Информационная безопасность в медицине С чего начать?

Презентация:



Advertisements
Похожие презентации
ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.
Advertisements

ООО "Лаборатория Информационной Безопасности". ООО "Лаборатория Информационной Безопасности« РаботникиКлиентыКонтрагенты У Вас есть Они предоставляют.
АНАЛИЗ производственного травматизма в муниципальном образовании город Новый Уренгой по итогам 1 полугодия 2013 года г.Новый Уренгой, сентябрь 2013.
ЧТО МЕШАЕТ ЗАКОНУ О ПЕРСОНАЛЬНЫХ ДАННЫХ СТАТЬ «РЕАЛЬНЫМ» ИНСТРУМЕНТОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ?
Информационная безопасность Лекция 3 Административный уровень.
Соблюдение законодательства о персональных данных в страховых компаниях.
Р ЕСПУБЛИКАНСКАЯ СЛУЖБА ПО ТАРИФАМ Р ЕСПУБЛИКИ Б УРЯТИЯ 1 Стандарты раскрытия информации организациями коммунального комплекса и субъектами естественных.
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
Администрация города Новый Уренгой Управление по труду и социальной защите населения «Состояние условий и охраны труда, производственного травматизма в.
Основные понятия Законодательство в сфере защиты информации.
Анна Кожина Консультант отдела информационной безопасности
УСПЕЛ ЛИ РЫНОК ПОДГОТОВИТСЯ К ВСТУПЛЕНИЮ В СИЛУ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ?
Облачные технологии для медицины – вопросы безопасности И.А.Трифаленков, начальник отдела ИБ проекта «Информационное общество»
Инспекция по надзору в сфере образования Архангельской области КНЯЗЕВА ПОЛИНА СЕРГЕЕВНА главный специалист-эксперт отдела государственного надзора 05 апреля.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.
Защита персональных данных на предприятии. 152 ФЗ Система контентной фильтрации.
Риски информационной безопасности при передаче систем на аутсорсинг Докладчик: Мелехин Иван Начальник отдела консалтинга.
Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Транксрипт:

Информационная безопасность в медицине С чего начать?

Развитие Интернет-сервисов и телемедицины развитие электронных медицинских сервисов интеграция медицинских систем с бизнес-процессами внедрение электронных регистратур предоставление удаленного доступа внешним службам технической поддержки

хаотичное развитие ИТ обслуживание высокотехнологичного оборудования крайне высокая критичность обрабатываемых данных высокая критичность доступности сервисов нет выделенного ИБ подразделения Отличительные особенности медицинской ИТ-инфраструктуры

Немного статистики За 2013 год зарегистрировано 109 случаев утечки ПД в России, что в 2,2 раза превышает показатели 2012 года Источник: внешняя статистика InfoWatch за 2013 год

Немного статистики Источник: внешняя статистика InfoWatch за 2013 год

Возможные санкции регуляторов Штраф до руб. (до руб. при повторном нарушении в случае принятия поправок в КОАП РФ) ст КОАП РФ: Нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных Штраф до руб. и/или дисквалификация должностного лица до 3-х лет ст КОАП РФ: Невыполнение в установленный срок законного предписания органа, осуществляющего государственный надзор (контроль)

Пример проведения аудита в одной из клиник России 2 дня (!!) полный доступ к бизнес-системам

Социальная инженерия Источник: внутренняя статистика Информзащиты за 2012 год Социальная инженерия проводилась в 67% от общего числа проектов по анализу защищенности

Тесты на проникновение Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение за 2012 год

С чего стоит начать развитие ИБ Где мы? Куда мы хотим прийти?

Что такое аудит? «Аудит» лат. audio «слышу» СВК + ИБ Бизнес Анализ + pentest Снижение рисков бизнеса

Процесс аудита Выделение объекта аудита Оценка контролей Определение последствий реализации угроз Разработка рекомендаций Снижение рисков бизнеса

Собственный штат Аутсорсинг аудита ИБ Аутсорсинг системы ИБ Возможные варианты решения

Собственная служба ИБ Возможные варианты решения Независимый аудит ИБ

Резюме Независимый аудит ИБ лакмусовая бумажка, которая покажет, развивается ли информационная безопасность параллельно с развитием медицинских услуг или уже давно отстала

Вопросы? Хлапов Денис Старший консультант Департамента консалтинга и аудита