Медицинские данные медленно, но уверенно мигрируют с бумажных носителей в «цифровую» инфраструктуру медицинских учреждений. Сегодня они «разбросаны» по базам данных, порталам, медицинскому оборудованию и т.п. При этом в некоторых случаях безопасность сетевой инфраструктуры таких организаций остается без внимания, а ресурсы, обрабатывающие медицинскую информацию, доступны извне.
аудит
Как показали многочисленные исследования, “умные” дома, “умные” автомобили и “умные” города, не только приносят несомненную пользу человеку в быту, но и зачастую создают угрозу его безопасности. Речь не только об утечке персональных данных – достаточно представить, что в какой-то момент “умный” холодильник под воздействием третьей силы начнет воспринимать просроченные продукты как свежие. Или вот еще один, более печальный сценарий: на высокой скорости система “умного” автомобиля неожиданно для хозяина поворачивает руль вправо…
Оценка соответствия инфраструктуры, в которой хранятся, обрабатываются и передаются данные о держателях платежных карт, требованиям Стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) позволяет выявить причины, создающие благоприятные условия для нарушения аспектов безопасности рассматриваемой информационной системы и, как следствие, компрометации критичных данных.
Февраль-март 2012 года принимает в список своих бумажных изданий очередной номер аккредитованного Высшей Аттестационной Комиссией журнала «Безопасность информационных технологий» (второе название – «БИТ»), где наряду с блестящими научными публикациями выходит в свет моя работа на тему автоматизации процесса аудита по стандарту PCI DSS.
Проведение технического аудита в подавляющем большинстве случаев сопровождается анализом защищенности сетевого периметра. Практика показывает, что этап проведения внешнего теста на проникновение является для аудитора задачей, которая требует ожидания. За время, пока пентестеры врезаются в инфраструктуру, пытаясь перевести свою деятельность на внутрекорпоративный уровень, аудитор проводит ряд организационных мероприятий, связанных с получением дополнительных данных для последующей оценки защищенности методом «белого ящика». Иногда встречаются ситуации, когда он вынужден выносить вердикт исключительно по результатам теста на проникновение или в значительной степени опираться на эти результаты. Встает вопрос оптимизации в реальном времени получаемой от пентестера информации.