Очень важно правильно определиться с выбором провайдера для максимально продуктивного подключения к сети. Ознакомьтесь с основными критериями выбора провайдера:
20.02.2014
Представители одного из крупных акционеров «ВКонтакте», компании Алишера Усманова USM Advisors, сообщили о попытках подкупа сотрудников соцсети со стороны другого акционера, фонда United Capital Partners (UCP). Информация об этом 19 февраля была опубликована агентством «ИТАР-ТАСС».

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв