Як визначити рівень захищеності інформаційних систем

Щороку компанія СКБ Контур проводить конкурс для підприємців «Я Бізнесмен», в ньому беруть участь сотні бізнесменів з різних городовУкаіни - від Конотопа до Кременчука.

Завдяки конкурсу ми створили надихаючу колекцію бізнес-історій, розказаних людьми, які перетворюють невеликі стартапи в успішні компанії.

Їх досвід і Поради будуть корисні кожному, хто замислюється про відкриття своєї справи.

Для старту необхідні деякі попередні умови: ідея, трохи грошей і, що найважливіше, бажання почати

Як визначити рівень захищеності інформаційних систем

Вірне визначення рівня захищеності персональних даних важливо для прийняття адекватних заходів захисту. Якщо рівень завищений - гроші витрачені даремно. Заклади охорони здоров'я використовують безліч інформаційних систем персональних даних, тому розглянемо параметри визначення рівня захищеності на прикладі медиків.

Таким чином, зараз перелік обов'язкових організаційних і технічних заходів щодо забезпечення безпеки персональних даних визначається відповідно до встановленого для інформаційної системи рівнем захищеності персональних даних.

У свою чергу рівні захищеності персональних даних при їх обробці в інформаційних системах визначаються виходячи з таких умов:

2) кількість суб'єктів персональних даних, чиї персональні дані обробляються в інформаційній системі: до 100 000 або більше 100 000;

4) тип актуальних загроз безпеки персональних даних:

  • актуальні загрози, пов'язані з наявністю недокументованих можливостей в системному програмному забезпеченні;
  • актуальні загрози, пов'язані з наявністю недокументованих можливостей в прикладному програмному забезпеченні;
  • актуальні загрози, які пов'язані з наявністю недокументованих можливостей в системному і прикладному програмному забезпеченні.

Чим вище визначено рівень захищеності персональних даних, тим більше заходів щодо забезпечення безпеки персональних даних потрібно виконати. Якщо помилково визначити більш високий рівень захищеності, то, відповідно, доведеться будувати дорожчу систему захисту персональних даних. Розглянемо типові варіанти інформаційних систем, які використовуються в більшості медичних установ.

Захист типової системи: скромно і зі смаком

Організація захисту інформації в медичному закладі будується на загальних принципах захисту ІСПДн. Наприклад, практично в будь-якому закладі охорони здоров'я встановлено типова інформаційна система персональних даних для обліку кадрів і розрахунку зарплати.

ІС федерального масштабу: все, як у людей

Медичні інформаційні системи: зона особливої ​​уваги

За допомогою медичних інформаційних систем співробітники медичних організацій вирішують цілий ряд завдань:

  • ведуть електронні амбулаторні карти, електронну реєстратуру;
  • обробляють дані медичних досліджень в цифровій формі;
  • збирають і зберігають дані моніторингу стану пацієнта з медичних приладів;
  • використовують як засіб спілкування між співробітниками;
  • аналізують фінансову і адміністративну інформацію.

При визначенні рівня захисту для медичних інформаційних систем слід брати до уваги ряд факторів:

Залежно від кількості оброблюваних суб'єктів персональних даних і типу актуальних загроз безпеки в МІС потрібно забезпечити другий або третій рівень захищеності персональних даних.

Інші інформаційні системи в сфері охорони здоров'я

Залежно від інфраструктури і завдань установи в організації можуть функціонувати і інші ІС. Для них діє точно такий же алгоритм визначення необхідного рівня захищеності ПДН, що і для систем, мова про які йшла вище.

Якщо суб'єкти та мета обробки ПДН в декількох інформаційних системах збігаються, то їх можна об'єднати і вибудувати для них єдину систему захисту персональних даних.

Як визначити рівень захищеності інформаційних систем

На закінчення нагадаємо, що рівень захищеності персональних даних в інформаційних системах визначається оператором персональних даних самостійно, а отже, і вибір організаційних і технічних заходів щодо захисту персональних даних лежить на плечах оператора. Однак не варто забувати, що завищення рівня захищеності призведе до збільшення вартості системи захисту персональних даних, а заниження рівня захищеності персональних даних є порушенням. Щоб не ламати собі голову питанням «а чи правильно я класифікував ІС?», Довіртеся професіоналам.

  • складуть модель загроз
  • класифікують інформаційну систему
  • допоможуть вибрати оптимальні засоби захисту
  • грамотно збудують систему захисту
Дізнатися більше

Максим Малков. експерт із захисту інформаційних систем персональних даних компанії «СКБ Контур», проект «Контур-Безпека»