МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ И СОЦИАЛЬНОГО РАЗВИТИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ПРОВЕДЕНИЮ В 2011 - 2012 ГОДАХ РАБОТ
ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ РЕГИОНАЛЬНОГО УРОВНЯ
ЕДИНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
В СФЕРЕ ЗДРАВООХРАНЕНИЯ
I. Общие положения
1. Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
2. Документ подготовлен во исполнение решения заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации 22 декабря 2010 г. (утверждено 30 декабря 2010 г. N А4-18040) по вопросу о порядке реализации региональных программ модернизации здравоохранения в части внедрения информационных технологий.
3. Настоящие требования предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения (далее - Система) в рамках реализации региональных программ модернизации здравоохранения.
II. Состав и порядок выполнения работ
4. Перечень работ по обеспечению информационной безопасности включает:
4.1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее - ИСПДн);
4.2. Стадию разработки "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости";
4.3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее - ПДн) и эксплуатации системы защиты персональных данных (далее - СЗПДн) в ИСПДн;
4.4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
4.5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
5. Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с "Положением о методах и способах защиты информации в информационных системах персональных данных" (Приказ ФСТЭК от 5 февраля 2010 г. N 58), "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.), "Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.) и "Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости" (далее - методические рекомендации), согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации. Данные методические рекомендации размещены на официальном сайте Министерства здравоохранения и социального развития Российской Федерации по адресу: http://www.minzdravsoc.ru/docs/mzsr/informatics/5.
При использовании методических рекомендаций необходимо учитывать отмену действия следующих документов ФСТЭК России:
основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.".
III. Требования по выбору средств защиты информации
6. При создании СЗПДн необходимо учитывать нижеследующие положения.
6.1. При выборе технических средств защиты информации (далее - СрЗИ) максимально использовать имеющиеся СрЗИ с учетом возможности их интеграции со средствами обеспечения информационной безопасности Министерства здравоохранения и социального развития Российской Федерации.
6.2. При выборе СрЗИ необходимо руководствоваться тем, что СрЗИ должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты - в соответствии с требованиями по безопасности информации ФСБ России. При встраивании сертифицированных средств криптографической защиты информации (далее - СКЗИ) в Систему в установленном порядке должны быть выполнены работы по оценке влияния аппаратных, программно-аппаратных и программных компонентов Системы, совместно с которыми предполагается штатное функционирование СКЗИ, на предмет выполнения предъявленных к СКЗИ требований.
В случае отсутствия на рынке сертифицированных СрЗИ необходимо проводить дополнительные исследования на предмет выбора и обоснования иных решений. При этом такие решения должны быть согласованы со ФСТЭК России и ФСБ России (в части их компетенции).
6.3. При выборе СрЗИ необходимо использовать промышленные решения уровня предприятия.