Безопасность Корпоративной Информации
 

DeviceLock на страже медицинских данных

В крупнейшей в России частной клинике «Медицина» завершен проект по созданию системы управления информационной безопасностью, соответствующей международному стандарту ISO 27001:2005. У клиники более 60 тыс. пациентов, и только в 2013 г. здесь было оказано 2 млн 300 тыс. услуг, соответственно и сделано записей, содержащих медицинские и персональные данные, которые в соответствии с законодательством РФ требуется хранить многие годы.

Созданная в ходе проекта система управления информационной безопасностью клиники успешно прошла сертификацию по международному стандарту информационной безопасности ISO/IEC 27001:2005, при этом при переходе от системы защиты персональных данных к сертификации по ISO 27001:2005, перечень защищаемой информации был расширен до всего объема конфиденциальной информации, включая врачебную тайну. Стандарт предусматривает комплекс мер, необходимых для того, чтобы не допустить не только кражи, но и искажения информации, что крайне важно для медицинских учреждений.

Для реализации проекта СУИБ клиники «Медицина» используется ряд различных технических средств и решений, в том числе сертифицированная версия программного комплекса DeviceLock Endpoint DLP Suite, применяемого прежде всего для управления доступом к съемным устройствам на АРМ, на которых USB-порты должны быть открыты. В ходе проектирования рассматривались и другие средства контроля портов и устройств, но они оказались несовместимыми с рядом медицинского оборудования. ПК DeviceLock DLP Suite используется также в целях учета защищаемых носителей информации и регистрации событий безопасности, связанных с их использованием сотрудниками клиники.

Виктор Пархоменко, заместитель директора службы ИТ по эксплуатации клиники «Медицина», отметил, что выгоды от внедрения системы управления ИБ очевидны – это снижение рисков, связанных с возможными ущербами для активов компании; обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса. “Значительную роль в снижении количества нарушений играет постоянный контроль за пользователями и информирование пользователей о таком контроле. В результате внедрения СУИБ удается обнаружить такие трудно локализуемые нарушения, как несанкционированные подключения оборудования”, – констатировал В. Пархоменко.