Основная информация
| Дата опубликования: | 19 февраля 2018г. |
| Номер документа: | RU93000201800338 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Крым |
| Принявший орган: | Министерство здравоохранения Республики Крым |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ
ПРИКАЗ
От 19.02.2018
№267
г. Симферополь
О утверждении концепции
информационной безопасности.
Согласно Положению о Министерстве здравоохранения Республики Крым (далее – Министерство), утвержденному постановлением Совета министров Республики Крым от 27.06.2014 № 149, с целью подготовки к закупке услуги уполномоченной фармацевтической организации,
ПРИКАЗЫВАЮ:
Утвердить концепцию информационной безопасности государственной информационной системы «Единая медицинская информационная система
здравоохранения Республики Крым», согласно приложению № 1 к настоящему приказу.
2. Контроль за исполнением настоящего приказа возложить на заместителя министра здравоохранения Н.Н. Деркача.
МИНИСТР А. ГОЛЕНКО
Согласовано:
Заместитель министра _______________ Н.Н. Деркач «____»____________2018 год
Заместитель начальника управления
правового обеспечения
и лицензирования
_______________ С.В. Рыжков
«____»_____________2018 год
Начальник управления
лекарственного обеспечения,
информатизации, охраны труда и
гражданской защиты населения ________________Г.В. Кравец
«____»_____________2018 год
Заведующий отделом
информатизации, охраны труда и
гражданской защиты населения ________________О.В. Маляренко
«____»_____________2018 год
Заведующий сектором по профилактике
коррупционных и иных правонарушений
управления кадровой политики,
государственной гражданской службы и
противодействия коррупции ________________Л.А. Баклицкий
«____»_____________2018 год
Исп.Малыгин С.Л.
Приложение № 1
к приказу Министерства здравоохранения
Республики Крым от
«________.2018» № _________
Концепция информационной безопасности
государственной информационной системы
«Единая медицинская информационная система
здравоохранения Республики Крым»
В соответствии со ст. 79 Федерального закона от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», соблюдение врачебной тайны, в том числе персональных данных, используемых в медицинских информационных системах, является обязанностью любой медицинской организации.
Концепция безопасности информации государственной информационной системы «Единая медицинская информационная система здравоохранения Республики Крым» является официальным документом и представляет собой систему взглядов на организацию и функционирование процессов обеспечения безопасности информации, в том числе персональных данных, обрабатываемых в системе.
Настоящая концепция определяет основные цели и задачи, а также стратегию построения системы защиты информации Единой медицинской информационной системы здравоохранения Республики Крым. Концепция определяет основные требования и подходы к их реализации, необходимые для достижения необходимого уровня безопасности информации.
Концепция разработана в соответствии с постановлением Совета Министров Республики Крым от 20 декабря 2016 года № 612 «О единой медицинской информационной системе здравоохранения Республики Крым», «Техническим проектом на создание информационно-технологической инфраструктуры лечебно-профилактических учреждений Министерства здравоохранения Республики Крым».
Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности медицинских организаций, осуществляющих эксплуатацию Единой медицинской информационной системы здравоохранения Республики Крым.
Концепция является методологической основой для:
формирования и проведения единой политики в области обеспечения защиты информации в Единой медицинской информационной системе здравоохранения Республики Крым;
формирования единых требований к автоматизированным рабочим местам пользователей Единой медицинской информационной системе здравоохранения Республики Крым;
координации деятельности медицинских организаций при разработке организационно-распорядительной документации по защите информации, содержащейся в Единой медицинской информационной системе здравоохранения Республики Крым.
Область применения Концепции распространяется на медицинские организации и другие Учреждения, эксплуатирующие Единую медицинскую информационную систему здравоохранения Республики Крым, а также на подразделения или организации, осуществляющие сопровождение, обслуживание и обеспечение функционирования Единой медицинской информационной системы здравоохранения Республики Крым.
Данная Концепция не распространяется на другие информационные системы, используемые в медицинских организациях.
Правовой основой для разработки настоящей Концепции служат требования действующих в Российской Федерации законодательных и нормативных документов по обеспечению безопасности информации и персональных данных.
Перечень сокращений и определений
Единая государственная информационная система в сфере здравоохранения (далее - ЕГИСЗ) – совокупность информационно-технологических и технических средств, обеспечивающих информационную поддержку методического и организационного обеспечения деятельности участников системы здравоохранения.
Единая медицинская информационная система здравоохранения Республики Крым (далее - ЕМИСЗ РК) – государственная информационная система Республики Крым, состоящая из комплекса программных и технических средств, баз данных, обеспечивающих информационно-технологическую поддержку функционирования системы здравоохранения Республики Крым, и предназначенную для выполнения функций регионального фрагмента ЕГИСЗ.
Министерство здравоохранения Республики Крым (далее – МЗ РК) – исполнительный орган государственной власти Республики Крым, проводящий государственную политику и осуществляющий функции по нормативно-правовому регулированию в сфере охраны здоровья граждан на территории Республики Крым, контроль в сфере охраны здоровья, отраслевое или межотраслевое управление в наиболее важных отраслях и установленных сферах деятельности, оказание государственных услуг в сфере охраны здоровья и управление государственным имуществом, а также координирующий в установленных случаях деятельность в этой сфере иных исполнительных органов государственной власти Республики Крым.
Медицинская организация (далее – МО) – организация, осуществляющая деятельность в области здравоохранения или оказания медицинских услуг, поддерживающая развитие медицины как науки, занимающаяся мероприятиями по поддержанию здоровья и оказания медицинской помощи людям посредством изучения, диагностики, лечения и возможной профилактики болезней и травм.
Оператор информационной системы (далее – оператор) – физическое или юридическое лицо, осуществляющее деятельность по эксплуатации информационной систем, в том числе по обработке информации, содержащейся в ее базе данных.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная безопасность – непрерывный во времени процесс обеспечения конфиденциальности (кроме общедоступной информации), целостности и доступности защищаемой информации.
Средства обеспечения информационной безопасности ЕМИСЗ РК – технические и организационные меры, используемые для обеспечения информационной безопасности ЕМИСЗ РК.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Государственные информационные системы (далее – ГИС) – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
Персональные данные (далее – ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователи ЕМИСЗ РК – сотрудники МО, сотрудники органа управления здравоохранением, пациенты МО, иные участники информационного взаимодействия в сфере здравоохранения (на основании заключенных договоров), участвующие в функционировании ЕМИСЗ РК или использующие результаты ее функционирования.
Средства криптографической защиты информации (СКЗИ) – Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации.
Автоматизированное рабочее место (далее – АРМ) – программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида.
Защищенная локально-вычислительная сеть (далее – ЗЛВС) – закрытая сеть для обеспечения защиты информации.
Несанкционированный доступ (далее – НСД) – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
Средство защиты информации от несанкционированного доступа (далее - СЗИ от НСД) – набор программных или программно-аппаратных средств защиты информации, реализующих функции защиты от НСД путем разграничения доступа.
Антивирусное программное обеспечение (далее – АвПО) – программное обеспечение для обнаружения компьютерных вирусов и нежелательных программ, а также для предотвращения заражения файлов или операционной системы вредоносным кодом.
Основные руководящие документы (далее – ОРД) – это документы, в которых четко описана техническая сторона производственной деятельности.
АРМ в защищенном исполнении – АРМ, с установленным СЗИ от НСД, АВПО и лицензионное ПО.
ФСБ России – Федеральная служба безопасности Российской Федерации.
ФСТЭК России – Федеральная служба по техническому и экспортному контролю Российской Федерации.
Общие положения
В соответствии с постановлением Совета министров Республики Крым от 20 декабря 2016 года №612 «О единой медицинской информационной системе здравоохранения Республики Крым» для ПДн, содержащихся в ЕМИСЗ РК выполняются мероприятия по исключению неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
Защита ПДн, обрабатываемых в ЕМИСЗ РК, осуществляется в соответствии с требованиями ст. 19 Федерального закона (далее –Ф З РФ) от 27.07.2006 г. №152 «О персональных данных», нормативными актами Правительства РФ, принятым во исполнение указанного закона, нормативными актами и руководящими документами федеральных органов исполнительной власти, уполномоченных в области безопасности, а также в области противодействия иностранным техническим разведкам и технической защиты информации.
Защита ПДн, обрабатываемых в ЕМИСЗ РК, достигается также за счет выполнения комплекса организационных мероприятий и применением средств защиты информации от утечки по техническим каналам, СЗИ от НСД, АвПО и защищенного канала передачи данных.
Объекты защиты
В соответствии с п.8 Приказа ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», объектами защиты в ЕМИСЗ РК являются:
обрабатываемая информация;
программные, технические и программно-технические средства обработки информации;
средства защиты информации;
средства и системы связи и передачи данных;
общесистемное, прикладное, специальное программное обеспечение.
ЕМИСЗ РК имеет клиент-серверную архитектуру, включает серверную часть, состоящую из сервера баз данных, сервера приложений, веб-сервера, и клиентскую часть – «тонкого клиента» (веб-браузера) и реализуется для работы по модели «облачных вычислений». В состав объектов защиты ЕМИСЗ РК входят автоматизированные рабочие места, серверы, структурированная кабельная система, средства защиты информации.
Основные цели и задачи обеспечения информационной безопасности
3.1. Цели обеспечения информационной безопасности
Основными целями обеспечения информационной безопасности являются:
предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию;
повышение качества оказания населению государственных и муниципальных услуг в электронном виде в сфере здравоохранения;
повышение эффективности использования современных информационных технологий;
соответствие применяемых мер защиты информации действующему законодательству Российской Федерации, нормативным и методическим документам уполномоченных органов.
3.2. Задачи обеспечения информационной безопасности
Задачами деятельности по обеспечению информационной безопасности являются:
формирование и проведение единой политики в области обеспечения защиты информации в ЕМИСЗ РК;
формирование единых требований к АРМ пользователей ЕМИСЗ РК;
координация деятельности МО при разработке организационно-распорядительной документации по защите информации, содержащейся в ЕМИСЗ РК.
поддержание системы информационной безопасности в состоянии, устойчивом к существующим и вновь выявляемым угрозам в информационной сфере;
разработка и внедрение в информационную инфраструктуру МО современных методов и средств обеспечения информационной безопасности;
организация контроля состояния и оценки эффективности системы информационной безопасности и реализация мер по ее совершенствованию.
Правовые основы деятельности по обеспечению безопасности персональных данных
Деятельность по обеспечению информационной безопасности, должна осуществляться в рамках действующего законодательства, руководящих документов уполномоченных государственных органов исполнительной власти, рекомендаций Министерства здравоохранения РФ, ведомственных документов МЗ РК и настоящей Концепции.
В части организации обработки и защиты персональных данных следует руководствоваться следующими документами:
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства РФ №1119).
Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008, утвержденная ФСТЭК РФ.
План мероприятий ("Дорожной карты") по развитию Единой государственной информационной системы в сфере здравоохранения (далее - ЕГИСЗ) в 2015 - 2018 гг., в соответствии с Соглашением между Министерством здравоохранения Российской Федерации и Советом Министров Республики Крым о взаимодействии в сфере развития Единой государственной информационной системы в сфере здравоохранения в 2015 – 2018 гг. от 30 июня 2015 г.
В части осуществления деятельности по обеспечению безопасности ЕМИСЗ РК следует руководствоваться следующими документами:
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России №17 от 11.02.2013 (далее – Приказ ФСТЭК №17);
Меры защиты информации в ГИС, утвержденный ФСТЭК России 11 февраля 2014 года.
В части осуществления деятельности по обеспечению безопасности ПДн с помощью СКЗИ следует руководствоваться следующими документами:
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ №152 от 13 июня 2001 г.
приказ ФСБ России от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
«Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432.
Организационная структура информатизации и информационной безопасности ЕМИСЗ РК
Для организации информатизации здравоохранения в Республике Крым и обеспечения информационной безопасности ЕМИСЗ РК приказом МЗ РК создается Рабочая группа.
Рабочая группа создается для решения следующих задач:
компьютеризация и информатизация медицинской сферы;
формирование и совершенствование элементов системы информационной безопасности ЕМИСЗ РК;
обеспечение соответствия подсистем защиты информации ЕМИСЗ РК требованиям нормативно-правовых актов РФ, приведенным в разделе 4;
реализация единой технической политики в части информационной безопасности при организации работ;
мониторинг внутренних и внешних условий функционирования объектов защиты, анализ эффективности управления защитой информации и подготовка решений по корректировке состава и содержания структурных элементов системы обеспечения информационной безопасности.
Состав Рабочей группы и Положение о Рабочей группе утверждается приказом МЗ РК.
В рамках обеспечения информационной безопасности ЕМИСЗ РК технический оператор обеспечивает:
организацию процесса разработки методических документов в сфере информационной безопасности МО;
информирование МО РК о необходимых мероприятиях по обеспечению информационной безопасности;
контроль выполнения мероприятий по обеспечению информационной безопасности в МО.
Руководители МО:
организуют работу по обеспечению информационной безопасности в учреждениях здравоохранения Республики Крым;
создают подразделение (назначают сотрудника), отвечающее за обеспечение информационной безопасности;
назначают лицо, ответственное за организацию обработки ПДн (им может быть в том числе руководитель МО);
согласуют изменения в программном и аппаратном обеспечении АРМ ЕМИСЗ РК с Рабочей группой.
Работники МО, ответственные за организацию обработки персональных данных:
организуют взаимодействие с субъектами персональных данных в соответствии с требованиями законодательства РФ;
доводят до сведения работников МО положения законодательства Российской Федерации, локальных актов МЗ РК по вопросам обработки персональных данных, требований к защите персональных данных;
осуществляют внутренний контроль соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных и доводят результаты контроля до МЗ РК.
Средства обеспечения информационной безопасности ЕМИСЗ РК
6.1. Общие положения.
Средства обеспечения информационной безопасности ЕМИСЗ РК – технические и организационные меры, используемые для обеспечения информационной безопасности ЕМИСЗ РК.
Защита информации, содержащейся в информационных системах, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы защиты информации информационной системы (далее – подсистема защиты информации).
6.2. Порядок создания системы защиты информации в информационных системах.
В общем случае порядок создания систем защиты информации приведен в ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Создание системы защиты информации должно выполняться в следующем порядке:
формирование требований к защите информации, содержащейся в информационной системе;
разработка подсистемы защиты информации;
внедрение подсистемы защиты информации;
аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в эксплуатацию.
Формирование требований к защите информации, содержащейся в информационной системе, включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы в соответствии с Постановлением Правительства РФ №1119 и Приказом ФСТЭК России №17 (далее – классификация информационной системы);
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к подсистеме защиты информации информационной системы.
Разработка подсистемы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание подсистемы защиты информации информационной системы и включает:
проектирование подсистемы защиты информации информационной системы;
разработку эксплуатационной документации на подсистему защиты информации информационной системы;
макетирование и тестирование подсистемы защиты информации информационной системы (при необходимости).
Внедрение подсистемы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на подсистему защиты информации информационной системы и в том числе включает:
установку и настройку технических и программных средств защиты информации в информационной системе;
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
предварительные испытания подсистемы защиты информации информационной системы;
опытную эксплуатацию подсистемы защиты информации информационной системы;
анализ уязвимостей информационной системы и принятие мер по их устранению;
приемочные испытания подсистемы защиты информации информационной системы.
Аттестация информационной системы организуется оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям безопасности информации.
Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
6.3. Мероприятия по обеспечению информационной безопасности
Мероприятия по обеспечению информационной безопасности ЕМИСЗ РК должны носить упреждающий характер и быть направленными на предотвращение инцидентов, связанных с угрозами безопасности информации.
При выборе мер защиты информации, обрабатываемой с применением средств автоматизации необходимо определить актуальные угрозы для данной ИС, тип обрабатываемых данных, тип самой ИС, ее класс защищенности и иные параметры, определяемые действующим законодательством в качестве основополагающих при выборе правил и мер защиты информации.
В целях нейтрализации угроз безопасности информации применяются организационные и технические меры защиты информации.
Организационные меры обеспечения информационной безопасности предусматривают:
назначение ответственных за организацию обработки ПДн, за обеспечение безопасности информационной системы, за техническое обслуживание информационной системы, за проведение мероприятий по обезличиванию обрабатываемых ПДн, за хранение материальных носителей информации;
ознакомление сотрудников с законодательством и внутренними документами МЗ РК в области информационной безопасности;
обучение сотрудников, непосредственно осуществляющих обработку ПДн, правилам безопасной работы с персональными данными;
повышение квалификации специалистов по защите информации и лиц, ответственных за организацию защиты информации;
назначение ответственности сотрудников и руководителей всех уровней за выполнение установленных требований по защите информации;
проведение контроля соблюдения сотрудниками требований по обеспечению информационной безопасности;
обезличивание ПДн в случаях, когда не требуется определение субъекта персональных данных;
прием и обработку обращений и запросов субъектов ПДн или их представителей;
установление уровней защищенности ПДн в ИСПДн;
установление класса защищенности ГИС;
оценку вреда, который может быть причинен субъектам ПДн в случае нарушения требований Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей по защите ПДн;
уведомление уполномоченного органа по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) о начале обработки ПДн в соответствии со ст.22 Федерального закона № 152-ФЗ;
выявление угроз безопасности и разработку моделей угроз и нарушителя;
управление доступом сотрудников к информационной системе;
назначение минимально необходимых прав и привилегий пользователям;
регистрацию всех действий пользователей;
обучение пользователей и персонала, обслуживающего системы защиты информации, правилам и способам работы с подсистемой информационной безопасности;
учет машинных носителей информации;
применение средств защиты информации, прошедших обязательный контроль соответствия требованиям нормативных документов по защите информации;
мероприятия по обеспечению физической безопасности средств вычислительной техники и материальных носителей информации;
оценку эффективности реализованных мер по обеспечению безопасности ПДн (аттестация ЕМИСЗ РК и ее сегментов по требованиям безопасности информации);
унификацию и стандартизацию средств защиты информации;
проведение анализа эффективности и достаточности принятых мер по защите информации;
разработку и реализацию предложений по совершенствованию систем защиты информации;
выявление незарегистрированных технических устройств и программного обеспечения, в том числе имеющего признаки контрафактности;
противодействие перехвату информации в каналах связи;
организацию безопасного доступа к ресурсам сети Интернет;
резервирование информации и ее восстановление в случае возникновения инцидентов безопасности информации;
обеспечение гарантированной доступности информационных ресурсов информационных систем с помощью:
резервирование оборудования и каналов связи;
балансировку нагрузки на сервера и каналы связи;
обеспечение гарантированного электропитания;
контроль, в том числе с использованием программных и технических средств, за действиями пользователей и реакцию на нарушение установленных мер защиты.
Технические меры обеспечения безопасности ПДн включают использование средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации и шифровальных (криптографических) средств защиты информации.
Механизмы реализации концепции
7.1. Общие положения.
Реализация требований настоящей Концепции состоит из следующих шагов:
создание организационной структуры системы информационной безопасности МЗ РК и МО РК;
разработка внутренних организационно-распорядительных документов;
реализация технических мер защиты информации с последующей процедурой оценки эффективности.
В целях рационального расходования денежных средств и обеспечения непрерывности процесса оказания государственных и муниципальных услуг допускается разбиение работ по построению и модернизации подсистем информационной безопасности на отдельные этапы. При этом процесс построения и модернизации систем информационной безопасности должен вестись непрерывно до достижения своих целей.
7.2. Организационные и технические меры.
7.2.1. Разработка внутренних организационно-распорядительных документов.
В качестве первоочередного мероприятия должна выполняться разработка комплекта организационно-распорядительной документации (далее-ОРД) по защите персональных данных, обрабатываемых в ЕМИСЗ РК.
Документы, обеспечивающие деятельность по защите ПДн, обрабатываемых в ЕМИСЗ РК, разрабатываются самостоятельно (силами МО РК) с помощью специализированного Регионального ПО, доступ к которому будет предоставлен всем МО РК, эксплуатирующим ЕМИСЗ РК.
Региональное ПО должно удовлетворять следующим критериям:
предоставляться организацией, специализирующейся в области защиты информации, имеющей лицензии ФСТЭК и ФСБ России.
отвечать требованиям круглосуточной доступности и высокому уровню технической поддержки.
обеспечивать возможность разработки документов в объеме необходимом и достаточном для реализации требований законодательства РФ в области безопасности ПДн.
должно быть зарегистрировано в реестре отечественного ПО.
Технический оператор должен осуществлять контроль процесса выполнения разработки ОРД по защите ПДн, обрабатываемых в ЕМИСЗ РК. Для координации деятельности МО РК по разработке ОРД, МЗ РК совместно с техническим оператором организует единое мероприятие по обучению сотрудников МО РК по работе с Региональным ПО.
7.2.2. Реализация технических мер защиты информации.
Перечень технических мер защиты информационных систем формируется в соответствие с требованиями приказов ФСТЭК России № 17 и № 21.
Перечень технических мер защиты информационных систем включает в себя следующие группы:
Идентификация и аутентификация субъектов доступа и объектов доступа.
Управление доступом субъектов доступа к объектам доступа.
Ограничение программной среды.
Защита машинных носителей информации.
Регистрация событий безопасности.
Антивирусная защита.
Обнаружение вторжений.
Контроль (анализ) защищенности информации.
Обеспечение целостности информационной системы и информации.
Обеспечение доступности информации.
Защита среды виртуализации.
Защита технических средств.
Защита информационной системы, ее средств, систем связи и передачи данных.
Перечень защитных мер должен быть адаптирован применительно к структурно-функциональным характеристикам выбранной информационной системы и особенностям ее функционирования. Допускается исключение из перечня мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе.
При невозможности реализации в информационной системе, в рамках ее системы защиты информации, отдельных выбранных мер защиты информации, могут разрабатываться компенсирующие меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации. Достаточность и адекватность компенсирующих мер подтверждается в ходе аттестационных испытаний информационной системы.
7.3. Средства защиты информации.
В составе подсистемы информационной безопасности информационных систем допускается использовать только средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также требуемого класса защищенности. В случае, если с помощью сертифицированных средств защиты невозможно реализовать отдельные защитные меры, должны разрабатываться компенсирующие меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
7.4. Использование существующих средств защиты информации.
Для защиты информации, обрабатываемой в ЕМИСЗ РК, МЗ РК совместно с организацией-лицензиатом ФСТЭК и ФБС России, был выполнен комплекс технических мер, направленных на реализацию требований законодательства в области защиты информации.
Для обеспечения защиты канала связи между операторами ЕМИСЗ РК развернута и функционирует защищенная сеть передачи данных, построенная с использованием технологии ViPNet (сеть ViPNet № 4960).
В каждую МО, для работы в ЕМИСЗ РК была осуществлена поставка АРМ в защищенном исполнении. Поставляемые АРМ оснащены сертифицированным средством защиты информации от несанкционированного доступа, а также сертифицированным антивирусным программным средством.
7.5. Требования к АРМ ЕМИСЗ РК.
Для обеспечения необходимого уровня безопасности ЕМИСЗ РК на АРМ, непосредственно участвующих в эксплуатации данной системы, должно находится только программное обеспечение (далее – ПО), необходимое для работы в ЕМИСЗ РК. Категорически запрещается устанавливать на АРМ ПО, использующее технологию «толстого клиента» с выходом в сеть Интернет к различным источникам БД, отличных от ЕМИСЗ РК, за исключением федеральных и иных ресурсов, необходимых для оказания медицинской помощи населению.
На АРМ может находится другое ПО, необходимое для выполнения производственных задач ЕМИСЗ РК, при этом данное ПО должно быть официально приобретено МЗ РК или МО самостоятельно, или быть условно-бесплатным. К такому ПО могут быть отнесены: офисные пакеты, архиваторы, файловые менеджеры, ПО для обработки изображений и другое локальное ПО. Для установки вышеописанного ПО на АРМ, МО направляет официальное письмо в адрес Технического оператора ЕМИСЗ РК с описанием, версией, количеством и обоснованием производственной необходимости планируемого к установке ПО на АРМ. После рассмотрения заявки, Технический оператор принимает решение о возможности установки данного ПО, информирует Рабочую группу и направляет в адрес МО положительное или отрицательное заключение.
Категорически запрещается удалять средства защиты информации, функционирующие на данных АРМ.
Категорически запрещается без согласования с техническим оператором устанавливать средства защиты информации, отличные от средств защиты информации, поставляемые совместно с АРМ для работы с ЕМИСЗ РК (Приложение 1).
В целях обеспечения подтверждения источника/получателя информации, а также исключения возможности отрицания факта получения/отправки конфиденциальной информации, авторизация, подпись медицинских документов и служебная переписка в ЕМИСЗ РК осуществляется только с применением электронной подписи.
7.6. Подключение к ЕМИСЗ РК.
Для организации подключения организации-претендента (далее - претендент) к ЕМИСЗ РК, МЗ РК утверждены Регламент подключения (далее - Регламент) и типовое Техническое задание, в которых отражены основные требования к составу технических и программных средств, средствам защиты информации, а также к мерам защиты информации. Для осуществления подключения к защищенному сегменту ЕМИСЗ РК, претендент должен выполнить все требования вышеуказанных документов. Выполнение требований проводится претендентом самостоятельно или централизовано силами МЗ РК.
Регламент и Техническое задание подлежат актуализации один раз в год. Актуализация Регламента и Технического задания проводится силами технического оператора. Итоговые актуализированные документы подлежат согласованию с Рабочей группой.
7.7. Обслуживание ЕМИСЗ РК.
Обслуживание ЕМИСЗ РК осуществляется техническим оператором самостоятельно или с привлечением на договорной основе сторонних организаций, имеющих соответствующие компетенции и лицензии. В целях обеспечения штатного и бесперебойного функционирования ЕМИСЗ РК, устранения технических и иных проблем на базе технического оператора организован Единый контакт центр по приему обращений от пользователей ЕМИСЗ РК.
Порядок и сроки решения обращений от пользователей ЕМИСЗ РК отражены в «Регламенте приема обращений Единого контакт центра».
7.8. Аттестация ЕМИСЗ РК по требованиям защиты информации
Аттестация ЕМИСЗ РК по требованиям защиты информации организуется МЗ РК и включает проведение комплекса организационных и технических мероприятий, в результате которых устанавливается степень соответствия ЕМИСЗ РК безопасности информации.
Аттестация ЕМИСЗ РК проводится МЗ РК с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
По результатам аттестационных мероприятий оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям защиты информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
При выполнении МО РК требований настоящей Концепции, регламента подключения и технического задания допускается аттестация рабочих мест МО ЕМИСЗ РК, реализующих полную технологию обработки информации на основе результатов аттестационных испытаний типового рабочего места ЕМИСЗ РК.
В качестве исходных данных, необходимых для оценки эффективности реализованных мер по обеспечению информационной безопасности, должны использоваться:
модель угроз информационной безопасности;
акт установления уровня защищенности или акт классификации ИС;
техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание подсистемы информационной безопасности;
проектная и эксплуатационная документация на подсистему информационной безопасности ЕМИСЗ РК;
организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационных систем, материалы предварительных и приемочных испытаний системы информационной безопасности информационной системы, а также иные документы, разрабатываемые в соответствии с требованиями уполномоченных органов.
Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
При необходимости привлечения сторонних организаций к проведению работ по проектированию системы информационной безопасности, внедрению средств защиты информации и аттестации информационных систем, должны привлекаться организации имеющие лицензии ФСТЭК России и ФСБ России на оказание услуг в области защиты конфиденциальной информации.
Приложение №1
К Концепции информационной безопасности государственной информационной системы «Единая медицинская информационная система здравоохранения Республики Крым»
Описание технических и программных средств обеспечения информационной безопасности ЕМИСЗ РК
Общая структура ЕМИСЗ РК
Общая структура ЕМИСЗ РК представлена:
уровень ядра ЕМИСЗ РК;
уровень МО РК.
1.1. Уровень ядра ЕМИСЗ РК
Уровень ядра ЕМИСЗ РК располагается у технического оператора и представлен центром обработки данных (далее - ЦОД), в котором располагаются сервера ЕМИСЗ РК, а также необходимое сетевое телекоммуникационное оборудование и каналы связи с МО РК и федеральным сегментом единой государственной информационной системы в сфере здравоохранения. Меры по защите ЦОД и рекомендованный состав средств защиты информации для обеспечения информационной безопасности представлен в разделе 3 настоящего Приложения.
1.2. Уровень МО РК
Уровень МО РК представляет из себя защищенный сегмент локально-вычислительной сети (далее-ЛВС) МО РК, предназначенный для работы с ЕМИСЗ РК, и АРМ в защищенном исполнении.
Защищенный сегмент ЛВС МО РК, предназначенный для работы с ЕМИСЗ, функционирует на основе персональных компьютеров, располагающихся в выделенном сегменте ЛВС МО РК и подключающихся к ЦОД технического оператора посредством организации защищенного взаимодействия по каналам связи. Меры по защите сегмента ЛВС МО РК, предназначенного для работы с ЕМИСЗ РК, и состав средств защиты информации для обеспечения информационной безопасности представлен в разделе 3 настоящего Приложения.
Организация защищенного межсетевого взаимодействия
Для организации защищенного межсетевого взаимодействия по каналам связи общего доступа между всеми участниками ЕМИСЗ РК должна применяться защищенная частная виртуальная сеть ViPNet № 4960.
На уровне технического оператора располагается ядро защищенной сети – ПО ViPNet Administrator, которое обеспечивает централизованное управление элементами сети ViPNet и централизованную рассылку ключей шифрования.
ПАК ViPNet Coordinator HW 2000, установленный у технического оператора в режиме горячего резервирования, обеспечивает безотказное защищенное взаимодействие с учреждениями здравоохранения, а также используется для защиты и разграничения доступа к серверам ЦОД.
На уровне МО РК должна производится установка ПАК ViPNet Coordinator HW1000, обеспечивающих защиту ЛВС МО РК от различных видов сетевых атак, а также реализующих защищенное взаимодействие с другими МО РК и ЦОД технического оператора. При территориальной удаленности зданий МО РК (т.е. в случае¸ если каждое здание имеет собственную локальную сеть и точку выхода в сети международного обмена), для организации безопасного межсетевого взаимодействия должна быть произведена установка ПАК в каждом территориально удаленном здании. Для отдельных, локально удаленных АРМ производится установка ViPNet Клиент для защищенного взаимодействия с сетью 4960.
Для организации работы персонала с ЕМИСЗ РК в ЛВС МО РК организуется выделенный сегмент. Межсетевое экранирование и защита каналов связи данного сегмента осуществляется ПАК ViPNet Coordinator. В случае необходимости использования дополнительных АРМ (персональных компьютеров) в качестве тонких клиентов, необходимо подключить данные АРМ к выделенному сегменту ЛВС и выполнить мероприятия по их защите. Меры по защите АРМ, используемых в качестве тонких клиентов для работы с ЕМИСЗ РК, и состав средств защиты информации для обеспечения информационной безопасности представлен в разделах 3.3-3.7.
В случае наличия в МО РК распределенных иных ИСПДн (ввиду территориальной удаленности зданий Учреждения здравоохранения) передача персональных данных должна осуществляться только посредством защищенной частной виртуальной сети ViPNet № 4960.
Система защиты информации
3.1. Состав системы защиты ЦОД
Для реализации мер защиты ЦОД используются следующие средства защиты информации:
средства межсетевого экранирования;
средства криптографической защиты информации;
средства защиты от несанкционированного доступа (далее - НСД);
средства антивирусной защиты;
средства анализа защищенности;
средства обнаружения вторжений.
3.2. Состав системы защиты сегмента МО РК, предназначенного для работы с ЕМИСЗ РК
Для реализации мер защиты защищенного сегмента МО РК, предназначенного для работы с ЕМИСЗ РК, должны использоваться следующие средства защиты информации:
средства межсетевого экранирования;
средства криптографической защиты информации;
средства защиты от НСД;
средства антивирусной защиты;
средства анализа защищенности.
3.3. Средства межсетевого экранирования и криптографической защиты информации
В соответствии с приказом ФСТЭК России № 17 должны быть реализованы меры по разбиению информационной системы на сегменты и защита периметров сегментов (ЗИС.17), управлению информационными потоками между сегментами информационной системы и между информационными системами (УПД.3), защищенному удаленному доступу через информационно-телекоммуникационные сети (УПД.13).
Данные требования реализуются продуктовой линейкой ViPNet производства компании ИнфоТеКС, реализующей в себе функции межсетевого экранирования и криптографической защиты информации. В состав линейки, в том числе, входят следующие продукты:
ViPNet Administrator;
ViPNet Coordinator;
ViPNet Client.
ПО ViPNet Administrator установлено в ГБУ РК «КМ ИАЦ». На границах подключения сегментов ГИС к сетям связи общего пользования в МО РК, ГБУ РК «КМ ИАЦ» используются криптошлюзы ViPNet Coordinator HW 1000 и HW 2000.
Данные продукты обладают сертификатами ФСТЭК И ФСБ России и позволяют использовать данные продукты для защиты ГИС до первого класса включительно.
3.4. Средства защиты от НСД.
В соответствии с приказом ФСТЭК России № 17, должны быть реализованы меры по идентификации и аутентификации пользователей (ИАФ), управлению доступом (УПД), защиты машинных носителей (ЗНИ), регистрации событий безопасности на серверах и АРМ пользователей ЕМИСЗ РК (РСБ), обеспечение целостности компонентов информационной системы (ОЦЛ).
Необходимо подобрать оптимальное решение, реализующее данные требования на серверах и АРМ пользователей ГИС. Оптимальным решением должно выступать средство защиты информации от несанкционированного доступа, обладающее сертификатом ФСТЭК России на соответствие 4-му уровню контроля отсутствия НДВ, 5-му классу защищенности от НСД. В качестве такого средства, сервера ЕМИСЗ РК, а также АРМ пользователей оснащены СЗИ от НСД Dallas Lock 8.0-K.
3.5. Средства антивирусной защитыю.
В соответствии с приказом ФСТЭК России № 17, должны быть реализованы меры по антивирусной защите (АВЗ).
Антивирусное программное обеспечение должно иметь сертификат ФСТЭК России на соответствие требованиям документов «Требования к средствам антивирусной защиты» (ФСТЭК России, 2012), «Профиль защиты средств антивирусной защиты типа А четвертого класса защиты. ИТ.САВЗ.А4.ПЗ» (ФСТЭК России, 2012), «Профиль защиты средств антивирусной защиты типа Б четвертого класса защиты. ИТ.САВЗ.Б4.ПЗ» (ФСТЭК России, 2012) и «Профиль защиты средств антивирусной защиты типа В четвертого класса защиты. ИТ.САВЗ.В4.ПЗ» (ФСТЭК России, 2012), «Профиль защиты средств антивирусной защиты типа Г четвертого класса защиты. ИТ.САВЗ.Г4.ПЗ».
Для антивирусной защиты серверов и АРМ пользователей ЕМИСЗ РК используется cсертифицированное ФСТЭК России АВПО Kaspersky Anti-Virus.
3.6. Средства анализа защищенности.
В соответствии с приказом ФСТЭК России № 17, для установленного класса ЕМИСЗ РК должны быть реализованы меры по выявлению и анализу уязвимостей информационной системы, контроль правильности настройки программного обеспечения и средств защиты информации (АНЗ).
Требования по анализу защищенности должны реализовываться сертифицированным ФСТЭК России средством защиты информации c функциями по сканированию защищенности компонентов ГИС и обнаружению уязвимостей, содержащихся в компонентах информационной системы.
Средство защиты информации с функциями сканирования защищенности компонентов ГИС и обнаружения уязвимостей должно иметь сертификат ФСТЭК России на соответствие 4-му уровню контроля отсутствия НДВ.
3.7. Средства обнаружения вторжений.
В соответствии с приказом ФСТЭК России № 17, для установленного класса ЕМИСЗ РК должны быть реализованы меры по обнаружению вторжений в сетевом трафике (СОВ.1), автоматическое обновление базы сигнатур атак (СОВ.2).
Требования по обнаружению вторжений должны быть реализованы с использованием сертифицированного ФСТЭК и ФСБ России средства защиты информации с функцией обнаружения вторжений. Средство обнаружения вторжений устанавливается на границе подключения ЕМИСЗ РК к сети связи общего пользования.
Средство защиты информации с функцией обнаружения вторжений должно иметь сертификат ФСТЭК России на соответствие 4 классу защиты для СОВ и сертификат ФСБ России на соответствие классу В для систем обнаружения компьютерных атак.
В качестве средства обнаружения вторжений в ЦОД ЕМИСЗ РК установлен ПАК ViPNet IDS 2(версия 2.4), который полностью выполняет требования приказа ФСТЭК России № 17 и обладает необходимыми сертификатами ФСТЭК России и ФСБ России.
4. Изменение состава средств защиты информации ЕМИСЗ РК
Состав средств защиты информации, используемых в целях защиты информации, подлежит изменению только при:
изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
изменении актуальных угроз безопасности персональных данных;
значительных изменений технологического процесса обработки персональных данных;
изменении технологии построения защищенной сети;
окончании срока действия сертификатов соответствия ФСТЭК России и ФСБ России на используемые средства защиты.
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ
ПРИКАЗ
От 19.02.2018
№267
г. Симферополь
О утверждении концепции
информационной безопасности.
Согласно Положению о Министерстве здравоохранения Республики Крым (далее – Министерство), утвержденному постановлением Совета министров Республики Крым от 27.06.2014 № 149, с целью подготовки к закупке услуги уполномоченной фармацевтической организации,
ПРИКАЗЫВАЮ:
Утвердить концепцию информационной безопасности государственной информационной системы «Единая медицинская информационная система
здравоохранения Республики Крым», согласно приложению № 1 к настоящему приказу.
2. Контроль за исполнением настоящего приказа возложить на заместителя министра здравоохранения Н.Н. Деркача.
МИНИСТР А. ГОЛЕНКО
Согласовано:
Заместитель министра _______________ Н.Н. Деркач «____»____________2018 год
Заместитель начальника управления
правового обеспечения
и лицензирования
_______________ С.В. Рыжков
«____»_____________2018 год
Начальник управления
лекарственного обеспечения,
информатизации, охраны труда и
гражданской защиты населения ________________Г.В. Кравец
«____»_____________2018 год
Заведующий отделом
информатизации, охраны труда и
гражданской защиты населения ________________О.В. Маляренко
«____»_____________2018 год
Заведующий сектором по профилактике
коррупционных и иных правонарушений
управления кадровой политики,
государственной гражданской службы и
противодействия коррупции ________________Л.А. Баклицкий
«____»_____________2018 год
Исп.Малыгин С.Л.
Приложение № 1
к приказу Министерства здравоохранения
Республики Крым от
«________.2018» № _________
Концепция информационной безопасности
государственной информационной системы
«Единая медицинская информационная система
здравоохранения Республики Крым»
В соответствии со ст. 79 Федерального закона от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», соблюдение врачебной тайны, в том числе персональных данных, используемых в медицинских информационных системах, является обязанностью любой медицинской организации.
Концепция безопасности информации государственной информационной системы «Единая медицинская информационная система здравоохранения Республики Крым» является официальным документом и представляет собой систему взглядов на организацию и функционирование процессов обеспечения безопасности информации, в том числе персональных данных, обрабатываемых в системе.
Настоящая концепция определяет основные цели и задачи, а также стратегию построения системы защиты информации Единой медицинской информационной системы здравоохранения Республики Крым. Концепция определяет основные требования и подходы к их реализации, необходимые для достижения необходимого уровня безопасности информации.
Концепция разработана в соответствии с постановлением Совета Министров Республики Крым от 20 декабря 2016 года № 612 «О единой медицинской информационной системе здравоохранения Республики Крым», «Техническим проектом на создание информационно-технологической инфраструктуры лечебно-профилактических учреждений Министерства здравоохранения Республики Крым».
Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности медицинских организаций, осуществляющих эксплуатацию Единой медицинской информационной системы здравоохранения Республики Крым.
Концепция является методологической основой для:
формирования и проведения единой политики в области обеспечения защиты информации в Единой медицинской информационной системе здравоохранения Республики Крым;
формирования единых требований к автоматизированным рабочим местам пользователей Единой медицинской информационной системе здравоохранения Республики Крым;
координации деятельности медицинских организаций при разработке организационно-распорядительной документации по защите информации, содержащейся в Единой медицинской информационной системе здравоохранения Республики Крым.
Область применения Концепции распространяется на медицинские организации и другие Учреждения, эксплуатирующие Единую медицинскую информационную систему здравоохранения Республики Крым, а также на подразделения или организации, осуществляющие сопровождение, обслуживание и обеспечение функционирования Единой медицинской информационной системы здравоохранения Республики Крым.
Данная Концепция не распространяется на другие информационные системы, используемые в медицинских организациях.
Правовой основой для разработки настоящей Концепции служат требования действующих в Российской Федерации законодательных и нормативных документов по обеспечению безопасности информации и персональных данных.
Перечень сокращений и определений
Единая государственная информационная система в сфере здравоохранения (далее - ЕГИСЗ) – совокупность информационно-технологических и технических средств, обеспечивающих информационную поддержку методического и организационного обеспечения деятельности участников системы здравоохранения.
Единая медицинская информационная система здравоохранения Республики Крым (далее - ЕМИСЗ РК) – государственная информационная система Республики Крым, состоящая из комплекса программных и технических средств, баз данных, обеспечивающих информационно-технологическую поддержку функционирования системы здравоохранения Республики Крым, и предназначенную для выполнения функций регионального фрагмента ЕГИСЗ.
Министерство здравоохранения Республики Крым (далее – МЗ РК) – исполнительный орган государственной власти Республики Крым, проводящий государственную политику и осуществляющий функции по нормативно-правовому регулированию в сфере охраны здоровья граждан на территории Республики Крым, контроль в сфере охраны здоровья, отраслевое или межотраслевое управление в наиболее важных отраслях и установленных сферах деятельности, оказание государственных услуг в сфере охраны здоровья и управление государственным имуществом, а также координирующий в установленных случаях деятельность в этой сфере иных исполнительных органов государственной власти Республики Крым.
Медицинская организация (далее – МО) – организация, осуществляющая деятельность в области здравоохранения или оказания медицинских услуг, поддерживающая развитие медицины как науки, занимающаяся мероприятиями по поддержанию здоровья и оказания медицинской помощи людям посредством изучения, диагностики, лечения и возможной профилактики болезней и травм.
Оператор информационной системы (далее – оператор) – физическое или юридическое лицо, осуществляющее деятельность по эксплуатации информационной систем, в том числе по обработке информации, содержащейся в ее базе данных.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная безопасность – непрерывный во времени процесс обеспечения конфиденциальности (кроме общедоступной информации), целостности и доступности защищаемой информации.
Средства обеспечения информационной безопасности ЕМИСЗ РК – технические и организационные меры, используемые для обеспечения информационной безопасности ЕМИСЗ РК.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Государственные информационные системы (далее – ГИС) – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
Персональные данные (далее – ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Пользователи ЕМИСЗ РК – сотрудники МО, сотрудники органа управления здравоохранением, пациенты МО, иные участники информационного взаимодействия в сфере здравоохранения (на основании заключенных договоров), участвующие в функционировании ЕМИСЗ РК или использующие результаты ее функционирования.
Средства криптографической защиты информации (СКЗИ) – Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации.
Автоматизированное рабочее место (далее – АРМ) – программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида.
Защищенная локально-вычислительная сеть (далее – ЗЛВС) – закрытая сеть для обеспечения защиты информации.
Несанкционированный доступ (далее – НСД) – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
Средство защиты информации от несанкционированного доступа (далее - СЗИ от НСД) – набор программных или программно-аппаратных средств защиты информации, реализующих функции защиты от НСД путем разграничения доступа.
Антивирусное программное обеспечение (далее – АвПО) – программное обеспечение для обнаружения компьютерных вирусов и нежелательных программ, а также для предотвращения заражения файлов или операционной системы вредоносным кодом.
Основные руководящие документы (далее – ОРД) – это документы, в которых четко описана техническая сторона производственной деятельности.
АРМ в защищенном исполнении – АРМ, с установленным СЗИ от НСД, АВПО и лицензионное ПО.
ФСБ России – Федеральная служба безопасности Российской Федерации.
ФСТЭК России – Федеральная служба по техническому и экспортному контролю Российской Федерации.
Общие положения
В соответствии с постановлением Совета министров Республики Крым от 20 декабря 2016 года №612 «О единой медицинской информационной системе здравоохранения Республики Крым» для ПДн, содержащихся в ЕМИСЗ РК выполняются мероприятия по исключению неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
Защита ПДн, обрабатываемых в ЕМИСЗ РК, осуществляется в соответствии с требованиями ст. 19 Федерального закона (далее –Ф З РФ) от 27.07.2006 г. №152 «О персональных данных», нормативными актами Правительства РФ, принятым во исполнение указанного закона, нормативными актами и руководящими документами федеральных органов исполнительной власти, уполномоченных в области безопасности, а также в области противодействия иностранным техническим разведкам и технической защиты информации.
Защита ПДн, обрабатываемых в ЕМИСЗ РК, достигается также за счет выполнения комплекса организационных мероприятий и применением средств защиты информации от утечки по техническим каналам, СЗИ от НСД, АвПО и защищенного канала передачи данных.
Объекты защиты
В соответствии с п.8 Приказа ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», объектами защиты в ЕМИСЗ РК являются:
обрабатываемая информация;
программные, технические и программно-технические средства обработки информации;
средства защиты информации;
средства и системы связи и передачи данных;
общесистемное, прикладное, специальное программное обеспечение.
ЕМИСЗ РК имеет клиент-серверную архитектуру, включает серверную часть, состоящую из сервера баз данных, сервера приложений, веб-сервера, и клиентскую часть – «тонкого клиента» (веб-браузера) и реализуется для работы по модели «облачных вычислений». В состав объектов защиты ЕМИСЗ РК входят автоматизированные рабочие места, серверы, структурированная кабельная система, средства защиты информации.
Основные цели и задачи обеспечения информационной безопасности
3.1. Цели обеспечения информационной безопасности
Основными целями обеспечения информационной безопасности являются:
предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию;
повышение качества оказания населению государственных и муниципальных услуг в электронном виде в сфере здравоохранения;
повышение эффективности использования современных информационных технологий;
соответствие применяемых мер защиты информации действующему законодательству Российской Федерации, нормативным и методическим документам уполномоченных органов.
3.2. Задачи обеспечения информационной безопасности
Задачами деятельности по обеспечению информационной безопасности являются:
формирование и проведение единой политики в области обеспечения защиты информации в ЕМИСЗ РК;
формирование единых требований к АРМ пользователей ЕМИСЗ РК;
координация деятельности МО при разработке организационно-распорядительной документации по защите информации, содержащейся в ЕМИСЗ РК.
поддержание системы информационной безопасности в состоянии, устойчивом к существующим и вновь выявляемым угрозам в информационной сфере;
разработка и внедрение в информационную инфраструктуру МО современных методов и средств обеспечения информационной безопасности;
организация контроля состояния и оценки эффективности системы информационной безопасности и реализация мер по ее совершенствованию.
Правовые основы деятельности по обеспечению безопасности персональных данных
Деятельность по обеспечению информационной безопасности, должна осуществляться в рамках действующего законодательства, руководящих документов уполномоченных государственных органов исполнительной власти, рекомендаций Министерства здравоохранения РФ, ведомственных документов МЗ РК и настоящей Концепции.
В части организации обработки и защиты персональных данных следует руководствоваться следующими документами:
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства РФ №1119).
Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008, утвержденная ФСТЭК РФ.
План мероприятий ("Дорожной карты") по развитию Единой государственной информационной системы в сфере здравоохранения (далее - ЕГИСЗ) в 2015 - 2018 гг., в соответствии с Соглашением между Министерством здравоохранения Российской Федерации и Советом Министров Республики Крым о взаимодействии в сфере развития Единой государственной информационной системы в сфере здравоохранения в 2015 – 2018 гг. от 30 июня 2015 г.
В части осуществления деятельности по обеспечению безопасности ЕМИСЗ РК следует руководствоваться следующими документами:
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России №17 от 11.02.2013 (далее – Приказ ФСТЭК №17);
Меры защиты информации в ГИС, утвержденный ФСТЭК России 11 февраля 2014 года.
В части осуществления деятельности по обеспечению безопасности ПДн с помощью СКЗИ следует руководствоваться следующими документами:
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ №152 от 13 июня 2001 г.
приказ ФСБ России от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
«Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432.
Организационная структура информатизации и информационной безопасности ЕМИСЗ РК
Для организации информатизации здравоохранения в Республике Крым и обеспечения информационной безопасности ЕМИСЗ РК приказом МЗ РК создается Рабочая группа.
Рабочая группа создается для решения следующих задач:
компьютеризация и информатизация медицинской сферы;
формирование и совершенствование элементов системы информационной безопасности ЕМИСЗ РК;
обеспечение соответствия подсистем защиты информации ЕМИСЗ РК требованиям нормативно-правовых актов РФ, приведенным в разделе 4;
реализация единой технической политики в части информационной безопасности при организации работ;
мониторинг внутренних и внешних условий функционирования объектов защиты, анализ эффективности управления защитой информации и подготовка решений по корректировке состава и содержания структурных элементов системы обеспечения информационной безопасности.
Состав Рабочей группы и Положение о Рабочей группе утверждается приказом МЗ РК.
В рамках обеспечения информационной безопасности ЕМИСЗ РК технический оператор обеспечивает:
организацию процесса разработки методических документов в сфере информационной безопасности МО;
информирование МО РК о необходимых мероприятиях по обеспечению информационной безопасности;
контроль выполнения мероприятий по обеспечению информационной безопасности в МО.
Руководители МО:
организуют работу по обеспечению информационной безопасности в учреждениях здравоохранения Республики Крым;
создают подразделение (назначают сотрудника), отвечающее за обеспечение информационной безопасности;
назначают лицо, ответственное за организацию обработки ПДн (им может быть в том числе руководитель МО);
согласуют изменения в программном и аппаратном обеспечении АРМ ЕМИСЗ РК с Рабочей группой.
Работники МО, ответственные за организацию обработки персональных данных:
организуют взаимодействие с субъектами персональных данных в соответствии с требованиями законодательства РФ;
доводят до сведения работников МО положения законодательства Российской Федерации, локальных актов МЗ РК по вопросам обработки персональных данных, требований к защите персональных данных;
осуществляют внутренний контроль соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных и доводят результаты контроля до МЗ РК.
Средства обеспечения информационной безопасности ЕМИСЗ РК
6.1. Общие положения.
Средства обеспечения информационной безопасности ЕМИСЗ РК – технические и организационные меры, используемые для обеспечения информационной безопасности ЕМИСЗ РК.
Защита информации, содержащейся в информационных системах, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы защиты информации информационной системы (далее – подсистема защиты информации).
6.2. Порядок создания системы защиты информации в информационных системах.
В общем случае порядок создания систем защиты информации приведен в ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Создание системы защиты информации должно выполняться в следующем порядке:
формирование требований к защите информации, содержащейся в информационной системе;
разработка подсистемы защиты информации;
внедрение подсистемы защиты информации;
аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в эксплуатацию.
Формирование требований к защите информации, содержащейся в информационной системе, включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы в соответствии с Постановлением Правительства РФ №1119 и Приказом ФСТЭК России №17 (далее – классификация информационной системы);
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к подсистеме защиты информации информационной системы.
Разработка подсистемы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание подсистемы защиты информации информационной системы и включает:
проектирование подсистемы защиты информации информационной системы;
разработку эксплуатационной документации на подсистему защиты информации информационной системы;
макетирование и тестирование подсистемы защиты информации информационной системы (при необходимости).
Внедрение подсистемы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на подсистему защиты информации информационной системы и в том числе включает:
установку и настройку технических и программных средств защиты информации в информационной системе;
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
предварительные испытания подсистемы защиты информации информационной системы;
опытную эксплуатацию подсистемы защиты информации информационной системы;
анализ уязвимостей информационной системы и принятие мер по их устранению;
приемочные испытания подсистемы защиты информации информационной системы.
Аттестация информационной системы организуется оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям безопасности информации.
Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
6.3. Мероприятия по обеспечению информационной безопасности
Мероприятия по обеспечению информационной безопасности ЕМИСЗ РК должны носить упреждающий характер и быть направленными на предотвращение инцидентов, связанных с угрозами безопасности информации.
При выборе мер защиты информации, обрабатываемой с применением средств автоматизации необходимо определить актуальные угрозы для данной ИС, тип обрабатываемых данных, тип самой ИС, ее класс защищенности и иные параметры, определяемые действующим законодательством в качестве основополагающих при выборе правил и мер защиты информации.
В целях нейтрализации угроз безопасности информации применяются организационные и технические меры защиты информации.
Организационные меры обеспечения информационной безопасности предусматривают:
назначение ответственных за организацию обработки ПДн, за обеспечение безопасности информационной системы, за техническое обслуживание информационной системы, за проведение мероприятий по обезличиванию обрабатываемых ПДн, за хранение материальных носителей информации;
ознакомление сотрудников с законодательством и внутренними документами МЗ РК в области информационной безопасности;
обучение сотрудников, непосредственно осуществляющих обработку ПДн, правилам безопасной работы с персональными данными;
повышение квалификации специалистов по защите информации и лиц, ответственных за организацию защиты информации;
назначение ответственности сотрудников и руководителей всех уровней за выполнение установленных требований по защите информации;
проведение контроля соблюдения сотрудниками требований по обеспечению информационной безопасности;
обезличивание ПДн в случаях, когда не требуется определение субъекта персональных данных;
прием и обработку обращений и запросов субъектов ПДн или их представителей;
установление уровней защищенности ПДн в ИСПДн;
установление класса защищенности ГИС;
оценку вреда, который может быть причинен субъектам ПДн в случае нарушения требований Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей по защите ПДн;
уведомление уполномоченного органа по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) о начале обработки ПДн в соответствии со ст.22 Федерального закона № 152-ФЗ;
выявление угроз безопасности и разработку моделей угроз и нарушителя;
управление доступом сотрудников к информационной системе;
назначение минимально необходимых прав и привилегий пользователям;
регистрацию всех действий пользователей;
обучение пользователей и персонала, обслуживающего системы защиты информации, правилам и способам работы с подсистемой информационной безопасности;
учет машинных носителей информации;
применение средств защиты информации, прошедших обязательный контроль соответствия требованиям нормативных документов по защите информации;
мероприятия по обеспечению физической безопасности средств вычислительной техники и материальных носителей информации;
оценку эффективности реализованных мер по обеспечению безопасности ПДн (аттестация ЕМИСЗ РК и ее сегментов по требованиям безопасности информации);
унификацию и стандартизацию средств защиты информации;
проведение анализа эффективности и достаточности принятых мер по защите информации;
разработку и реализацию предложений по совершенствованию систем защиты информации;
выявление незарегистрированных технических устройств и программного обеспечения, в том числе имеющего признаки контрафактности;
противодействие перехвату информации в каналах связи;
организацию безопасного доступа к ресурсам сети Интернет;
резервирование информации и ее восстановление в случае возникновения инцидентов безопасности информации;
обеспечение гарантированной доступности информационных ресурсов информационных систем с помощью:
резервирование оборудования и каналов связи;
балансировку нагрузки на сервера и каналы связи;
обеспечение гарантированного электропитания;
контроль, в том числе с использованием программных и технических средств, за действиями пользователей и реакцию на нарушение установленных мер защиты.
Технические меры обеспечения безопасности ПДн включают использование средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации и шифровальных (криптографических) средств защиты информации.
Механизмы реализации концепции
7.1. Общие положения.
Реализация требований настоящей Концепции состоит из следующих шагов:
создание организационной структуры системы информационной безопасности МЗ РК и МО РК;
разработка внутренних организационно-распорядительных документов;
реализация технических мер защиты информации с последующей процедурой оценки эффективности.
В целях рационального расходования денежных средств и обеспечения непрерывности процесса оказания государственных и муниципальных услуг допускается разбиение работ по построению и модернизации подсистем информационной безопасности на отдельные этапы. При этом процесс построения и модернизации систем информационной безопасности должен вестись непрерывно до достижения своих целей.
7.2. Организационные и технические меры.
7.2.1. Разработка внутренних организационно-распорядительных документов.
В качестве первоочередного мероприятия должна выполняться разработка комплекта организационно-распорядительной документации (далее-ОРД) по защите персональных данных, обрабатываемых в ЕМИСЗ РК.
Документы, обеспечивающие деятельность по защите ПДн, обрабатываемых в ЕМИСЗ РК, разрабатываются самостоятельно (силами МО РК) с помощью специализированного Регионального ПО, доступ к которому будет предоставлен всем МО РК, эксплуатирующим ЕМИСЗ РК.
Региональное ПО должно удовлетворять следующим критериям:
предоставляться организацией, специализирующейся в области защиты информации, имеющей лицензии ФСТЭК и ФСБ России.
отвечать требованиям круглосуточной доступности и высокому уровню технической поддержки.
обеспечивать возможность разработки документов в объеме необходимом и достаточном для реализации требований законодательства РФ в области безопасности ПДн.
должно быть зарегистрировано в реестре отечественного ПО.
Технический оператор должен осуществлять контроль процесса выполнения разработки ОРД по защите ПДн, обрабатываемых в ЕМИСЗ РК. Для координации деятельности МО РК по разработке ОРД, МЗ РК совместно с техническим оператором организует единое мероприятие по обучению сотрудников МО РК по работе с Региональным ПО.
7.2.2. Реализация технических мер защиты информации.
Перечень технических мер защиты информационных систем формируется в соответствие с требованиями приказов ФСТЭК России № 17 и № 21.
Перечень технических мер защиты информационных систем включает в себя следующие группы:
Идентификация и аутентификация субъектов доступа и объектов доступа.
Управление доступом субъектов доступа к объектам доступа.
Ограничение программной среды.
Защита машинных носителей информации.
Регистрация событий безопасности.
Антивирусная защита.
Обнаружение вторжений.
Контроль (анализ) защищенности информации.
Обеспечение целостности информационной системы и информации.
Обеспечение доступности информации.
Защита среды виртуализации.
Защита технических средств.
Защита информационной системы, ее средств, систем связи и передачи данных.
Перечень защитных мер должен быть адаптирован применительно к структурно-функциональным характеристикам выбранной информационной системы и особенностям ее функционирования. Допускается исключение из перечня мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе.
При невозможности реализации в информационной системе, в рамках ее системы защиты информации, отдельных выбранных мер защиты информации, могут разрабатываться компенсирующие меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации. Достаточность и адекватность компенсирующих мер подтверждается в ходе аттестационных испытаний информационной системы.
7.3. Средства защиты информации.
В составе подсистемы информационной безопасности информационных систем допускается использовать только средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также требуемого класса защищенности. В случае, если с помощью сертифицированных средств защиты невозможно реализовать отдельные защитные меры, должны разрабатываться компенсирующие меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
7.4. Использование существующих средств защиты информации.
Для защиты информации, обрабатываемой в ЕМИСЗ РК, МЗ РК совместно с организацией-лицензиатом ФСТЭК и ФБС России, был выполнен комплекс технических мер, направленных на реализацию требований законодательства в области защиты информации.
Для обеспечения защиты канала связи между операторами ЕМИСЗ РК развернута и функционирует защищенная сеть передачи данных, построенная с использованием технологии ViPNet (сеть ViPNet № 4960).
В каждую МО, для работы в ЕМИСЗ РК была осуществлена поставка АРМ в защищенном исполнении. Поставляемые АРМ оснащены сертифицированным средством защиты информации от несанкционированного доступа, а также сертифицированным антивирусным программным средством.
7.5. Требования к АРМ ЕМИСЗ РК.
Для обеспечения необходимого уровня безопасности ЕМИСЗ РК на АРМ, непосредственно участвующих в эксплуатации данной системы, должно находится только программное обеспечение (далее – ПО), необходимое для работы в ЕМИСЗ РК. Категорически запрещается устанавливать на АРМ ПО, использующее технологию «толстого клиента» с выходом в сеть Интернет к различным источникам БД, отличных от ЕМИСЗ РК, за исключением федеральных и иных ресурсов, необходимых для оказания медицинской помощи населению.
На АРМ может находится другое ПО, необходимое для выполнения производственных задач ЕМИСЗ РК, при этом данное ПО должно быть официально приобретено МЗ РК или МО самостоятельно, или быть условно-бесплатным. К такому ПО могут быть отнесены: офисные пакеты, архиваторы, файловые менеджеры, ПО для обработки изображений и другое локальное ПО. Для установки вышеописанного ПО на АРМ, МО направляет официальное письмо в адрес Технического оператора ЕМИСЗ РК с описанием, версией, количеством и обоснованием производственной необходимости планируемого к установке ПО на АРМ. После рассмотрения заявки, Технический оператор принимает решение о возможности установки данного ПО, информирует Рабочую группу и направляет в адрес МО положительное или отрицательное заключение.
Категорически запрещается удалять средства защиты информации, функционирующие на данных АРМ.
Категорически запрещается без согласования с техническим оператором устанавливать средства защиты информации, отличные от средств защиты информации, поставляемые совместно с АРМ для работы с ЕМИСЗ РК (Приложение 1).
В целях обеспечения подтверждения источника/получателя информации, а также исключения возможности отрицания факта получения/отправки конфиденциальной информации, авторизация, подпись медицинских документов и служебная переписка в ЕМИСЗ РК осуществляется только с применением электронной подписи.
7.6. Подключение к ЕМИСЗ РК.
Для организации подключения организации-претендента (далее - претендент) к ЕМИСЗ РК, МЗ РК утверждены Регламент подключения (далее - Регламент) и типовое Техническое задание, в которых отражены основные требования к составу технических и программных средств, средствам защиты информации, а также к мерам защиты информации. Для осуществления подключения к защищенному сегменту ЕМИСЗ РК, претендент должен выполнить все требования вышеуказанных документов. Выполнение требований проводится претендентом самостоятельно или централизовано силами МЗ РК.
Регламент и Техническое задание подлежат актуализации один раз в год. Актуализация Регламента и Технического задания проводится силами технического оператора. Итоговые актуализированные документы подлежат согласованию с Рабочей группой.
7.7. Обслуживание ЕМИСЗ РК.
Обслуживание ЕМИСЗ РК осуществляется техническим оператором самостоятельно или с привлечением на договорной основе сторонних организаций, имеющих соответствующие компетенции и лицензии. В целях обеспечения штатного и бесперебойного функционирования ЕМИСЗ РК, устранения технических и иных проблем на базе технического оператора организован Единый контакт центр по приему обращений от пользователей ЕМИСЗ РК.
Порядок и сроки решения обращений от пользователей ЕМИСЗ РК отражены в «Регламенте приема обращений Единого контакт центра».
7.8. Аттестация ЕМИСЗ РК по требованиям защиты информации
Аттестация ЕМИСЗ РК по требованиям защиты информации организуется МЗ РК и включает проведение комплекса организационных и технических мероприятий, в результате которых устанавливается степень соответствия ЕМИСЗ РК безопасности информации.
Аттестация ЕМИСЗ РК проводится МЗ РК с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
По результатам аттестационных мероприятий оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям защиты информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
При выполнении МО РК требований настоящей Концепции, регламента подключения и технического задания допускается аттестация рабочих мест МО ЕМИСЗ РК, реализующих полную технологию обработки информации на основе результатов аттестационных испытаний типового рабочего места ЕМИСЗ РК.
В качестве исходных данных, необходимых для оценки эффективности реализованных мер по обеспечению информационной безопасности, должны использоваться:
модель угроз информационной безопасности;
акт установления уровня защищенности или акт классификации ИС;
техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание подсистемы информационной безопасности;
проектная и эксплуатационная документация на подсистему информационной безопасности ЕМИСЗ РК;
организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационных систем, материалы предварительных и приемочных испытаний системы информационной безопасности информационной системы, а также иные документы, разрабатываемые в соответствии с требованиями уполномоченных органов.
Повторная аттестация информационной системы осуществляется в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
При необходимости привлечения сторонних организаций к проведению работ по проектированию системы информационной безопасности, внедрению средств защиты информации и аттестации информационных систем, должны привлекаться организации имеющие лицензии ФСТЭК России и ФСБ России на оказание услуг в области защиты конфиденциальной информации.
Приложение №1
К Концепции информационной безопасности государственной информационной системы «Единая медицинская информационная система здравоохранения Республики Крым»
Описание технических и программных средств обеспечения информационной безопасности ЕМИСЗ РК
Общая структура ЕМИСЗ РК
Общая структура ЕМИСЗ РК представлена:
уровень ядра ЕМИСЗ РК;
уровень МО РК.
1.1. Уровень ядра ЕМИСЗ РК
Уровень ядра ЕМИСЗ РК располагается у технического оператора и представлен центром обработки данных (далее - ЦОД), в котором располагаются сервера ЕМИСЗ РК, а также необходимое сетевое телекоммуникационное оборудование и каналы связи с МО РК и федеральным сегментом единой государственной информационной системы в сфере здравоохранения. Меры по защите ЦОД и рекомендованный состав средств защиты информации для обеспечения информационной безопасности представлен в разделе 3 настоящего Приложения.
1.2. Уровень МО РК
Уровень МО РК представляет из себя защищенный сегмент локально-вычислительной сети (далее-ЛВС) МО РК, предназначенный для работы с ЕМИСЗ РК, и АРМ в защищенном исполнении.
Защищенный сегмент ЛВС МО РК, предназначенный для работы с ЕМИСЗ, функционирует на основе персональных компьютеров, располагающихся в выделенном сегменте ЛВС МО РК и подключающихся к ЦОД технического оператора посредством организации защищенного взаимодействия по каналам связи. Меры по защите сегмента ЛВС МО РК, предназначенного для работы с ЕМИСЗ РК, и состав средств защиты информации для обеспечения информационной безопасности представлен в разделе 3 настоящего Приложения.
Организация защищенного межсетевого взаимодействия
Для организации защищенного межсетевого взаимодействия по каналам связи общего доступа между всеми участниками ЕМИСЗ РК должна применяться защищенная частная виртуальная сеть ViPNet № 4960.
На уровне технического оператора располагается ядро защищенной сети – ПО ViPNet Administrator, которое обеспечивает централизованное управление элементами сети ViPNet и централизованную рассылку ключей шифрования.
ПАК ViPNet Coordinator HW 2000, установленный у технического оператора в режиме горячего резервирования, обеспечивает безотказное защищенное взаимодействие с учреждениями здравоохранения, а также используется для защиты и разграничения доступа к серверам ЦОД.
На уровне МО РК должна производится установка ПАК ViPNet Coordinator HW1000, обеспечивающих защиту ЛВС МО РК от различных видов сетевых атак, а также реализующих защищенное взаимодействие с другими МО РК и ЦОД технического оператора. При территориальной удаленности зданий МО РК (т.е. в случае¸ если каждое здание имеет собственную локальную сеть и точку выхода в сети международного обмена), для организации безопасного межсетевого взаимодействия должна быть произведена установка ПАК в каждом территориально удаленном здании. Для отдельных, локально удаленных АРМ производится установка ViPNet Клиент для защищенного взаимодействия с сетью 4960.
Для организации работы персонала с ЕМИСЗ РК в ЛВС МО РК организуется выделенный сегмент. Межсетевое экранирование и защита каналов связи данного сегмента осуществляется ПАК ViPNet Coordinator. В случае необходимости использования дополнительных АРМ (персональных компьютеров) в качестве тонких клиентов, необходимо подключить данные АРМ к выделенному сегменту ЛВС и выполнить мероприятия по их защите. Меры по защите АРМ, используемых в качестве тонких клиентов для работы с ЕМИСЗ РК, и состав средств защиты информации для обеспечения информационной безопасности представлен в разделах 3.3-3.7.
В случае наличия в МО РК распределенных иных ИСПДн (ввиду территориальной удаленности зданий Учреждения здравоохранения) передача персональных данных должна осуществляться только посредством защищенной частной виртуальной сети ViPNet № 4960.
Система защиты информации
3.1. Состав системы защиты ЦОД
Для реализации мер защиты ЦОД используются следующие средства защиты информации:
средства межсетевого экранирования;
средства криптографической защиты информации;
средства защиты от несанкционированного доступа (далее - НСД);
средства антивирусной защиты;
средства анализа защищенности;
средства обнаружения вторжений.
3.2. Состав системы защиты сегмента МО РК, предназначенного для работы с ЕМИСЗ РК
Для реализации мер защиты защищенного сегмента МО РК, предназначенного для работы с ЕМИСЗ РК, должны использоваться следующие средства защиты информации:
средства межсетевого экранирования;
средства криптографической защиты информации;
средства защиты от НСД;
средства антивирусной защиты;
средства анализа защищенности.
3.3. Средства межсетевого экранирования и криптографической защиты информации
В соответствии с приказом ФСТЭК России № 17 должны быть реализованы меры по разбиению информационной системы на сегменты и защита периметров сегментов (ЗИС.17), управлению информационными потоками между сегментами информационной системы и между информационными системами (УПД.3), защищенному удаленному доступу через информационно-телекоммуникационные сети (УПД.13).
Данные требования реализуются продуктовой линейкой ViPNet производства компании ИнфоТеКС, реализующей в себе функции межсетевого экранирования и криптографической защиты информации. В состав линейки, в том числе, входят следующие продукты:
ViPNet Administrator;
ViPNet Coordinator;
ViPNet Client.
ПО ViPNet Administrator установлено в ГБУ РК «КМ ИАЦ». На границах подключения сегментов ГИС к сетям связи общего пользования в МО РК, ГБУ РК «КМ ИАЦ» используются криптошлюзы ViPNet Coordinator HW 1000 и HW 2000.
Данные продукты обладают сертификатами ФСТЭК И ФСБ России и позволяют использовать данные продукты для защиты ГИС до первого класса включительно.
3.4. Средства защиты от НСД.
В соответствии с приказом ФСТЭК России № 17, должны быть реализованы меры по идентификации и аутентификации пользователей (ИАФ), управлению доступом (УПД), защиты машинных носителей (ЗНИ), регистрации событий безопасности на серверах и АРМ пользователей ЕМИСЗ РК (РСБ), обеспечение целостности компонентов информационной системы (ОЦЛ).
Необходимо подобрать оптимальное решение, реализующее данные требования на серверах и АРМ пользователей ГИС. Оптимальным решением должно выступать средство защиты информации от несанкционированного доступа, обладающее сертификатом ФСТЭК России на соответствие 4-му уровню контроля отсутствия НДВ, 5-му классу защищенности от НСД. В качестве такого средства, сервера ЕМИСЗ РК, а также АРМ пользователей оснащены СЗИ от НСД Dallas Lock 8.0-K.
3.5. Средства антивирусной защитыю.
В соответствии с приказом ФСТЭК России № 17, должны быть реализованы меры по антивирусной защите (АВЗ).
Антивирусное программное обеспечение должно иметь сертификат ФСТЭК России на соответствие требованиям документов «Требования к средствам антивирусной защиты» (ФСТЭК России, 2012), «Профиль защиты средств антивирусной защиты типа А четвертого класса защиты. ИТ.САВЗ.А4.ПЗ» (ФСТЭК России, 2012), «Профиль защиты средств антивирусной защиты типа Б четвертого класса защиты. ИТ.САВЗ.Б4.ПЗ» (ФСТЭК России, 2012) и «Профиль защиты средств антивирусной защиты типа В четвертого класса защиты. ИТ.САВЗ.В4.ПЗ» (ФСТЭК России, 2012), «Профиль защиты средств антивирусной защиты типа Г четвертого класса защиты. ИТ.САВЗ.Г4.ПЗ».
Для антивирусной защиты серверов и АРМ пользователей ЕМИСЗ РК используется cсертифицированное ФСТЭК России АВПО Kaspersky Anti-Virus.
3.6. Средства анализа защищенности.
В соответствии с приказом ФСТЭК России № 17, для установленного класса ЕМИСЗ РК должны быть реализованы меры по выявлению и анализу уязвимостей информационной системы, контроль правильности настройки программного обеспечения и средств защиты информации (АНЗ).
Требования по анализу защищенности должны реализовываться сертифицированным ФСТЭК России средством защиты информации c функциями по сканированию защищенности компонентов ГИС и обнаружению уязвимостей, содержащихся в компонентах информационной системы.
Средство защиты информации с функциями сканирования защищенности компонентов ГИС и обнаружения уязвимостей должно иметь сертификат ФСТЭК России на соответствие 4-му уровню контроля отсутствия НДВ.
3.7. Средства обнаружения вторжений.
В соответствии с приказом ФСТЭК России № 17, для установленного класса ЕМИСЗ РК должны быть реализованы меры по обнаружению вторжений в сетевом трафике (СОВ.1), автоматическое обновление базы сигнатур атак (СОВ.2).
Требования по обнаружению вторжений должны быть реализованы с использованием сертифицированного ФСТЭК и ФСБ России средства защиты информации с функцией обнаружения вторжений. Средство обнаружения вторжений устанавливается на границе подключения ЕМИСЗ РК к сети связи общего пользования.
Средство защиты информации с функцией обнаружения вторжений должно иметь сертификат ФСТЭК России на соответствие 4 классу защиты для СОВ и сертификат ФСБ России на соответствие классу В для систем обнаружения компьютерных атак.
В качестве средства обнаружения вторжений в ЦОД ЕМИСЗ РК установлен ПАК ViPNet IDS 2(версия 2.4), который полностью выполняет требования приказа ФСТЭК России № 17 и обладает необходимыми сертификатами ФСТЭК России и ФСБ России.
4. Изменение состава средств защиты информации ЕМИСЗ РК
Состав средств защиты информации, используемых в целях защиты информации, подлежит изменению только при:
изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
изменении актуальных угроз безопасности персональных данных;
значительных изменений технологического процесса обработки персональных данных;
изменении технологии построения защищенной сети;
окончании срока действия сертификатов соответствия ФСТЭК России и ФСБ России на используемые средства защиты.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 09.08.2019 |
| Рубрики правового классификатора: | 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
