«Московский научно-практический центр лабораторных исследований» завершил комплексный анализ внутренних и внешних систем на проникновение
Заказчики: Московский научно-практический центр лабораторных исследований Департамента здравоохранения города Москвы (МНПЦЛИ ДЗМ) Москва; Фармацевтика, медицина, здравоохранение Подрядчики: ITProtect (Инфозащита) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2024/06 — 2024/11
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
2024: Завершение комплексного анализа внутренних и внешних систем на проникновение
ГБУЗ «Московский научно-практический центр лабораторных исследований Департамента здравоохранения города Москвы» МНПЦЛИ ДЗМ завершил комплексный анализ внутренних и внешних систем на проникновение (pentest), аудит объектов критической информационной инфраструктуры (КИИ) и процессов обработки и защиты персональных данных (ПДн) на предмет устойчивости к современным угрозам и соответствия последним требованиям законодательства в области кибербезопасности. Результаты аудита, выполненного командой ИБ-интегратора iTPROTECT, позволили актуализировать стратегию защиты научно-практического центра с учетом экспертизы и опыта независимых специализированных экспертов. Об этом 6 ноября 2024 года сообщили представители iTPROTECT.
Как сообщалось, Центр занимается широким спектром диагностических исследований и каждый день обрабатывает более ста тысяч проб биоматериалов пациентов. Такая деятельность связана с обработкой и хранением больших объемов персональных данных, в случае успешной кибератаки существует риск влияния на жизнь и здоровье пациентов. Центр тщательно проверяет свои системы, процедуры и документы, чтобы обеспечить наиболее эффективную защиту и полное соответствие требованиям законодательства РФ. Отдельное внимание Центр уделяет защите своих объектов КИИ, будучи ее субъектом, а также защите ПДн. Чтобы удостовериться в надежности и полном соответствии своих систем требованиям регуляторов, Московский научно-практический центр лабораторных исследований обратился к iTPROTECT, который выступил независимым экспертом.
Специалисты ИБ-интегратора реализовали проект в несколько этапов. В первую очередь, провели оценку защищенности внутренней сети, анализ уязвимостей каналов связи, веб-сервисов и сайта. После этого команда сделала оценку соответствия документации и процедур по обработке информации требованиям законодательства РФ, в частности 187-ФЗ и 152-ФЗ, и обновила необходимую для выполнения этих норм документацию.
Научно-практический центр – медицинское учреждение, поэтому нам особенно важно, чтобы наши системы и персональные данные пациентов были надежно защищены, а все процессы работы с информацией и сами объекты КИИ соответствовали всем нормам законодательства РФ. С помощью специалистов iTPROTECT мы смогли решить эти задачи в короткие сроки и без простоев в работе. прокомментировал Кирилл Сучков, заместитель директора по ИТ ГБУЗ МНПЦЛИ ДЗМ |
В ходе внутреннего пентеста команда iTPROTECT проверила внутренние сети центра, а в ходе внешнего – его веб-сервисы и Wi-Fi сети, а также веб-сайт. По результатам эксперты не выявили критичных уязвимостей, а по всем некритичным были выданы рекомендации по их устранению, которые легли в стратегию развития системы защиты компании.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
В общей сложности команда ИБ-интегратора обследовала 5 площадок учреждения и 7 веб-приложений, изучила 6 используемых информационных систем персональных данных (ИСПДн) и 91 документ по КИИ и обработке и защите ПДн, после чего помогла клиенту привести все связанные процессы в соответствие требованиям No187-ФЗ и No152-ФЗ. Всего было выявлено 2 объекта КИИ, для которых были подготовлены модели угроз и акты категорирования, а также комплект организационно-распорядительной документации и документы для отправки во ФСТЭК России, включая план реагирования в случае инцидентов. Всего специалистами компании было разработано 39 документов – 15 по КИИ и 24 по ПДн.
Подобные комплексные консалтинговые проекты, когда требуется одновременно и учесть все требования регуляторов, которые обязательны для такого рода организаций, и при этом обеспечить защиту систем и данных, - не редкость в нашей практике. Однако проекты в сфере медицины, когда от безопасности объектов КИИ зависят жизни и здоровье граждан, требуют особого внимания. Поэтому аудит процессов и систем независимым игроком рынка – определенно правильный шаг. комментирует Роман Писарев, руководитель службы аудита и консалтинга iTPROTECT |