СЗПДн. Проектирование. Рекомендации Минздравсоцразвития


Министерство здравоохранения и социального развития Российской Федерации недавно выпустило комплект новых методических документов 

2.     «Методические рекомендации по порядку организации работ по созданию субъектом российской федерации в 2011-2012 годах регионального фрагмента единой государственной информационной системы в сфере здравоохранения»
4.     «Методические рекомендации по составу, создаваемых в 2011 – 2012 годах в рамках реализации региональных программ модернизации здравоохранения, прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним»
5.     «Методические рекомендации по оснащению медицинских учреждений компьтерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним»


С точки зрения информационной безопасности наибольший интерес представляют 1 и 3 документ.

В методических рекомендациях по проведению работ по ИБ определен типовой перечень этапов работ:
1.     Предпроектная стадия, включающая предпроектное обследование информационных систем персональных данных (далее – ИСПДн);
2.     Стадия разработки «Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
3.     Стадия разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее – ПДн) и эксплуатации системы защиты персональных данных (далее – СЗПДн) в ИСПДн;
4.     Стадия проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
5.     Стадия ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
Так-же в методических рекомендациях по ИБ по проведению работ по ИБ указывается, что работы по ИБ необходимо выполнять в соответствии с документами Регуляторов и «Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» (далее - методические рекомендации), утвержденными 23.12.2009.
Напомню, что рекомендации от 23.12.2009 были разработаны на основе отмененных документов ФСТЭК. Как ими можно руководствоваться и какой их частью – непонятно.

Так-же в методических рекомендациях по ИБ по проведению работ по ИБ даются некоторые положения, касающиеся выбора СЗИ:
·       “Необходимо обеспечить возможность интеграции с СЗИ Минздравоцразвития.”
А откуда в местном органе здравоохранения данные о СЗИ Минздравоцразвития?
·       СКЗИ должны быть сертифицированы и иметь Заключение о корректности встраивания СКЗИ если, например КриптоПро встраивается в средство построения VPN.
·       Необходимо выбирать “промышленные решения уровня предприятия”. Что это за промышленные решения?

В методических рекомендациях по сетевому телекоммуникационному оборудованию приводятся явные и сильно ограничивающие требования к сетевому оборудованию. В них не хватает только названия продукта, но из требований оно однозначно следует. Для примера,  единственное оборудование подходящее под требования:
·       WAN-маршрутизатор для среднего ЦОД       -    межсетевой экран Juniper SRX240.
·       Программно-аппаратный комплекс обеспечения безопасности информации и управления событиями (SIEM), а также системе определения аномалий сетевого поведения (NBAD) - Juniper STRM2500.
·       WAN-маршрутизатор для ЛПУ - стационар - Juniper SSG140.
·       WAN-маршрутизатору для ЛПУ - Крупный стационар - Juniper SRX1400
·       Коммутатору доступа для ЛПУ - Крупный стационар - Juniper EX2200
·       Коммутатору агрегации для ЛПУ - Крупный стационар - Juniper EX2500.

Комментарии

Валентин Хотько написал(а)…
Спасибо за ссылки.
PS. Материал интересный, но к сожалению совершенно нечитаемый. Хорошо бы подправить оформление.
Сергей Борисов написал(а)…
Немного поправил.
А какой браузер?

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3