Проблема утечки информации в современных медицинских системах Спирин Алексей Менеджер по развитию решений безопасности asp13@in-line.ru.

Презентация:



Advertisements
Похожие презентации
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Advertisements

Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Как выполнить требования регуляторов по защите среды виртуализации в государственных информационных системах и при обработке персональных данных ИНФОФОРУМ-2013.
Выполнение требований федерального законодательства в области защиты информации. Практические аспекты Новиков Дмитрий Владимирович Тел. +7 /495/
Решение задач защиты информации в виртуализированных средах и приведения систем в соответствие с законодательством и мировыми стандартами Круглый стол.
Комплексная защита информационных ресурсов © 2011, Компания SafenSoft. Все права защищены.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
Организация хранения данных с помощью Symantec DLP Суязов Александр Руководитель отдела защиты от утечек +7 (495) /
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
>> Independent Security Portal and Test Lab Независимый информационно-аналитический центр DLP-системы – современные средства борьбы с инсайдерами Илья.
Комитет Тульской области по делам записи актов гражданского состояния Якушкина Галина Ивановна председатель комитета Тульской области по делам записи актов.
Проблемы безопасности автоматизированных информационных систем на предприятиях
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
«ТМ: Диспансеризация». 1 Назначение и цели информационной системы Формирование и ведение карты диспансеризации и паспорта здоровья Обеспечение централизованного.
Information Rights Management Защита электронных документов на протяжении их жизненного цикла Алексей Задонский Ведущий менеджер проектов, Oracle СНГ.
Николай Здобнов Представитель InfoWatch в Республике Беларусь Особенности применения DLP-систем Ноябрь 2012.
Транксрипт:

Проблема утечки информации в современных медицинских системах Спирин Алексей Менеджер по развитию решений безопасности

Состав презентации УТЕЧКА ИНФОРМАЦИИ СТАТИСТИКА ЗАКОНЫ И ЗАКОНОДАТЕЛЬСТВО ПРИЧИНЫ И СПОСОБЫ ПРЕДОТВРАЩЕНИЯ ПРОДУКТЫ И ВЕНДОРЫ ТЕХНОЛОГИИ И ВОЗМОЖНОСТИ 15 декабря 2013 г. 2 © INLINE Technologies

Виды утечки информации 15 декабря 2013 г. 3 © INLINE Technologies

СТАТИСТИКА 15 декабря 2013 г. 4 © INLINE Technologies Каналы утечек ©InfoWatch

СТАТИСТИКА 15 декабря 2013 г. 5 © INLINE Technologies Объект утечек ©InfoWatch

СТАТИСТИКА 15 декабря 2013 г. 6 © INLINE Technologies

СТАТИСТИКА 15 декабря 2013 г. 7 © INLINE Technologies Причины утечек ©InfoWatch

Факт утечки НУ И ЧТО? Уведомление субъектов персональной информации США – обязанность Европа – 2011г. Россия - ??? Общественный резонанс/СМИ Добровольные меры по минимизации ущерба Вынужденные меры (суд) «Внутренние осложнения» Отдел ИБ – Отдел ИТ – Руководитель 15 декабря 2013 г. 8 © INLINE Technologies

Факт утечки It also is offering one year of free credit monitoring services and identity theft insurance for the 1.3 million individuals 15 декабря 2013 г. 9 © INLINE Technologies Всем пострадавшим клиентам организация предложила бесплатный мониторинг банковских счетов в течении года

Российское законодательство «Основы законодательства Российской Федерации об охране здоровья граждан» «..сохранение в тайне информации о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе и иных сведений, полученных при его обследовании и лечении..» «Об утверждении перечня сведений конфиденциального характера» «Сведения, связанные с профессиональной деятельностью... врачебная тайна..» ФЗ «О персональных данных» Специальная категория персональных данных (высшая) Специальный класс информационных систем Контролирующие органы 15 декабря 2013 г. 10 © INLINE Technologies

Причины Компании внедрили решения безопасности Межсетевые экраны, IPS для защиты от хакеров Антивирусы, анти-спам, контентные фильтры и т.п. для защиты от вредоносного кода Системы авторизации, VPN для доступа пользователей к важной информации Внутренние механизмы контроля пользователей Но фокус по-прежнему на внешних угрозах, а не на важных данных Нет контроля обработки/хранения информацией Авторизованные пользователи случайно или намеренно нарушают политики безопасности 15 декабря 2013 г. 11 © INLINE Technologies

Способы предотвращения 15 декабря 2013 г. 12 © INLINE Technologies Классы решений Шифрование информации Блокирование периферийных устройств Внедрение систем защиты документооборота (IRM/DRM) Специализированные решения по предотвращению утечек информации Ключевые составляющие предовращения Классификация данных ограниченного доступа Эффективная идентификация данных Контроль всех каналов утечек

Требования к системе предотвращения утечек Специализация на предотвращении утечек Автоматизация работы службы безопасности Все действия администраторов, офицеров безопасности и участников работы происходят в «системе» и протоколируются. Принципиальная возможность привлекать к работе не-security сотрудников. Используются множественные алгоритмы идентификации данных (работа с контентом, а не с контейнером) Охват каналов утечек (все каналы, доступные пользователям) Обнаружение данных как при хранении, так и при их перемещении 15 декабря 2013 г. 13 © INLINE Technologies

Решения, продукты, вендоры декабря 2013 г. 14 © INLINE Technologies Websense Технологический лидер Лучшая технология Удобное управление Отчетность и аналитика Присутствие в России Специализируется на DLP Лояльность к заказчикам Тестовое внедрение 1,2-й уровни поддержки на русском языке

Websense Data Security Suite 15 декабря 2013 г. 15 © INLINE Technologies Примеры политик

Принципы работы Websense PreciseID Идентификация и классификация информации по: Цифровым отпечаткам Типам файлов Шаблонам ( кредиток, паспортов, телефонов, резюме, по форматам фин.отчетности и пр.) Сигнатурам файлов (точное сопоставление документов) Ключевым фразам Регулярным выражениям Счетчикам пороговых значений Любым базам данных Сочетаниям вышеуказанных технологий 15 декабря 2013 г. 16 © INLINE Technologies

INLINE Technologies 15 декабря 2013 г. 17 © INLINE Technologies Спирин Алексей Вопросы & Ответы

О Websense DSS Два сервера + агент на рабочую станцию (рекомендуется) Контролируемые каналы утечки - HTTP/HTTPS, почта, IM, принтеры, CD/DVD, USB, FireWire, карты памяти, Wi-Fi, IrDA, PCMCIA и т.д. 15 декабря 2013 г. 18 © INLINE Technologies Технология идентификации данных – цифровые отпечатки Классификация данных – каталог/сервер Автообнаружение данных в сети Поддержка баз данных Поддержка всех языков Работа с большинством форматов файлов (~400) Настраиваемая отчетность Быстрое внедрение