11.35M

Оценка_информационных_рисков_ООО_«БНАЛ»

1.

ИТОГОВАЯ РАБОТА
Оценка информационных
рисков
ООО «БНАЛ»
Коммерческая медицинская организация
Дисциплина: Основы информационной
безопасности
2026

2.

Содержание
Структура презентации
01
03
Описание
организации
Миссия, цели, внешняя
структура
02 Организационная
Структура, управление, бизнес-
среда
процессы
Информационные
активы
Информационная
система
Классификация, уровни доступа
и угрозы
05 Уязвимости
Анализ уязвимостей, модель
04
ущерба
06 Оценка
Финансовая оценка
угроз
рисков
07 Оценка
Количественная оценка,
последствий
и меры
08 Стратегия
Стратегии управления, меры
матрица
09 Оценка после внедрения
Остаточные риски
мер
Аппаратное, программное, сеть
защиты
10
Предложения и
заключение
Политика ИБ, выводы

3.

Раздел 1
Описание организации и внешняя среда
Общие сведения
Наименование: ООО «БНАЛ»
Сфера: Коммерческая медицина (амбулаторно-поликлиническая
помощь)
ОКВЭД: 86.21 — Общая врачебная практика
Миссия и цели
Миссия: Сохранение и восстановление здоровья пациентов путём
Контрагенты
Страховые медицинские организации (ДМС), фармацевтические
дистрибьюторы (Катрен, Протек), поставщики оборудования, IT-
компании, клининговые компании, охранные предприятия
Потенциальные нарушители
Внешние: Хакеры (продажа ПДн), конкуренты (шпионаж), хактивисты
предоставления качественной, доступной и высокотехнологичной
(DDoS)
Внутренние: Сотрудники (умышленно/неумышленно), уволенные
медицинской помощи
(сохранённый доступ)
Цели: Получение прибыли, расширение доли рынка, оптимизация
бизнес-процессов, внедрение инновационных методов
Проверяющие органы
Росздравнадзор, Роспотребнадзор, ФНС, ТФОМС, трудовая инспекция,
Клиенты
Взрослые и дети 25–60 лет, средний класс и выше, корпоративные
клиенты (ДМС). Ценят: отсутствие очередей, онлайн-запись, «своего»
врача
прокуратура, МВД, Роскомнадзор (152-ФЗ о ПДн)

4.

Раздел 2
Организационная структура и бизнес-процессы
Организационная структура
Основные бизнес-процессы
Генеральный директор
1
Общее руководство, стратегии,
бюджеты
Приём и обслуживание
пациентов
Регистратура → Лечебные отделения → Диагностика → Главный врач
(контроль)
Главный врач
Управление лечебным процессом,
лицензирование
2
IT-отдел
Работа с ПДн и врачебной
тайной
Главный врач → Регистратура → Лечебные отделения → IT-отдел
(защита)
ИТ-инфраструктура, системное
администрирование, ИБ
3
Главный бухгалтер
Финансы, бухгалтерский учёт,
налоги
Финансово-хозяйственная
деятельность
Главный бухгалтер → Генеральный директор → Регистратура (касса)
Регистратура
4
Запись на приём, первичный контакт,
касса
Управление ИТ и обеспечение
ИБ
IT-отдел (основной исполнитель) → Все отделы (пользователи)
5
Система управления
Закупки и
снабжение
Заместитель по АХЧ → Главный врач → Главный бухгалтер
Вертикальная
Горизонтальная
Внешняя
Иерархия отчётности
Между отделами
Регуляторы, клиенты

5.

Раздел 3
Информационные активы организации
Конфиденциальная информация
Учредительные документы
Устав, учредительный договор — Постоянно
Лицензия на медицинскую деятельность
Главный врач, юридическая служба — Постоянно
Документы ограниченного доступа
Медицинские карты (ЭМК)
КТ
Регистратура, лечащие врачи, архив — 25/50 лет
Персональные данные
сотрудников
К
Отдел кадров, бухгалтерия — 75 лет
Персональные данные сотрудников
Паспорт, ИНН, СНИЛС — 75 лет
Финансовая
отчётность
Медицинские карты пациентов
КТ
Бухгалтерия, Генеральный директор — Постоянно
Форма 025/у — 25 лет (бумага), 50 лет (ЭМК)
Результаты лабораторных
Бухгалтерская отчётность
Налоговые декларации — Постоянно
Бизнес-планы и стратегии
Маркетинговые исследования — Постоянно
исследований
Лаборатория, лечащие врачи — 25 лет
Договоры ДМС
Главный врач, бухгалтерия — 5 лет
Пароли и ключи доступа
К МИС, базам данных — Постоянно
К
К — Коммерческая тайна | КТ — Конфиденциальная информация (ПДн,
врачебная тайна)
КТ

6.

Раздел 4
Информационная система
Аппаратные средства
Сеть и каналы связи
Серверы: 2 сервера (обновлены 2 мес.
назад)
Рабочие станции: ПК врачей, администраторов,
ЛВС с VLAN
бухгалтерии
Медицинское оборудование: УЗИ-аппараты, ЭКГ,
Медицинская сеть / Административная сеть
лабораторное
NAS + облачное хранилище: Резервное
копирование
ИБП: Только регистратура и касса — серверы НЕ
Гостевая Wi-Fi
Изолирована от корпоративной сети
защищены!
Сетевые экраны: 2 шт. (каскадная
защита)
Камеры видеонаблюдения: По всему
Защищённый доступ
периметру
2 межсетевых экрана (каскадная защита)
Программные средства
VPN
При необходимости удалённого доступа
Windows 11/Server
МИС
Операционные системы
Медицинская ИС (ядро)
Авторизация и доступ
PostgreSQL / MS SQL
1С:Бухгалтерия
СУБД
Финансовый учёт
Тип: Доменная (логин/пароль)
Парольная политика: Минимум 8 символов, буквы разного регистра,
Антивирус
Резервное копирование
Лицензирован
Ежедневно
цифры
Смена пароля: Раз в 60 дней
Ролевая модель: По принципу минимальной необходимости

7.

Раздел 5
Уязвимости и угрозы
Уязвимости ИС
!
!
!
Отсутствие 2FA для доступа к
МИС
ИБП только в регистратуре — серверы не
защищены
Единая точка отказа — один МЭ на
границе
Низкая частота отчётов — ежеквартально вместо

ежемесячно
Отсутствие пентеста внешней и внутренней
!
инфраструктуры
Не настроено автообновление Windows на всех

ПК
Угрозы информационным активам
У1 НСД к МИС
Несанкционированный доступ к конфиденциальной информации с
использованием скомпрометированных учётных записей (отсутствие
2FA)
У2
Утечка данных
Утечка ПДн пациентов, врачебной тайны через копирование на внешние
носители (отсутствие DLP)
У3
Нарушение
доступности
Отказ серверов МИС из-за отключения ИБП, скачков напряжения
Нарушение
Уязвимости персонала
!
Совмещение ролей IT-админа и
специалиста ИБ
Недостаточная квалификация в

ИБ
Подверженность социнженерии (фишинг
!
подтверждён)
У4
целостности
Случайное
удаление, искажение медицинских карт из-за ошибок
персонала
Вредоносное
У5
ПО шифровальщиками, шпионами через фишинг, веб-сайты,
Заражение
USB
У6
DDoS-атаки
Атаки на сайт клиники, систему онлайн-записи, корпоративную почту

8.

Раздел 6
Оценка потерь и ущерба
Финансовая оценка ущерба по угрозам
Угроза
Затронутые активы
Тип ущерба
Диапазон (руб.)
У1
МИС, ПДн, ЭМК
Фин. потери, репутация, штрафы (до 75 млн)
У2
ПДн, врачебная тайна
У3
Уровень
500K — 3M
КРИТИЧЕСКИЙ
Репутация, потеря преимуществ, иски
300K — 1.5M
БОЛЬШОЙ
Серверы, МИС
Потеря производительности, недополученная прибыль
50K — 200K
СРЕДНИЙ
У4
Данные МИС
Затраты на восстановление, дезорганизация
10K — 50K
УМЕРЕННЫЙ
У5
Все данные
Восстановление, простой, шантаж
100K — 2M
КРИТИЧЕСКИЙ
У6
Веб-сайт, почта
Репутация, недоступность для клиентов
30K — 150K
СРЕДНИЙ
У7
Учётные записи
Аналогично У1, У2 (зависит от полученной информации)
500K — 3M
КРИТИЧЕСКИЙ
3
1
3

9.

Раздел 7
Оценка рисков информационной безопасности
Методология оценки
Базовая вероятность
Коэффициент уязвимости
Коэффициент интереса
Формула
0.1 — 0.9
1.5
1.3
Риск = Вероятность × Ущерб
Результаты оценки рисков
Угроза
Уязвимость
Интерес
Вероятность
Ущерб (руб.)
Риск (руб.)
Уровень
У1
Да (нет 2FA)
Да (ПДн)
0.5
1 500 000
1 462 500
КРИТИЧЕСКИЙ
У2
Частично
Да
0.3
900 000
526 500
ВЫСОКИЙ
У3
Да
Нет
0.3
125 000
56 250
СРЕДНИЙ
У4
Да
Нет
0.3
30 000
13 500
НИЗКИЙ
У5
Да
Да
0.3
1 050 000
614 250
КРИТИЧЕСКИЙ
У6
Нет
Да
0.3
90 000
35 100
СРЕДНИЙ

10.

Раздел 8
Стратегия управления рисками и меры по устранению
Стратегии управления
Предложения по устранению критичных рисков
Уменьшение риска
1
Критические (У1, У5, У7) и высокий (У2) — внедрение
защитных мер
Принятие риска
Низкий (У4) — при наличии процедур восстановления
Экономическое обоснование
Стоимость мер (1-й год)
185 000 руб.
2FA
У1, У7
Двухфакторная аутентификация для доступа к МИС, ЭМК и критичным системам
Внедрение: 80 000
Ежегодно: 15 000
руб.
руб.
Контроль/Мониторинг
Средние (У3, У6) — поддержание существующих мер,
отслеживание
Внедрение
2
DLP-система
Контроль USB, email, печать, облачные сервисы
Внедрение: 120 000
руб.
3
Обучение персонала
ИБ
Квартальные тренинги, симуляция фишинга, тестирование
Разработка: 5 000
руб.
4
Песочница
(Sandbox)
Анализ вложений почты и файлов, блокировка 0-day угроз
Внедрение: 70 000
руб.
У2
Ежегодно: 25 000
руб.
У5, У7
Ежегодно: 12 000
руб.
У5
Ежегодно: 15 000
руб.
Ущерб от одного инцидента
500K — 3M руб.
5
ИБП на серверы
У3

11.

Раздел 9
Оценка остаточных рисков
После внедрения предложенных мер скорректированная вероятность снижается:
2FA (У1, У7)
DLP (У2)
Обучение (У5)
Песочница (У5)
ИБП (У3)
→ 0.15
→ 0.2
→ 0.4
→ 0.2
→ 0.25
Результаты оценки остаточных рисков
Угроза
Вероятность (после)
Ущерб (руб.)
Остаточный риск (руб.)
Уровень
Допустимость (<20K)
У1
0.15
1 500 000
225 000
ВЫСОКИЙ
НЕТ
У2
0.2
900 000
180 000
ВЫСОКИЙ
НЕТ
У3
0.25
125 000
31 250
СРЕДНИЙ
НЕТ
У4
0.45
30 000
13 500
НИЗКИЙ
ДА
У5
0.2
1 050 000
210 000
ВЫСОКИЙ
НЕТ
У6
0.39
90 000
35 100
СРЕДНИЙ
НЕТ
У7
0.15
1 500 000
225 000
ВЫСОКИЙ
НЕТ

12.

Раздел 10
Предложения по политике ИБ и заключение
Ключевые предложения в Политику ИБ
1
2
Обязательное 2FA для всех сотрудников с доступом к системам
уровня КТ
Регламент DLP: контроль USB, email, печать, облачные сервисы, аудит раз в
квартал
3
4
6
низкий риск
Предложены конкретные меры по устранению с
фишинга, аттестация
Разработаны 9 предложений в Политику ИБ
Управление уязвимостями: сканирование раз в месяц (критичные — 72ч,
Политика чистых столов и экранов: блокировка экрана через 5
минут
Экономическая эффективность
Инвестиции в ИБ 185 000 руб. значительно меньше
потенциального ущерба 500K — 3M руб. от одного инцидента
ROI: 270% — 1520%
План реагирования на инциденты: обнаружение — локализация —
Резервное копирование: ежедневное инкрементное, еженедельное полное,
off-site + on-site
8
Выявлены 3 критических, 1 высокий, 2 средних и 1
финансовым обоснованием
устранение — восстановление — анализ
7
Результаты работы:
Программа осведомлённости: ежеквартальные тренинги, симуляция
высокие — 7 дней)
5
Заключение
Управление доступом уволенных: деактивация в день увольнения до
18:00
Рекомендация
Внедрение предложенных мер обязательно для защиты пациентов,
персональных данных и репутации клиники
English     Русский Правила