Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
(1).jpg)
Программа разработана совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
1. Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
2. Документ подготовлен во исполнение решения заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации 22 декабря 2010 г. (утверждено 30 декабря 2010 г. № А4-18040) по вопросу о порядке реализации региональных программ модернизации здравоохранения в части внедрения информационных технологий.
3. Настоящие требования предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения (далее - Система) в рамках реализации региональных программ модернизации здравоохранения.
4. Перечень работ по обеспечению информационной безопасности включает:
4.1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее - ИСПДн);
4.2. Стадию разработки "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости";
4.3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее - ПДн) и эксплуатации системы защиты персональных данных (далее - СЗПДн) в ИСПДн;
4.4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
4.5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
5. Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с "Положением о методах и способах защиты информации в информационных системах персональных данных" (приказ ФСТЭК от 5 февраля 2010 г. № 58), "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных "(Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.), "Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.) и "Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости" (далее - методические рекомендации), согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации. Данные методические рекомендации размещены на официальном сайте Министерства здравоохранения и социального развития Российской Федерации по адресу: http://www.minzdravsoc.ru/docs/mzsr/informatics/5
При использовании методических рекомендации необходимо учитывать отмену действия следующих документов ФСТЭК России:
основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.".
6. При создании СЗПДн необходимо учитывать нижеследующие положения.
6.1. При выборе технических средств защиты информации (далее - СрЗИ) максимально использовать имеющиеся СрЗИ с учетом возможности их интеграции со средствами обеспечения информационной безопасности Министерства здравоохранения и социального развития Российской Федерации.
6.2.При выборе СрЗИ необходимо руководствоваться тем, что СрЗИ должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты - в соответствии с требованиями по безопасности информации ФСБ России. При встраивании сертифицированных средств криптографической защиты информации (далее - СКЗИ) в Систему в установленном порядке должны быть выполнены работы по оценке влияния аппаратных, программно-аппаратных и программных компонентов Системы, совместно с которыми предполагается штатное функционирование СКЗИ, на предмет выполнения предъявленных к СКЗИ требований.
В случае отсутствия на рынке сертифицированных СрЗИ необходимо проводить дополнительные исследования на предмет выбора и обоснования иных решений. При этом, такие решения должны быть согласованы со ФСТЭК России и ФСБ России (в части их компетенции).
6.3. При выборе СрЗИ необходимо использовать промышленные решения уровня предприятия.
Методические рекомендации по проведению в 2011 - 2012 годах работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения
Текст методических рекомендаций официально опубликован не был
Определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
Перечень работ по обеспечению информационной безопасности включает предпроектную стадию, в т. ч. обследование информационных систем персональных данных (далее - ИСПДн). Речь идет и о разработке "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости". Также это стадии проектирования (разработки проектов) и ввода в действие системы защиты персональных данных и др.
При выборе техсредств защиты информации максимально необходимо использовать имеющиеся с учетом возможности их интеграции со средствами обеспечения информационной безопасности Минздравсоцразвития России.
Такие средства защиты должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты - в соответствии с требованиями ФСБ России.
Если на рынке нет сертифицированных средств защиты, нужно проводить дописследования на предмет выбора и обоснования новых решений. Последние должны быть согласованы с ФСТЭК и ФСБ России. Также следует использовать промышленные решения уровня предприятия.
Основные мероприятия по организации и техобеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утратили силу. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных не действуют.
