Информационная безопасность в медицине С чего начать? - презентация

1 Информационная безопасность в медицине С чего начать?

2 Развитие Интернет-сервисов и телемедицины развитие электронных медицинских сервисов интеграция медицинских систем с бизнес-процессами внедрение электронных регистратур предоставление удаленного доступа внешним службам технической поддержки

3 хаотичное развитие ИТ обслуживание высокотехнологичного оборудования крайне высокая критичность обрабатываемых данных высокая критичность доступности сервисов нет выделенного ИБ подразделения Отличительные особенности медицинской ИТ-инфраструктуры

4 Немного статистики За 2013 год зарегистрировано 109 случаев утечки ПД в России, что в 2,2 раза превышает показатели 2012 года Источник: внешняя статистика InfoWatch за 2013 год

5 Немного статистики Источник: внешняя статистика InfoWatch за 2013 год

6 Возможные санкции регуляторов Штраф до руб. (до руб. при повторном нарушении в случае принятия поправок в КОАП РФ) ст КОАП РФ: Нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных Штраф до руб. и/или дисквалификация должностного лица до 3-х лет ст КОАП РФ: Невыполнение в установленный срок законного предписания органа, осуществляющего государственный надзор (контроль)

7 Пример проведения аудита в одной из клиник России 2 дня (!!) полный доступ к бизнес-системам

8 Социальная инженерия Источник: внутренняя статистика Информзащиты за 2012 год Социальная инженерия проводилась в 67% от общего числа проектов по анализу защищенности

9 Тесты на проникновение Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение за 2012 год

10 С чего стоит начать развитие ИБ Где мы? Куда мы хотим прийти?

11 Что такое аудит? «Аудит» лат. audio «слышу» СВК + ИБ Бизнес Анализ + pentest Снижение рисков бизнеса

12 Процесс аудита Выделение объекта аудита Оценка контролей Определение последствий реализации угроз Разработка рекомендаций Снижение рисков бизнеса

13 Собственный штат Аутсорсинг аудита ИБ Аутсорсинг системы ИБ Возможные варианты решения

14 Собственная служба ИБ Возможные варианты решения Независимый аудит ИБ

15 Резюме Независимый аудит ИБ лакмусовая бумажка, которая покажет, развивается ли информационная безопасность параллельно с развитием медицинских услуг или уже давно отстала

16 Вопросы? Хлапов Денис Старший консультант Департамента консалтинга и аудита