Самопроверка кибербезопасности? Критерии наилучшей практики тестирования медицинских учреждений для статьи 32 GDPR

According to the publishers, this paper is an aid to quickly checking your own security with regard to the availability of your own data processing within the meaning of Article 32 GDPR. The scope includes both the non-public as well as the public area. The work was created in a collaboration between the Bavarian State Office for Data Protection Supervision (BayLDA) and the Bavarian State Commissioner for Data Protection (BayLfD). 

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: Этот документ, разработанный и опубликованный Комиссаром Баварии по защите данных (BayLfD) и Государственным управлением Баварии по надзору за защитой данных (BayLDA), посвящен важным аспектам кибербезопасности, связанным с шестнадцатью фундаментальными областями: от управления исправлениями и программы-вымогатели для удаленного обслуживания и социальной инженерии. Этот документ, разработанный на основе кибербезопасности медицинских учреждений, может оказаться полезным для юристов, бизнеса и информационных технологий в экосистеме eDiscovery, поскольку они стремятся обеспечить безопасность и защиту конфиденциальных данных как в локальной, так и в удаленной среде.

Кибербезопасность медицинских учреждений: критерии тестирования лучших практик для статьи 32 GDPR

Цель и содержание данного документа

В этом информационном пособии содержится обзор некоторых практических мер кибербезопасности для медицинских учреждений, включая тематический блок, особенно для лабораторий, в соответствии с применимыми правовыми требованиями защиты данных. В целях целенаправленной профилактики это должно повысить осведомленность о проблемах, связанных с безопасностью, и активно поддерживать бесперебойную работу этих объектов.

Основное внимание в документе уделяется доступности данных или услуг, касающихся атак из Интернета, и в меньшей степени их конфиденциальности и целостности, что, однако, необходимо также учитывать с точки зрения защиты данных. Указанные меры, разумеется, не следует считать окончательными, а представляют собой передовой подход, который позволяет обеспечить эффективную защиту от нынешних угроз кибербезопасности. В связи с индивидуальными обстоятельствами каждой компании нет абсолютно необходимости осуществлять все упомянутые меры для соблюдения требований защиты данных. Если отдельные меры не осуществляются, необходимо проверить, каким образом другие (возможно существующие) меры могут обеспечить сопоставимый и адекватный уровень защиты.

Этот документ помогает быстро проверить вашу собственную безопасность в отношении доступности вашей собственной обработки данных по смыслу ст. 32 Общего регламента по защите данных. Сфера охвата включает как непубличную, так и общественную зону.

Работа была создана в сотрудничестве между Государственным управлением Баварии по надзору за защитой данных (BayLDA) и Уполномоченным Баварии по защите данных (BayLfD).

Кибербезопасность для медицинских учреждений (PDF) Наведите мышь на прокрутку

Киберсихерхейт-фур медизинише Эйнрихтунген — 27 мая 2020

Источник: BayLDA

Контрольный список Выдержки из документа на английский язык*

Самопроверка: кибербезопасность в медицинских объектах

Управление исправлениями

Устаревшие версии программного обеспечения повышают риск атаки из-за потенциальных уязвимостей. Поэтому используемое программное обеспечение должно обновляться с помощью регулярных обновлений безопасности.

Концепция управления исправлениями (включая обновленный план с обзором используемого программного обеспечения)

Регулярная оценка информации о недостатках в безопасности в используемом программном обеспечении, таких как операционные системы, офисное программное обеспечение, специализированные приложения и медицинские устройства (например, с помощью информационных бюллетеней по электронной почте, публикаций производителей, торговых средств массовой информации, предупреждений о безопасности)

Исключительное использование настольных операционных систем, для которых производителю/сопровождающий узнал об уязвимостях обеспечивает обновления безопасности

Регулируемый процесс быстрого импорта обновлений безопасности сервера

Автоматическое обновление настольных операционных систем (непосредственно от производителя или через центральный дистрибутив)

Регулируемый процесс обновления браузера (Рекомендация: автоматически, если возможно)

Регулируемый процесс обновления основных компонентов, таких как, например, B. Java, PDF reader (Рекомендация: автоматически, если возможно)

Защита от вредоносных программ

Заражение вредоносными программами часто приводит к значительным сбоям в работе ИТ. С помощью антивирусных программ распознавались не все варианты вредоносных программ, но перехвачено множество стандартных атак. Поэтому необходимо использовать эффективную защиту от вредоносных программ.

Защита конечных точек на каждой рабочей станции

Ежедневное автоматическое обновление антивирусных сигнатур

Централизованная запись тревожных сообщений ИТ-администрацией

Чистые инструкции для сотрудников о том, как обращаться с тревогами

График ИТ-администрирования для заражения вредоносными программами

Антивирусное решение с локальным настроенным как «высокое» эвристическое обнаружение

Процесс песочницы или расширенная защита конечных точек и реагирование (EDR) только при строгом соблюдении правил защиты данных

Защита программ-вымогателей

Трояны, которые шифруют данные целенаправленным образом с целью получения выкупа, могут привести к остановке рабочего процесса. Упреждающие меры по защите от шифрования троянов имеют важное значение для предотвращения надвигающихся негативных последствий на ранней стадии.

Насколько это возможно отсутствие макросов в офисных документах в повседневных операциях

Разрешить только подписанные макросы Microsoft Office или (регулярные) сведения, например раз в год, информировать сотрудников о рисках активации макросов (например, в Microsoft Word)

Предотвращение автоматического выполнения загруженных программ (например, политика ограничения программного обеспечения и песочница)

Деактивация хостов сценариев Windows (WSH) на клиентах (если это не абсолютно необходимо)

Проверьте, возможно ли ограничение сценариев PowerShell в режиме «ОграниченныеLanguage Mode» на клиентах Windows

Использовать веб-прокси с текущими (ежедневными) заблокированными списками сайтов загрузки вредоносного кода (IOC)

Чрезвычайный план для борьбы с шифрованием троянов на бумаге

Обзор стратегии резервного копирования и восстановления (см. Резервное копирование), которая гарантирует, что резервные копии не могут быть зашифрованы программами-вымогателями

Защита паролем

Доступ к персональным данным любого рода со стороны посторонних лиц, особенно киберпреступников, затрудняет принятие соответствующих мер. Надежные пароли помогают защитить логины сотрудников.

Осознание сотрудников о том, что такое надежные пароли и как с ними бороться (например, отсутствие липких заметок на работе, никогда не передавайте,...)

По умолчанию для приложений, чтобы предотвратить выбор очень слабых паролей (например, с помощью инструкций или, насколько это возможно, технически с помощью системы управления идентификацией)

Минимальная длина 10 цифр для используемых паролей

Рекомендации, чтобы избежать легко угадываемых паролей или компонентов паролей

Правила блокирования и переназначения паролей после инцидента

Надежные пароли также в соответствии с рекомендациями по паролям используют внутренние системы, если они еще не внедряются с помощью системы управления удостоверениями

Проверка правила, согласно которому пароли должны быть изменены по истечении коротких периодов времени (например, 60 дней) - если пароли являются надежными и достаточно длинными (например, не менее двенадцати [символов], интервал смены пароля может быть значительно больше (например, один раз в год)

Примечание: Шифрование особенно необходимо для персональных медицинских данных. Однако это может привести к тому, что содержимое не будет проверяться на наличие вредоносного кода заранее. Поэтому особую осторожность необходимо проявлять до или при открытии медицинских данных.

Двухфакторная аутентификация

Критически важные для безопасности районы уже давно находились в центре внимания нападавших. В дополнение к классическим паролям требуются дополнительные факторы доступа для надлежащей защиты этих точек доступа, которые особенно заслуживают защиты.

Двухфакторная защита доступа администратора - по крайней мере для интернет-сервисов (например, Cloud Mail Hosting)

Базовая защита зашифрованных VPN-соединений с помощью криптографических сертификатов или одноразовых паролей

Если чип-карты используются в качестве идентификационных карт сотрудников, проверьте, можно ли использовать это для обычной проверки подлинности (например, для входа в Windows)

Примечание: Для лабораторий и других медицинских учреждений в баварских больницах может использовать облачный хостинг из медицинских данных, основанных на ст. 27 пункт 4 Баварской больницы Акт (BayKrG) может быть недопустимым, см. общие руководящие принципы обработки данных заказа BayLDA и BayLfD.

Безопасность электронной почты

Трафик электронной почты создает большие риски для безопасности и часто является отправной точкой для успешной атаки. Общефирмовые правила в отношении трафика электронной почты помогают своевременно противостоять этим рискам.

Отображение сообщений электронной почты в «текстовом формате», чтобы сделать видимыми управляемые ссылки

Использование компонента безопасности для привязки к чеку электронной почты перед вызовом

Проверка входящих сообщений электронной почты с помощью защиты от вредоносных программ

Блокировать опасные вложения (например, .exe, .doc, .cmd)

Информировать сотрудников об опасностях зашифрованных вложений электронной почты (например, zip-файл с паролем)

Информировать сотрудников о выявлении электронных писем с поддельными товарами (например, адреса отправителей, аномалии, встроенные ссылки)

Регулярно информировать текущих сотрудников о вариантах атаки по электронной почте (например, мошенничестве Emotet, CEO), например, B. раз в год

Деактивировать правила пересылки одеяла на облачном хостинге

Использование криптографически подписанных электронных писем (например, с S/MIME) для внутренней связи для распознавания и проверки поддельных внутренних писем в рамках попытки атак

Примечание: Для лабораторий и других медицинских учреждений в баварских больницах может использовать облачный хостинг из медицинских данных, основанных на ст. 27 пункт 4 Баварской больницы Акт (BayKrG) может быть недопустимым, см. общие руководящие принципы обработки данных заказа BayLDA и BayLfD.

Резервные копии

Неисправность носителей данных, будь то из-за сбоев в работе или кибератак, может привести к постоянному повреждению и полному отказу компании. Регулярное резервное копирование важных данных является, таким образом, необходимым условием для того, чтобы избежать сбоев ИТ. Следует отметить, что трояны зависят от дизайна и могут также охватывать резервное копирование.

Существование концепции письменного резервного копирования

Выполнение резервного копирования в соответствии с правилом 3-2-1:3 хранилища данных, 2 различных носителя резервного копирования (также «оффлайн», как резервное копирование на ленту) и 1 из них на одном внешнем расположении

Соответствующее физическое хранение резервных носителей (например, сейф, различные пожарные отсеки, риск повреждения воды,...)

Регулярная проверка по крайней мере одного резервного копирования выполняется ежедневно

Регулярные тесты со всеми соответствующими данными в процессе резервного копирования и восстановления

По крайней мере одна система резервного копирования не может быть зашифрована вредоносным кодом (например, специальная процедура резервного копирования данных, например, вытягивание системы резервного копирования или отключение воздушного разрыва (в автономном режиме) после завершения процесса резервного копирования

Домашний офис

Если сотрудники перемещают работу в свой собственный дом, возникают совершенно новые проблемы безопасности и могут выступать в качестве шлюза для далеко идущих кибератак. Поэтому подключение сотрудников в домашнем режиме должно быть хорошо продумано и безопасно спроектировано.

Обзор сотрудников, которые имеют возможность работать в домашнем офисе

Обзор сотрудников, которые в настоящее время используют домашний офис

Обзор устройств сотрудников в домашнем офисе

Гарантия доступности сотрудников в домашнем офисе по различным каналам связи в случае нападения (например, уклонение от телефонного разговора)

Шифрование жесткого диска мобильных устройств с использованием сильной криптографии (например, AES 256 бит) общее руководство по заказу обработки данных BayLDA и BayLfD.

Обеспечение доступа домашнего офиса к корпоративной сети с помощью VPN-подключений и одной двухфакторной аутентификации

Правила использования частных устройств в исключительных случаях (например, только подключения к терминальным серверам)

При необходимости, контейнерные решения для отдельных деловых и частных зон

Информация о работе с видеоконференциями

Правила по отъезду и утилизации конфиденциальных бумажных документов (например, концепции безопасности, политики, сетевые планы,...)

Внешний доступ к лабораторным результатам

Возможности онлайнового поиска результатов лабораторных исследований для отправителей, например, через веб-сайт, открывают новые зоны атаки, основанные на доступности через Интернет. Таким образом, они могут быть мишенью для хакерских атак. Следовательно, необходимо применять обширные меры защиты.

Надлежащая безопасность доступа (например, SSL)

Безопасный и различный для каждого отправителя доступных данных

Регулярное обновление используемого программного обеспечения, в частности, быстрое закрытие известных уязвимостей

Полное ведение журнала доступа

Регулярный контроль журналов

Разделение страниц доступа и внутренних ИТ-систем, связанных с безопасностью

Регулярное (автоматическое) удаление предоставленных данных после их получения отправителями

Регулярные испытания на проникновение

Удаленное обслуживание

Обеспечить возможности удаленного доступа к системе новых целей. При работе с поставщиками услуг, которые переключаются на системы с помощью удаленного обслуживания, особенно важны отлаженные процессы обеспечения безопасности.

Ограничение доступа к удаленному обслуживанию только к конкретной системе, которая должна поддерживаться вместо полных сегментов сети, при необходимости дополнительно защищена так называемым «Jumpserver»

Активация доступа к удаленному обслуживанию только для определенных целей и продолжительности

Отключение передачи файлов - если для удаленного обслуживания не требуется

Полное ведение журнала удаленного доступа к обслуживанию

Регулярный контроль протоколов удаленного обслуживания

Криптографически подходящая защита удаленного доступа к обслуживанию (например, VPN, TLS)

Блокировка или предотвращение прекращения действия контракта на обслуживание с удаленным обслуживанием

Администраторы

Киберпреступники имеют простое время, когда они имеют привилегированные учетные записи пользователей. Даже если роль администраторов с их далеко идущими разрешениями в чрезвычайных ситуациях особенно важна, используйте учетные записи администратора только целенаправленно.

Непривилегированные стандартные учетные записи также для администраторов, выполняющих другую работу за пределами административной деятельности

Положение, которое не имеет прав администратора в Интернете серфинга или чтения/отправки электронной почты

Очень надежные пароли для локальных учетных записей администратора (например, мин. 16 цифр, сложные и без обычных словесных компонентов и разные для каждого ПК)

Насколько это возможно, согласованное использование процедур двухфакторной аутентификации для приложений, которые поддерживают эту поддержку, особенно для администраторов

Отсутствие зависимости всей компании от физических лиц или сотрудников с идентификаторами администратора

Убедитесь, что в случае сбоя (например, болезни) способность компании работать может поддерживаться несколькими сотрудниками ИТ-администрирования

Назначение сотрудника по информационной безопасности или лица, ответственного за обеспечение информационной безопасности с четко регулируемым распределением полномочий

Концепция чрезвычайной ситуации

Наличие важных медицинских устройств, от коммуникационных программ и основных данных, имеет важное значение для бесперебойной повседневной работы. Таким образом, концепция чрезвычайной ситуации имеет важное значение для подготовки в случае сбоя.

Наличие концепции чрезвычайной ситуации, которая фактически доступна для соответствующих групп людей в бумажном виде.

Регулярная проверка актуальности концепции аварийной ситуации и корректировка, если это необходимо

Создание условий для возобновления операций с помощью различных, уже запланированных и проверенных заранее этапов процесса, предусмотренных планом действий на случай чрезвычайных ситуаций

Наличие аварийного резервного оборудования для предотвращения сбоев в возмещении (например, вышедшие из строя устройства, запасные закупки)

Быстрое создание альтернативной инфраструктуры (например, внешних серверов, мобильной связи, аварийных адресов электронной почты)

Наличие хорошо структурированного и актуального сетевого плана

Информировать сотрудников о контактном лице или внутренних контактных лицах в случае инцидентов, связанных с безопасностью

Обеспечение доступности внутренних контактных лиц для инцидентов, связанных с безопасностью

Указание соответствующих компетентных органов и обязательств по представлению отчетности в плане действий на случай чрезвычайных ситуаций

Безопасное хранение данных доступа центрального управления (например, в сейфе) и возможности доступа в чрезвычайных ситуациях

Разъединение

Как только злоумышленники попадают в вашу частную сеть, сканируйте, среди прочего, данные, подключенные устройства и способы распространения. Если частные IT-сети, например, B. в медицинской сфере, для администрирования и Интернета, строго с сетевыми компонентами отделены друг от друга, то воздействие атаки сводится к минимуму.

Ограничительное (физическое) разделение медицинских сетей административных сетей (с использованием систем брандмауэра)

Эксплуатация серверов, доступных через Интернет в одной демилитаризованной зоне (ДМЗ) (например, сервер электронной почты, веб-сервер, конечные точки VPN)

Регулируемый процесс для правильной настройки брандмауэров и регулярные проверки их (например, о необходимости утверждения)

Ведение журнала на уровне брандмауэра для предотвращения несанкционированных лиц и определения и закрытия доступа между проанализированными сетями

Автоматическое оповещение ИТ-администрации при подозрении на несанкционированную обработку

Брандмауэр

Попытки получить доступ к собственной компании извне неизбежны. Важно сделать это как можно лучше заблокировано с помощью набора правил брандмауэра с протоколированием для выявления опасностей и разработки необходимых мер безопасности.

Изоляция всех внутренних серверов, ПК и медицинских устройств, подключенных к внутренней сети, из Интернета через брандмауэр в Интернет;

«Воздушный разрыв», т.е. отделение от сети, следует, по возможности, осуществлять с использованием критических систем.

Регулярный обзор правильной конфигурации брандмауэра (например, использование сканирования портов для собственных IP-адресов из внешних и периодических pentests)

Использование квалифицированного персонала/поставщиков услуг для настройки брандмауэра

Мониторинг для выявления попыток доступа

Сотрудник по защите данных (DSB)

Плохие структуры безопасности в организации могут поставить под угрозу оперативный процесс. Поэтому важно использовать существующие навыки и не только ИТ-менеджеров, но и DSB при интеграции и реализации проблем безопасности.

Последовательное участие Департамента по вопросам безопасности в решении вопросов

Достаточная профессиональная квалификация ДСБ по вопросам безопасности и возможности обучения по данной теме

Проведение регулярных аудитов DSB ст. 32 GDPR для обеспечения безопасности обработки

Знание ответственного органа по надзору за защитой данных

Знание обязательств по представлению отчетности в соответствии со статьями 33 и 34 GDPR (нарушение безопасности)

Поддержка сотрудничества DSB с сотрудником по информационной безопасности (ISB) со стороны руководства (информация: при выборе и реализации технико-организационных мер в соответствии со ст. 32 GDPR может создать синергетические связи через DSB и ISB)

Социальная инженерия

Преступники прокрадываются через атаки социальной инженерии, чтобы получить доступ к важной информации для кибератак вниз по течению. Соответственно, всем важно, чтобы «фактор безопасности человека» объяснялся соответствующим обучением.

Регулярное обучение сотрудников по актуальным вопросам и более частым кибератакам (например, раз в год)

Последовательная инструкция новых сотрудников по справедливому обращению с ИТ-компонентами и поведению в атаках социальной инженерии

Повышение осведомленности новых сотрудников об ИТ рискует начать обработку данных (например, для временных работников)

Презентация курса социальных инженерных атак для повышения осведомленности сотрудников (например, возможность манипулирования телефонными номерами)

Информация для сотрудников о каналах отчетности (например, ISB или DSB) и обязанностях

Оригинальный пост

www.lda.bayern.de/best_practice_medizin

www.datenschutz-bayern.de/best_practice_medizin

Издатели

Уполномоченный Баварии по защите данных www.datenschutz-bayern.de

Баварское государственное управление по надзору за защитой данных - www.lda.bayern.de

*Оригинальный контент, переведенный с помощью машинного перевода (Google) и обзора ComplexDiscovery.

Дополнительное чтение

Учитывая кибербезопасность? Национальная кибербезопасность на практике: новый справочник

Соответствующий сценарий Ransomeware: ориентирование муниципальных органов власти и поставщиков медицинских услуг

Источник: КомплексДискавери

Суд Рейнен обеспечивает дополнительное финансирование

According to the media release, Reynen Court has secured $4.5 million...

От упреждающего обнаружения до проверки нарушений данных: обнаружение и извлечение конфиденциальных данных с помощью Ascema

A steady rise in the number of sensitive data discovery requirements...

Сброс базовой линии? Корректировка размера рынка раскрытия электронных данных на 2020 год

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Новое от NIST: интеграция кибербезопасности и управления рисками предприятия (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Руководство по покупателям систем электронного раскрытия информации — издание 2020 года (Эндрю Хаслам)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Гонка на стартовой линии? Недавние объявления о безопасному удаленному обзору

Not all secure remote review offerings are equal as the apparent...

Включение удаленного обнаружения электронных данных? Снимок DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Сброс базовой линии? Корректировка размера рынка раскрытия электронных данных на 2020 год

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Домой или уходом? Соображения по вопросам размера и ценообразования на рынке коллекции электронных данных Discovery

One of the key home (onsite) or away (remote) decisions that...

Изменения и решения? Новые соображения по безопасному удаленному проверку обнаружения электронных данных

One of the key revision and decision areas that business, legal,...

A Macro Look at Past and Projected eDiscovery Market Size from 2012 to 2024

From a macro look at past estimations of eDiscovery market size...

Сезон перемен? Восемнадцать замечаний о доверии бизнеса по раскрытию электронных данных осенью 2020 года

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Продолжающийся случай бюджетных ограничений в сфере раскрытия электронных данных

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Непогашенные счета? Операционные метрики обнаружения электронных данных осенью 2020 года

In the fall of 2020, eDiscovery Business Confidence Survey more...

Держа Руль? Результаты исследования доверия бизнеса к раскрытию электронной документации осенью 2020 г.

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

Суд Рейнен обеспечивает дополнительное финансирование

According to the media release, Reynen Court has secured $4.5 million...

DISCO поднимает 60 миллионов долларов

According to the media release, DISCO will use this investment to...

Рампива и объединение RYABI Group

According to today's announcement, the RYABI Group merger is Rampiva's first...

Слияния, поглощения и инвестиции в раскрытие электронных данных в третьем квартале 2020 года

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Пять замечательных чтений по раскрытию электронных данных за октябрь 2020 года

From business confidence and captive ALSPs to digital republics and mass...

Пять замечательных чтений по раскрытию электронных данных за сентябрь 2020 года

From cloud forensics and cyber defense to social media and surveys,...

Пять замечательных чтений по раскрытию электронных данных за август 2020 года

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Пять отличных данных по раскрытию электронных данных за июль 2020 года

From business confidence and operational metrics to data protection and privacy...