Проект

«Московский научно-практический центр лабораторных исследований» завершил комплексный анализ внутренних и внешних систем на проникновение

Заказчики: Московский научно-практический центр лабораторных исследований Департамента здравоохранения города Москвы (МНПЦЛИ ДЗМ)

Москва; Фармацевтика, медицина, здравоохранение

Подрядчики: ITProtect (Инфозащита)
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2024/06 — 2024/11
Технология: ИБ - Антивирусы
подрядчики - 310
проекты - 1323
системы - 443
вендоры - 132
Технология: ИБ - Антиспам
подрядчики - 271
проекты - 1113
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 317
проекты - 994
системы - 484
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1453
системы - 729
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 278
проекты - 1114
системы - 427
вендоры - 246
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 224
проекты - 778
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 277
проекты - 850
системы - 474
вендоры - 246

2024: Завершение комплексного анализа внутренних и внешних систем на проникновение

ГБУЗ «Московский научно-практический центр лабораторных исследований Департамента здравоохранения города Москвы» МНПЦЛИ ДЗМ завершил комплексный анализ внутренних и внешних систем на проникновение (pentest), аудит объектов критической информационной инфраструктуры (КИИ) и процессов обработки и защиты персональных данных (ПДн) на предмет устойчивости к современным угрозам и соответствия последним требованиям законодательства в области кибербезопасности. Результаты аудита, выполненного командой ИБ-интегратора iTPROTECT, позволили актуализировать стратегию защиты научно-практического центра с учетом экспертизы и опыта независимых специализированных экспертов. Об этом 6 ноября 2024 года сообщили представители iTPROTECT.

Как сообщалось, Центр занимается широким спектром диагностических исследований и каждый день обрабатывает более ста тысяч проб биоматериалов пациентов. Такая деятельность связана с обработкой и хранением больших объемов персональных данных, в случае успешной кибератаки существует риск влияния на жизнь и здоровье пациентов. Центр тщательно проверяет свои системы, процедуры и документы, чтобы обеспечить наиболее эффективную защиту и полное соответствие требованиям законодательства РФ. Отдельное внимание Центр уделяет защите своих объектов КИИ, будучи ее субъектом, а также защите ПДн. Чтобы удостовериться в надежности и полном соответствии своих систем требованиям регуляторов, Московский научно-практический центр лабораторных исследований обратился к iTPROTECT, который выступил независимым экспертом.

Специалисты ИБ-интегратора реализовали проект в несколько этапов. В первую очередь, провели оценку защищенности внутренней сети, анализ уязвимостей каналов связи, веб-сервисов и сайта. После этого команда сделала оценку соответствия документации и процедур по обработке информации требованиям законодательства РФ, в частности 187-ФЗ и 152-ФЗ, и обновила необходимую для выполнения этих норм документацию.

«
Научно-практический центр – медицинское учреждение, поэтому нам особенно важно, чтобы наши системы и персональные данные пациентов были надежно защищены, а все процессы работы с информацией и сами объекты КИИ соответствовали всем нормам законодательства РФ. С помощью специалистов iTPROTECT мы смогли решить эти задачи в короткие сроки и без простоев в работе.

прокомментировал Кирилл Сучков, заместитель директора по ИТ ГБУЗ МНПЦЛИ ДЗМ
»

В ходе внутреннего пентеста команда iTPROTECT проверила внутренние сети центра, а в ходе внешнего – его веб-сервисы и Wi-Fi сети, а также веб-сайт. По результатам эксперты не выявили критичных уязвимостей, а по всем некритичным были выданы рекомендации по их устранению, которые легли в стратегию развития системы защиты компании.

В общей сложности команда ИБ-интегратора обследовала 5 площадок учреждения и 7 веб-приложений, изучила 6 используемых информационных систем персональных данных (ИСПДн) и 91 документ по КИИ и обработке и защите ПДн, после чего помогла клиенту привести все связанные процессы в соответствие требованиям No187-ФЗ и No152-ФЗ. Всего было выявлено 2 объекта КИИ, для которых были подготовлены модели угроз и акты категорирования, а также комплект организационно-распорядительной документации и документы для отправки во ФСТЭК России, включая план реагирования в случае инцидентов. Всего специалистами компании было разработано 39 документов – 15 по КИИ и 24 по ПДн.

«
Подобные комплексные консалтинговые проекты, когда требуется одновременно и учесть все требования регуляторов, которые обязательны для такого рода организаций, и при этом обеспечить защиту систем и данных, - не редкость в нашей практике. Однако проекты в сфере медицины, когда от безопасности объектов КИИ зависят жизни и здоровье граждан, требуют особого внимания. Поэтому аудит процессов и систем независимым игроком рынка – определенно правильный шаг.

комментирует Роман Писарев, руководитель службы аудита и консалтинга iTPROTECT
»