Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Методические рекомендации по проведению в 2011 - 2012 годах работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения
I. Общие положения
1. Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
2. Документ подготовлен во исполнение решения заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации 22 декабря 2010 г. (утверждено 30 декабря 2010 г. N А4-18040) по вопросу о порядке реализации региональных программ модернизации здравоохранения в части внедрения информационных технологий.
3. Настоящие требования предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения (далее - Система) в рамках реализации региональных программ модернизации здравоохранения.
II. Состав и порядок выполнения работ
4. Перечень работ по обеспечению информационной безопасности включает:
4.1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее - ИСПДн);
4.2. Стадию разработки "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости";
4.3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее - ПДн) и эксплуатации системы защиты персональных данных (далее - СЗПДн) в ИСПДн;
4.4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
4.5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
5. Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с "Положением о методах и способах защиты информации в информационных системах персональных данных" (приказ ФСТЭК от 5 февраля 2010 г. N 58), "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных "(Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.), "Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.) и "Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости" (далее - методические рекомендации), согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации. Данные методические рекомендации размещены на официальном сайте Министерства здравоохранения и социального развития Российской Федерации по адресу: http://www.minzdravsoc.ru/docs/mzsr/informatics/5
При использовании методических рекомендации необходимо учитывать отмену действия следующих документов ФСТЭК России:
основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.".
III. Требования по выбору средств защиты информации
6. При создании СЗПДн необходимо учитывать нижеследующие положения.
6.1. При выборе технических средств защиты информации (далее - СрЗИ) максимально использовать имеющиеся СрЗИ с учетом возможности их интеграции со средствами обеспечения информационной безопасности Министерства здравоохранения и социального развития Российской Федерации.
6.2.При выборе СрЗИ необходимо руководствоваться тем, что СрЗИ должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты - в соответствии с требованиями по безопасности информации ФСБ России. При встраивании сертифицированных средств криптографической защиты информации (далее - СКЗИ) в Систему в установленном порядке должны быть выполнены работы по оценке влияния аппаратных, программно-аппаратных и программных компонентов Системы, совместно с которыми предполагается штатное функционирование СКЗИ, на предмет выполнения предъявленных к СКЗИ требований.
В случае отсутствия на рынке сертифицированных СрЗИ необходимо проводить дополнительные исследования на предмет выбора и обоснования иных решений. При этом, такие решения должны быть согласованы со ФСТЭК России и ФСБ России (в части их компетенции).
6.3. При выборе СрЗИ необходимо использовать промышленные решения уровня предприятия.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
Перечень работ по обеспечению информационной безопасности включает предпроектную стадию, в т. ч. обследование информационных систем персональных данных (далее - ИСПДн). Речь идет и о разработке "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости". Также это стадии проектирования (разработки проектов) и ввода в действие системы защиты персональных данных и др.
При выборе техсредств защиты информации максимально необходимо использовать имеющиеся с учетом возможности их интеграции со средствами обеспечения информационной безопасности Минздравсоцразвития России.
Такие средства защиты должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты - в соответствии с требованиями ФСБ России.
Если на рынке нет сертифицированных средств защиты, нужно проводить дописследования на предмет выбора и обоснования новых решений. Последние должны быть согласованы с ФСТЭК и ФСБ России. Также следует использовать промышленные решения уровня предприятия.
Основные мероприятия по организации и техобеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утратили силу. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных не действуют.
Методические рекомендации по проведению в 2011 - 2012 годах работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения
Текст методических рекомендаций официально опубликован не был