Методические рекомендации по проведению в 2011 - 2012 годах работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения
I. Общие положения
1. Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
2. Документ подготовлен во исполнение решения заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации 22 декабря 2010 г. (утверждено 30 декабря 2010 г. N А4-18040) по вопросу о порядке реализации региональных программ модернизации здравоохранения в части внедрения информационных технологий.
3. Настоящие требования предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения (далее - Система) в рамках реализации региональных программ модернизации здравоохранения.
II. Состав и порядок выполнения работ
4. Перечень работ по обеспечению информационной безопасности включает:
4.1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее - ИСПДн);
4.2. Стадию разработки "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости";
4.3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее - ПДн) и эксплуатации системы защиты персональных данных (далее - СЗПДн) в ИСПДн;
4.4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
4.5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
5. Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с "Положением о методах и способах защиты информации в информационных системах персональных данных" (приказ ФСТЭК от 5 февраля 2010 г. N 58), "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных "(Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.), "Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.) и "Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости" (далее - методические рекомендации), согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации. Данные методические рекомендации размещены на официальном сайте Министерства здравоохранения и социального развития Российской Федерации по адресу: http://www.minzdravsoc.ru/docs/mzsr/informatics/5
При использовании методических рекомендации необходимо учитывать отмену действия следующих документов ФСТЭК России:
основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения.
Перечень работ по обеспечению информационной безопасности включает предпроектную стадию, в т. ч. обследование информационных систем персональных данных (далее - ИСПДн). Речь идет и о разработке "Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости". Также это стадии проектирования (разработки проектов) и ввода в действие системы защиты персональных данных и др.
При выборе техсредств защиты информации максимально необходимо использовать имеющиеся с учетом возможности их интеграции со средствами обеспечения информационной безопасности Минздравсоцразвития России.
Такие средства защиты должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты - в соответствии с требованиями ФСБ России.
Если на рынке нет сертифицированных средств защиты, нужно проводить дописследования на предмет выбора и обоснования новых решений. Последние должны быть согласованы с ФСТЭК и ФСБ России. Также следует использовать промышленные решения уровня предприятия.
Основные мероприятия по организации и техобеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утратили силу. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных не действуют.
Методические рекомендации по проведению в 2011 - 2012 годах работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения
Текст методических рекомендаций официально опубликован не был
