Тестирование на проникновение для HIPAA

Что такое HIPAA?

Что такое HIPAA?

HIPAA (Health Insurance Portability and Accountability Act) – Федеральный закон США, регулирующий конфиденциальность, безопасность и электронный обмен медицинской информацией.

Соответствовать данному регламенту должны все организации и системы, работающими с такими данными.

Требования HIPAA затрагивают три аспекта безопасности данных:

  • 1Организационно-правовой аспект
    Наличие всех необходимых процессов: управление доступом, управление инцидентами, рисками, порядок действий в чрезвычайных ситуациях и другие
  • 2Физическую безопасность
    Здесь затрагивается безопасность инфраструктуры системы и используемые средства защиты
  • 3Технические аспекты безопасности
    Здесь речь идет о защищенности системы от несанкционированного доступа, несанкционированного раскрытия информации и повреждений
Зачем проводить тестирование на проникновение для соответствия HIPAA?

Зачем проводить тестирование на проникновение для соответствия HIPAA?

Согласно HIPAA Evaluation Standard § 164.308(a)(8) организация обязана периодически проводить техническую и нетехническую оценку систем, чтобы определить их соответствие требованиям регламента. Обычно в качестве технической оценки системы используют сканирование на уязвимости, либо тестирование на проникновение. Один из наиболее авторитетных гайдов по соблюдению требований HIPAA – NIST 800-66 также рекомендует “регулярно проводить попытки компрометации системы доверенным лицом с целью определения эффективности применяемых мер безопасности”.

Специалисты IT Band Systems проводят тестирование на проникновение систем для подтверждения соответствия HIPAA

Специалисты IT Band Systems проводят тестирование на проникновение систем для подтверждения соответствия HIPAA

Наши консультанты - это опытные сертифицированные специалисты, которые постоянно отслеживают последние тенденции в области безопасности, а также выступают на профильных конференциях в Беларуси и за рубежом.

Глубокие знания и опыт наших экспертов подтверждаются престижной и наиболее ценной сертификацией в области кибербезопасности - CISSP (Certified Security Systems Professional), а также сертификацией в области тестирования на проникновение - OSWE (Offensive Security Web Expert), CPSA (CREST Practitioner Security Analyst).

Наши клиенты

Методология

Методология

Наши специалисты руководствуются строгим кодексом профессиональной этики и следуют международным методологиям, признанным в отрасли кибербезопасности:

  • OWASP - Open Web Application Security Project Testing Guide
  • PTES - Penetration Testing Execution Standard
  • OSSTMM - Open Source Security Testing Methodology Manual
  • ISSAF - Information Systems Security Assessment Framework
  • WASC - Web Application Security Consortium Threat Classification

Тест-кейсы

Во время тестирования на проникновение будет проверено более 100 тест-сценариев. Особое внимание уделяется на глубоком ручном тестировании уязвимостей, входящих в OWASP top 10:

  • A1: Broken Access Control
  • A2: Cryptographic Failures
  • A3: Injection
  • A4: Insecure Design
  • A5: Security Misconfiguration
  • A6: Vulnerable and Outdated Components
  • A7: Identification and Authentication Failures
  • A8: Software and Data Integrity Failures
  • A9: Security Logging and Monitoring Failures
  • A10: Server-Side Request Forgery

Результат тестирования

Результатом тестирования будет служить финальный отчёт с выявленными уязвимостями, шагами для их воспроизведения и рекомендациями по их устранению.

Остались вопросы? Вы всегда можете связаться с нашим менеджером по почте:

Оставить заявку