Главная / Статьи / Медицина и бизнес / ЧЕК-ЛИСТ ДИРЕКТОРА КЛИНИКИ: есть ли у вас информационная безопасность, или только её имитация

ЧЕК-ЛИСТ ДИРЕКТОРА КЛИНИКИ: есть ли у вас информационная безопасность, или только её имитация

Рабцун Евгений Анатольевич

БЛОК 1. КОНТРОЛЬ ДАННЫХ (если здесь провал — остальное не имеет значения)

  1. Вы точно знаете, где физически хранятся все данные пациентов?
  2. У вас есть единая карта всех систем, где есть персональные данные?
  3. Вы можете ответить: кто имеет доступ к каким данным — прямо сейчас?
  4. У вас есть список всех выгрузок данных за последний месяц?
  5. Вы можете запретить выгрузку данных из МИС за 1 день?

Если хотя бы 2 «нет» — у вас нет контроля над данными.

 
БЛОК 2. ДОСТУПЫ И УЧЁТНЫЕ ЗАПИСИ

  1. У каждого сотрудника уникальный логин и пароль (без «общих»)?
  2. Доступ врача ограничен только его функцией (а не «всё видно»)?
  3. После увольнения сотрудника доступ закрывается в тот же день?
  4. Есть журнал: кто и когда смотрел медицинскую карту пациента?
  5. Вы реально проверяете эти журналы, а не просто «они есть»?

Если здесь есть слабость — утечки уже происходят.

 
БЛОК 3. ПОВЕДЕНИЕ СОТРУДНИКОВ (главный риск)

  1. Сотрудники знают, что нельзя:
  • отправлять данные в мессенджеры
  • хранить их на личных устройствах
  1. Вы уверены, что они этого не делают регулярно?
  2. Проводилось ли обучение по ИБ за последние 6 месяцев?
  3. Есть ли ответственность (реальная, а не формальная) за нарушения?

Если нет — у вас не система, а надежда.

 
БЛОК 4. ТЕХНОЛОГИИ И ЗАЩИТА

  1. Есть ли резервные копии:
  • ежедневно
  • проверенные (восстанавливались хотя бы раз)?
  1. Есть ли контроль:
  • USB-накопителей
  • выгрузок в Excel
  1. Используется ли шифрование каналов передачи данных?
  2. Есть ли защита от утечек (DLP) или хотя бы её аналог?

 Если нет — вы не защищены, вы просто «пока не атакованы».

 
БЛОК 5. ПОДРЯДЧИКИ И ВНЕШНИЙ ДОСТУП

  1. Вы знаете всех подрядчиков, у кого есть доступ к вашим системам?
  2. У вас есть договорные обязательства по ИБ с ними?
  3. Вы можете отключить любого подрядчика в течение часа?

 Если нет — у вас открытый контур.

 
БЛОК 6. РЕГУЛЯТОРИКА (формальность vs реальность)

  1. Требования Федеральный закон №152-ФЗ выполняются реально или «на бумаге»?
  2. Вы готовы к проверке Роскомнадзор без подготовки?
  3. Есть модель угроз и классификация ИСПДн — или «когда-то делали»?

Если это формальность — риски уже накоплены.

 
БЛОК 7. УПРАВЛЕНИЕ (ключевой блок)

  1. Кто в компании отвечает за ИБ:
  • формально
  • реально
  1. Вы получаете регулярный отчёт:
  • по инцидентам
  • по рискам
  • по доступам
  1. Вы лично понимаете:
  • как устроена архитектура данных
  • где основные уязвимости

 
ИНТЕРПРЕТАЦИЯ по количеству «НЕТ» (жёсткая, без иллюзий)

0–5 «нет»

У вас есть система. Её можно усиливать.

6–10 «нет»

У вас есть видимость контроля. Риски уже реализуются, просто вы их не видите.

11–20 «нет»

У вас нет информационной безопасности.
У вас открытая система с отсроченной проблемой.

20+ «нет»

Вы не управляете данными.
Значит, вы не управляете бизнесом.


 116      0
(Пока оценок нет)
Поделиться →


Подписка на рассылку

Свежие статьи автора:
Похожие материалы:
  1. О рентабельности в системе ОМС. Несколько спорных тезисов об этом
  2. Кто и что заработает на «двойном лицензировании» частных клиник
  3. О государственных и частных клиниках… Государстве и власти
  4. Саморегулирование в здравоохранении. Альтернативный метод отраслевого управления
  5. Информационная безопасность медицинской организации: новые риски и регуляторные требования в условиях цифровизации здравоохранения
  6. Искусственный интеллект в медицине. Он для кого? Для чего?
  7. Частное здравоохранение – вынужденный симбиоз политики и бизнеса
  8. Модернизация против «частников»
  9. Эпидемия COVID -19. Используйте ресурсы и «чистые коридоры» частных клиник
  10. Водительские справки
Читайте также на нашем сайте: