Облачные технологии для медицины – вопросы безопасности И.А.Трифаленков, начальник отдела ИБ проекта «Информационное общество»
2 Состояние информатизации медицины Отставание от общего уровня ИТ (только начался переход от кусочной автоматизации) Ограниченное количество специализированных приложений и разнообразие приложений ФХД «Автоматизация снизу» через региональные проекты Проблема защиты данных чрезвычайно актуальна, но не осознана на уровне бюджетов Уровень ИТ-специалистов низок, аутсорсинг в классическом виде – дорог
3 Задачи информатизации медицины Единая электронная регистратура Учет и тарификация услуг Организация обслуживания клиентов Электронная история болезни Нормативно-справочная информация Архивы Организация основных процессов деятельности Поддержка аппаратных средств Обработка результатов измерений Технологическая поддержка Бухгалтерия Кадры Управленческий учет Поддержка процессов ФХД Телемедицина Профессиональный обмен информацией Коммуникации
4 Предложение ОАО «Ростелеком» – облачная модель
5 Облако как результат производственной эволюции Уникальные решения Решения на уровне предприятий и отраслей Специализация процессов производства и эксплуатации Массовые услуги специализированными организациями
6 Облако как результат технологической эволюции Вычислительные центры (до 80-х) Распределенный доступ к данным (Интернет 80-х и 90-х) Глобальные услуги работы с данными (Интернет 2000-х ) Услуги распределенных вычислений (глобальные облака )
7 Облако – «за» и «против»
8 Угрозы при использовании облачных технологий Традиционная («безоблачная») модель угроз Модель угроз «общежития» Модель угроз «аутсорсинга») Модель угроз использования сторонних услуг Модель угроз совместного использования ресурсов потребителями разных организаций
9 Основные облачные риски Неполный контроль ИБ Зависимость от конкретного поставщика облачных сервисов Нарушение изолированности от других потребителей облачных сервисов Несоответствие поставщика облачных сервисов требованиям регуляторов Нарушение безопасности интерфейсов управления облачными сервисами Нарушение безопасности данных Неполное удаление данных Действия внутренних нарушителей поставщика облачных сервисов Незаконная деятельность с применением облачных сервисов
10 Специфика ИБ в облачных технологиях Хранение данных у незаинтересованной стороны Контроль и управление безопасностью по требованию Выявление нарушений в реальном времени Быстрое восстановление работоспособности сервисов Расширенные возможности по организации приманок (Honey-Net) Необходимость подготовки квалифицированных специалистов по безопасности облачных систем Значительные инвестиции в инфраструктуру безопасности
11 Безопасность – основные принципы Комплексный сервис ИБ Выделение специализи- рованной платформы «Медицинское облако» Разделение прикладного и инфраструктур- ного администри- рования Формирование усиленного домена облачных сервисов безопасности Типизация клиентских решений и схем подключения типовых объектов Усиление роли аудита и контроля защищенности Использование специализирова нных решений для СКЗИ
12 Безопасность – базовый и комплексный уровень
13 Безопасность в облаках – проблемы и подходы
Выводы «Облака» являются единственной разумной возможностью массовых ИТ-услуг Экономический эффект масштаба благодаря централизации и консолидации – потенциально более защищенная платформа Высокая доступность ресурсов Возможность использования альтернативных облачных сервисов с лучшими свойствами по безопасности Модель безопасности при использовании облаков – «другая» не значит «худшая» Концепция облаков делает ключевым звеном оператора а не пользователя Оператор располагает значительными возможностями по обеспечению безопасности Проблемы клиентов – значимый имиджевый риск Требования к оператору существуют и могут внедряться Основная проблема – несовершенство нормативной базы
СПАСИБО 15