6 ноября 2024 г.

ГБУЗ «Московский научно-практический центр лабораторных исследований Департамента здравоохранения города Москвы» МНПЦЛИ ДЗМ завершил комплексный анализ внутренних и внешних систем на проникновение (pentest), аудит объектов критической информационной инфраструктуры (КИИ) и процессов обработки и защиты персональных данных (ПДн) на предмет устойчивости к современным угрозам и соответствия последним требованиям законодательства в области кибербезопасности. Результаты аудита, выполненного командой ИБ-интегратора iTPROTECT, позволили актуализировать стратегию защиты научно-практического центра с учетом экспертизы и опыта независимых специализированных экспертов.

Специалисты ИБ-интегратора реализовали проект в несколько этапов. В первую очередь, провели оценку защищенности внутренней сети, анализ уязвимостей каналов связи, веб-сервисов и сайта. После этого команда сделала оценку соответствия документации и процедур по обработке информации требованиям законодательства РФ, в частности 187-ФЗ и 152-ФЗ, и обновила необходимую для выполнения этих норм документацию.

«Научно-практический центр — медицинское учреждение, поэтому нам особенно важно, чтобы наши системы и персональные данные пациентов были надежно защищены, а все процессы работы с информацией и сами объекты КИИ соответствовали всем нормам законодательства РФ. С помощью специалистов iTPROTECT мы смогли решить эти задачи в короткие сроки и без простоев в работе», — прокомментировал Кирилл Сучков, заместитель директора по ИТ ГБУЗ МНПЦЛИ ДЗМ.

В ходе внутреннего пентеста команда iTPROTECT проверила внутренние сети центра, а в ходе внешнего — его веб-сервисы и Wi-Fi сети, а также веб-сайт. По результатам эксперты не выявили критичных уязвимостей, а по всем некритичным были выданы рекомендации по их устранению, которые легли в стратегию развития системы защиты компании.

В общей сложности команда ИБ-интегратора обследовала 5 площадок учреждения и 7 веб-приложений, изучила 6 используемых информационных систем персональных данных (ИСПДн) и 91 документ по КИИ и обработке и защите ПДн, после чего помогла клиенту привести все связанные процессы в соответствие требованиям № 187-ФЗ и № 152-ФЗ. Всего было выявлено 2 объекта КИИ, для которых были подготовлены модели угроз и акты категорирования, а также комплект организационно-распорядительной документации и документы для отправки во ФСТЭК России, включая план реагирования в случае инцидентов. Всего специалистами компании было разработано 39 документов — 15 по КИИ и 24 по ПДн.

«Подобные комплексные консалтинговые проекты, когда требуется одновременно и учесть все требования регуляторов, которые обязательны для такого рода организаций, и при этом обеспечить максимальною защиту систем и данных, — не редкость в нашей практике. Однако проекты в сфере медицины, когда от безопасности объектов КИИ зависят жизни и здоровье граждан, требуют особого внимания. Поэтому аудит процессов и систем независимым игроком рынка — определенно правильный шаг», — комментирует Роман Писарев, руководитель службы аудита и консалтинга iTPROTECT.

Источник: Пресс-служба компании iTPROTECT