ITProtect проверил и усилил защиту Московского научно-практического центра лабораторных исследований
ГБУЗ «Московский научно-практический центр лабораторных исследований Департамента здравоохранения Москвы» МНПЦЛИ ДЗМ завершил комплексный анализ внутренних и внешних систем на проникновение (pentest), аудит объектов критической информационной инфраструктуры (КИИ) и процессов обработки и защиты персональных данных (ПДн) на предмет устойчивости к современным угрозам и соответствия последним требованиям законодательства в области кибербезопасности. Результаты аудита, выполненного командой ИБ-интегратора ITProtect, позволили актуализировать стратегию защиты научно-практического центра с учетом экспертизы и опыта независимых специализированных экспертов. Об этом CNews сообщили представители ITProtect.
Центр занимается диагностическими исследованиями и каждый день обрабатывает более 100 тыс. проб биоматериалов пациентов. Такая деятельность связана с обработкой и хранением больших объемов персональных данных, в случае успешной кибератаки существует риск влияния на жизнь и здоровье пациентов. Центр тщательно проверяет свои системы, процедуры и документы, чтобы обеспечить наиболее эффективную защиту и полное соответствие требованиям законодательства России. Отдельное внимание Центр уделяет защите своих объектов КИИ, будучи ее субъектом, а также защите ПДн. Чтобы удостовериться в надежности и полном соответствии своих систем требованиям регуляторов, Московский научно-практический центр лабораторных исследований обратился к ITProtect, который выступил независимым экспертом.
Специалисты ИБ-интегратора реализовали проект в несколько этапов. В первую очередь, провели оценку защищенности внутренней сети, анализ уязвимостей каналов связи, веб-сервисов и сайта. После этого команда сделала оценку соответствия документации и процедур по обработке информации требованиям законодательства России, в частности 187-ФЗ и 152-ФЗ, и обновила необходимую для выполнения этих норм документацию.
«Научно-практический центр – медицинское учреждение, поэтому нам особенно важно, чтобы наши системы и персональные данные пациентов были надежно защищены, а все процессы работы с информацией и сами объекты КИИ соответствовали всем нормам законодательства РФ. С помощью специалистов ITProtect мы смогли решить эти задачи в короткие сроки и без простоев в работе», - сказал Кирилл Сучков, заместитель директора по ИТ ГБУЗ МНПЦЛИ ДЗМ.
В ходе внутреннего пентеста команда ITProtect проверила внутренние сети центра, а в ходе внешнего – его веб-сервисы и Wi-Fi сети, а также веб-сайт. По результатам эксперты не выявили критичных уязвимостей, а по всем некритичным были выданы рекомендации по их устранению, которые легли в стратегию развития системы защиты компании.
В общей сложности команда ИБ-интегратора обследовала пять площадок учреждения и семь веб-приложений, изучила шесть используемых информационных систем персональных данных (ИСПДн) и 91 документ по КИИ и обработке и защите ПДн, после чего помогла клиенту привести все связанные процессы в соответствие требованиям №187-ФЗ и №152-ФЗ. Всего было выявлено 2 объекта КИИ, для которых были подготовлены модели угроз и акты категорирования, а также комплект организационно-распорядительной документации и документы для отправки во ФСТЭК России, включая план реагирования в случае инцидентов. Всего специалистами компании было разработано 39 документов – 15 по КИИ и 24 по ПДн.
«Подобные комплексные консалтинговые проекты, когда требуется одновременно и учесть все требования регуляторов, которые обязательны для такого рода организаций, и при этом обеспечить максимальною защиту систем и данных, - не редкость в нашей практике. Однако проекты в сфере медицины, когда от безопасности объектов КИИ зависят жизни и здоровье граждан, требуют особого внимания. Поэтому аудит процессов и систем независимым игроком рынка – определенно правильный шаг», - сказал Роман Писарев, руководитель службы аудита и консалтинга ITProtect.