Центр занимается широким спектром диагностических исследований и каждый день обрабатывает более ста тысяч проб биоматериалов пациентов. Такая деятельность связана с обработкой и хранением больших объемов персональных данных, в случае успешной кибератаки существует риск влияния на жизнь и здоровье пациентов. Центр тщательно проверяет свои системы, процедуры и документы, чтобы обеспечить наиболее эффективную защиту и полное соответствие требованиям законодательства РФ. Отдельное внимание Центр уделяет защите своих объектов КИИ, будучи ее субъектом, а также защите ПДн. Чтобы удостовериться в надежности и полном соответствии своих систем требованиям регуляторов, Московский научно-практический центр лабораторных исследований обратился к iTPROTECT, который выступил независимым экспертом.
Специалисты ИБ-интегратора реализовали проект в несколько этапов. В первую очередь, провели оценку защищенности внутренней сети, анализ уязвимостей каналов связи, веб-сервисов и сайта. После этого команда сделала оценку соответствия документации и процедур по обработке информации требованиям законодательства РФ, в частности 187-ФЗ и 152-ФЗ, и обновила необходимую для выполнения этих норм документацию.
«Научно-практический центр – медицинское учреждение, поэтому нам особенно важно, чтобы наши системы и персональные данные пациентов были надежно защищены, а все процессы работы с информацией и сами объекты КИИ соответствовали всем нормам законодательства РФ. С помощью специалистов iTPROTECT мы смогли решить эти задачи в короткие сроки и без простоев в работе», - прокомментировал Кирилл Сучков, заместитель директора по ИТ ГБУЗ МНПЦЛИ ДЗМ.
В ходе внутреннего пентеста команда iTPROTECT проверила внутренние сети центра, а в ходе внешнего – его веб-сервисы и Wi-Fi сети, а также веб-сайт. По результатам эксперты не выявили критичных уязвимостей, а по всем некритичным были выданы рекомендации по их устранению, которые легли в стратегию развития системы защиты компании.
В общей сложности команда ИБ-интегратора обследовала 5 площадок учреждения и 7 веб-приложений, изучила 6 используемых информационных систем персональных данных (ИСПДн) и 91 документ по КИИ и обработке и защите ПДн, после чего помогла клиенту привести все связанные процессы в соответствие требованиям №187-ФЗ и №152-ФЗ. Всего было выявлено 2 объекта КИИ, для которых были подготовлены модели угроз и акты категорирования, а также комплект организационно-распорядительной документации и документы для отправки во ФСТЭК России, включая план реагирования в случае инцидентов. Всего специалистами компании было разработано 39 документов – 15 по КИИ и 24 по ПДн.
«Подобные комплексные консалтинговые проекты, когда требуется одновременно и учесть все требования регуляторов, которые обязательны для такого рода организаций, и при этом обеспечить максимальною защиту систем и данных, - не редкость в нашей практике. Однако проекты в сфере медицины, когда от безопасности объектов КИИ зависят жизни и здоровье граждан, требуют особого внимания. Поэтому аудит процессов и систем независимым игроком рынка – определенно правильный шаг», - комментирует Роман Писарев, руководитель службы аудита и консалтинга iTPROTECT.