Приложение N 3. Система защиты информации сегмента. Приказ Министерства здравоохранения Республики Саха (Якутия) от 12.04.2023 N 01-07/710 "О подключении автоматизированных рабочих мест к Государственной информационной системе здравоохранения РС (Я) "Региональная медицинская система"

Приложение N 3
к Регламенту подключения
новых пользователей

                                                   начало формы протокола

                                                       Конфиденциально

                                                           Экз. N 1

                                                        УТВЕРЖДАЮ

                                                [должность руководителя]

                                               [наименование организации]

                                              ___________________________

                                                          [ФИО]

                                              "   " _____________ 2020 г.

Система защиты информации
сегмента [название сегмента]
[название информационной системы]

                         ПРИЕМОЧНЫЕ ИСПЫТАНИЯ

                     Протокол приемочных испытаний

                              На XX листах

                   [наименование населенного пункта]

                                  [год]

Оглавление

1 Общие положения                                                       3

  1.1. Цели и задачи приемочных испытаний                               3

  1.2. Документы, на основании которых проводится приемочные испытания  3

  1.3. Продолжительность приемочных испытаний                           3

  1.4. Организации, участвующие приемочных испытаниях                   3

2. Объекты приемочных испытаний                                         3

  2.1. Наименование систем                                              3

  2.2. Условия и порядок функционирования сегментов ОИ                  3

3. Средства для проведения испытаний                                    3

4 Состав приемочной комиссии                                            3

5. Результаты приемочных испытаний                                      4

Приложение N 1                                                          5

Перечень сокращений

Сокращение	Определение
АРМ	Автоматизированное рабочее место
АС	Автоматизированная система
ГИС	Государственная информационная система
ИБ	Информационная безопасность
СЗИ	Система защиты информации
СрЗИ	Средство защиты информации
ОИ	Объект информатизации
НПА	Нормативно-правовой акт
ГБУ РС (Я) "ЯРМИАЦ"	Государственное бюджетное учреждение Республики Саха (Якутия) "Якутский республиканский медицинский информационно-аналитический центр"

1. Наименование объекта информатизации

1.1. Приемочные испытания проводились для ОИ [полное название организации] расположенного по адресу [адрес организации] на соответствие ОИ сегменту "[название сегмента]" аттестованной ИС - Централизованная информационная система "Региональная медицинская информационная система".

1.2. Приемочные испытания проводились комиссией:

Руководитель комиссии:

[ФИО]                     [наименование организации], [должность]

Члены комиссии:

[ФИО]                     [наименование организации], [должность]

[ФИО]                     [наименование организации], [должность]

2. Информация об объекте информатизации

ОИ является сегмент "[название сегмента]" РМИС принадлежащий ГБУ РС (Я) "ЯРМИАЦ". Состав технических средств ОИ представлен в Таблице N 2.1. Состав программных средств ОИ представлен в Таблице N 2.2. Состав используемых в ОИ СрЗИ представлен в Таблице N 2.3.

Таблица N 2.1

N п/п	Наименование (модель) технических средств и систем объекта информатизации	Заводской (серийный) или инвентарный номер

Таблица N 2.2

N п/п	Тип программного обеспечения	Наименование программ	Версия	Разработчик

Таблица N 2.3

N п/п	Наименование и тип средств защиты	Версия	Заводской (серийный) номер, СЗЗ	Сведения о сертификате

3. Цель приемочных испытаний

3.1. Целью приемочных испытаний является определение соответствия ОИ (сегмента ИС) требованиям по обеспечению безопасности информации, не составляющей государственную тайну (далее 0 защищаемой информации), и распространение аттестата соответствия ИС на ОИ (сегмент), на который проводятся приемочные испытания.

3.2. Приемочные испытания проводились в объеме, предусмотренном в "Регламенте подключения новых пользователей", и включали в свой состав:

- проверка технологии обработки информации;

- проверку соответствия класса защищенности ОИ, на которые проводятся приемочные испытания, классу защищенности сегмента аттестованной ИС;

- проверку соответствия проектных решений ОИ, на которые проводятся приемочные испытания, проектным решениям сегмента аттестованной ИС;

- проверку соответствия проектных решений СЗИ ОИ, на которые проводятся приемочные испытания, проектным решениям СЗИ сегмента аттестованной ИС;

- проверку угроз безопасности информации ОИ, на которые проводятся приемочные испытания, угрозам безопасности информации сегмента аттестованной ИС.

4. Перечень используемых нормативных документов и методик

4.1. При проведении приемочных испытаний комиссия должна руководствоваться требованиями следующих НПА и методических документов в области защиты информации:

1. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

2. Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации";

3. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

4. ГОСТ 59792-2021 Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем;

5. ГОСТ Р 59853-2021 Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

5. Перечень средств контроля защищённости информации

5.1. Перечень используемых средств контроля защищенности информации представлен в Таблице N 2.

Таблица N 2

N п/п	Наименование	Модель 2	Зав. номер
1.	Программа поиска и гарантированного уничтожения информации на дисках	"TERRIER", версия 3.0	Копия N ХХХХ СЗЗ ХХХХХХ	Сертификат ФСТЭК России N 1193 от 16.05.2006, продлен до 16.05.2021
2.	Программа фиксации и контроля исходного состояния программного комплекса	"ФИКС", версия 2.0.2	Копия N ХХХХ СЗЗ ХХХХХХ	Сертификат ФСТЭК России N 1548 от 15.01.2008, действителен до 15.01.2020. Окончание срока технической поддержки 15.01.2025
3.	Средство создания модели системы разграничения доступа	"Ревизор 1 ХР"	Копия N ХХХХ СЗЗ ХХХХХХ	Сертификат ФСТЭК России N 989 от 08.02.2005, продлен до 08.02.2020. Окончание срока технической поддержки 08.02.2025
4.	Программа контроля полномочий доступа к информационным ресурсам	"Ревизор 2 ХР"	Копия N ХХХХ СЗЗ ХХХХХХ	Сертификат ФСТЭК России N 990 от 08.02.2005, продлен до 08.02.2020. Окончание срока технической поддержки 08.02.2025
5.	Сетевой сканер	Сетевой сканер Ревизор Сети 3.0	Копия N ХХХХ СЗЗ ХХХХХХ	Сертификат ФСТЭК России N 3413 от 02.06.2015, продлен до 02.06.2023. Окончание срока технической поддержки 02.06.2026

6. Описание проверок

6.1. В ходе проведения приемочных испытаний ОИ на соответствие требованиям по обеспечению безопасности защищаемой информации и распространению аттестата соответствия ИС, были проведены следующие мероприятия:

- проверка технологии обработки информации;

- проверку соответствия класса защищенности ОИ, на которые проводятся приемочные испытания, классу защищенности сегмента аттестованной ИС;

- проверку соответствия проектных решений ОИ, на которые проводятся приемочные испытания, проектным решениям сегмента аттестованной ИС;

- проверку соответствия проектных решений СЗИ ОИ, на которые проводятся приемочные испытания, проектным решениям СЗИ сегмента аттестованной ИС;

- проверку угроз безопасности информации ОИ, на которые проводятся приемочные испытания, угрозам безопасности информации сегмента аттестованной ИС.

6.2. В случае если меры по защите информации в сегментах отличаются от общих принятых мер, то они описаны отдельно применительно к этому сегменту.

6.3. В ходе проведения приемочных испытаний был проведен анализ технологии обработки информации, включающая полноту исходных данных, проверка их соответствия реальным условиям размещения, монтажа и эксплуатации ОИ, исследование технологического процесса обработки, хранения и передачи информации, анализ информационных потоков, определение состава использованных для обработки, хранения и передачи информации ОТСС.

6.3.1. Проверка состава и содержания представленных документов показала их достаточность для проведения приемочных испытаний заявленных ОИ.

6.3.2. В ходе проведения приемочных испытаний представленной документации комиссией была проанализирована система доступа пользователей

ОИ к защищаемым информационным ресурсам и данные по технологии обработки и передачи защищаемой информации, также были проанализированы обобщенные технологические схемы ОИ.

Проверка показала наличие правильно организованной системы доступа пользователей ОИ к защищаемым информационным ресурсам.

6.4. В ходе проведения приемочных испытаний был выявлен и проанализирован перечень сертифицированных СрЗИ, функционирующих в ОИ.

Перечень СрЗИ, функционирующих в ОИ, приведен в Таблице N 2.3. В ОИ применяются сертифицированные СрЗИ. СрЗИ имеют.

6.5. Комиссией была проведена проверка правильности определения класса защищенности ОИ (сегмента).

6.5.1. Сегменту ИС, на соответствие которому проводятся приемочные испытания, присвоен класс защищенности К3.

6.5.2. С учётом того, что в ОИ обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, ОИ имеет 3 итоговый уровень значимости, ОИ имеет объектовый масштаб, в соответствии с нормативным актом [4] комиссией установлен класс защищенности K3, что соответствует представленному Акту определения класса защищенности ОИ.

6.6. Комиссией проведена проверка соответствия проектных решений в ОИ (сегмента), на которые проводятся приемочные испытания, проектным решениям сегмента аттестованного по требованиям безопасности информации ИС.

6.6.1. В ходе проверки комиссия установила, что в ОИ и сегменте аттестованного по требованиям безопасности информации ИС реализованы идентичные проектные решения ОИ. ОИ, на которое проводятся приемочные испытания, может работать с аттестованной по требованиям безопасности информации ИС.

6.7. Комиссией проведена проверка соответствия проектных решений СЗИ ОИ (сегмента), на которые проводятся приемочные испытания, проектным решениям СЗИ сегмента, аттестованного по требованиям безопасности информации ИС.

6.7.1. В ОИ, на которое проводились приемочные испытания, установлены и настроены СрЗИ (Таблица N 2.3). Используемые СрЗИ соответствуют проектным решениям, принятым для сегмента "[название сегмента]" РМИС.

6.7.2. Были произведены замеры контрольных сумм программных модулей СрЗИ. Результаты контрольного суммирования программных модулей СрЗИ полностью соответствуют значениям, указанным в формуляре (паспорте) данного средства защиты. Отчеты представлены в Приложении N 1.

6.7.3. Комиссией установила, что СрЗИ гарантированно удаляют данные. Отчет представлен в Приложении N 2.

6.7.4. Комиссией был произведен анализ уязвимостей. Отчет представлен в Приложении N 3.

6.7.5. В ходе проверки комиссия установила, что СЗИ ОИ и СЗИ сегмента, аттестованного по требованиям безопасности информации ИС реализованы идентичные проектные решения СЗИ. СЗИ ОИ, на которое проводятся приемочные испытания, может работать с СЗИ аттестованной по требованиям безопасности информации ИС (Таблица N 6.1 и Таблица N 6.2).

Таблица N 6.1

N	Пункт ТЗ	Результат	Примечание
1.	4.1.1.1
2.	4.1.1.2
3.	4.1.1.3
4.	4.1.1.4
5.	4.1.1.5
6.	4.1.1.6
7.	4.1.2.1
8.	4.1.2.2
9.	4.1.2.3
10.	4.1.3
11.	4.1.4
12.	4.1.5
13.	4.1.6
14.	4.1.7
15.	4.1.8
16.	4.1.9
17.	4.1.10
18.	4.1.11
19.	4.1.12
20.	4.1.13
21.	4.1.14
22.	4.2.1.1
23.	4.2.1.2
24.	4.2.1.3
25.	4.2.1.4
26.	4.2.2
27.	4.2.3
28.	4.3.1
29.	4.3.2.1
30.	4.3.2.2
31.	4.3.2.3
32.	4.3.2.4
33.	4.3.2.5
34.	4.3.2.6
35.	4.3.3
36.	4.3.4.1
37.	4.3.4.2
38.	4.3.5.1
39.	4.3.6
40.	4.3.7.1
41.	4.3.7.2
42.	4.4
43.	4.5
44.	4.6

Таблица N 6.2. ³

N	Пункт ТЗ	Результат	Примечание
Идентификация и аутентификация субъектов доступа и объектов доступа
45.	ИАФ.1
46.	ИАФ.2
47.	ИАФ.3
48.	ИАФ.4
49.	ИАФ.5
50.	ИАФ.6
51.	ИАФ.7
Управление доступом субъектов доступа к объектам доступа
52.	УПД.1
53.	УПД.2
54.	УПД.3
55.	УПД.4
56.	УПД.5
57.	УПД.6
58.	УПД.7
59.	УПД.8
60.	УПД.9
61.	УПД.10
62.	УПД.11
63.	УПД.12
64.	УПД.13
65.	УПД.14
66.	УПД.15
67.	УПД.16
68.	УПД.17
Ограничение программной среды
69.	ОПС.1
70.	ОПС.2
71.	ОПС.3
72.	ОПС.4
Защита машинных носителей информации
73.	ЗНИ.1
74.	ЗНИ.2
75.	ЗНИ.3
76.	ЗНИ.4
77.	ЗНИ.5
78.	ЗНИ.6
79.	ЗНИ.7
80.	ЗНИ.8
Регистрация событий безопасности
81.	РСБ.1
82.	РСБ.2
83.	РСБ.3
84.	РСБ.4
85.	РСБ.5
86.	РСБ.6
87.	РСБ.7
88.	РСБ.8
Антивирусная защита
89.	АВЗ.1
90.	АВЗ.2
Обнаружение вторжений
91.	СОВ.1
92.	СОВ.2
Контроль (анализ) защищенности информации
93.	АНЗ.1
94.	АНЗ.2
95.	АНЗ.3
96.	АНЗ.4
97.	АНЗ.5
Обеспечение целостности информационной системы и информации
98.	ОЦЛ.1
99.	ОЦЛ.2
100.	ОЦЛ.3
101.	ОЦЛ.4
102.	ОЦЛ.5
103.	ОЦЛ.6
104.	ОЦЛ.7
105.	ОЦЛ.8
Обеспечение доступности информации
106.	ОДТ.1
107.	ОДТ.2
108.	ОДТ.3
109.	ОДТ.4
110.	ОДТ.5
111.	ОДТ.6
112.	ОДТ.7
Защита среды виртуализации
113.	ЗСВ.1
114.	ЗСВ.2
115.	ЗСВ.3
116.	ЗСВ.4
117.	ЗСВ.5
118.	ЗСВ.6
119.	ЗСВ.7
120.	ЗСВ.8
121.	ЗСВ.9
122.	ЗСВ.10
Защита технических средств
123.	ЗТС.1
124.	ЗТС.2
125.	ЗТС.3
126.	ЗТС.4
127.	ЗТС.5
Защита информационной системы, ее средств, систем связи и передачи данных
128.	ЗИС.1
129.	ЗИС.2
130.	ЗИС.3
131.	ЗИС.4
132.	ЗИС.5
133.	ЗИС.6
134.	ЗИС.7
135.	ЗИС.8
136.	ЗИС.9
137.	ЗИС.10
138.	ЗИС.11
139.	ЗИС.12
140.	ЗИС.13
141.	ЗИС.14
142.	ЗИС.15
143.	ЗИС.16
144.	ЗИС.17
145.	ЗИС.18
146.	ЗИС.19
147.	ЗИС.20
148.	ЗИС.21
149.	ЗИС.22
150.	ЗИС.23
151.	ЗИС.24
152.	ЗИС.25
153.	ЗИС.26
154.	ЗИС.27
155.	ЗИС.28
156.	ЗИС.29
157.	ЗИС.30

6.8. В аттестованном по требованиям безопасности информации ИС актуальными угрозами безопасности информации являются угрозы безопасности информации, представленные в Таблице N 6.3.

Таблица N 6.3 ⁴

N п/п	Код УБИ ФСТЭК	Наименование УБИ
1	УБИ.006	Угроза внедрения кода или данных
2	УБИ.033	Угроза использования слабостей кодирования входных данных

6.8.1. В ОИ, на которое проводится приемочные испытания, реализована идентичная с аттестованной ИС технология обработки информации, класс защищенности информации, проектные решения сегмента, проектные решения СЗИ.

6.8.2. На основе этого в ОИ (сегменте) угрозы безопасности информации идентичны с угрозами безопасности информации, которые были установлены для сегмента аттестованного по требованиям безопасности информации ИС.

7. Результат испытаний

7.1. Результаты приемочных испытаний объекта информатизации [полное название организации] расположенного по адресу [адрес организации] установили соответствие аттестованному по требованиям безопасности информации сегменту "[название сегмента]" [краткое наименование ИС].

7.2. Комиссия установила, что ОИ возможно распространение аттестата соответствия N [номер аттестата соответствия] от [дата аттестата соответствия].

7.3. При эксплуатации объекта информатизации не допускается:

- вносить несанкционированные изменения в конфигурацию программных, программно-технических средств, средств защиты информации;

- осуществлять несанкционированную замену программных, программно-технических средств, средств защиты информации на аналогические средства;

- вносить изменения в архитектуру системы защиты информации, изменять состав, структуру системы защиты информации;

- проводить обработку информации в случае приостановки действия аттестата соответствия в соответствии с решением ФСТЭК России;

- проводить обработку информации в случае обнаружения неисправностей в системе защиты информации объекта информатизации;

- проводить обработку информации в случае обнаружения инцидента безопасности.

Руководитель комиссии:

[Должность]                                ____________________ [ФИО]

Состав комиссии:

[Должность]                                ____________________ [ФИО]

[Должность]                                ____________________ [ФИО]