ПРОЕКТ
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ПРОВЕДЕНИЮ РАБОТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА РЕГИОНАЛЬНОМ УРОВНЕ ЕДИНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ В СФЕРЕ ЗДРАВООХРАНЕНИЯ ОБЯЗАТЕЛЬНЫЕ ДЛЯ СОЗДАНИЯ В 2011 – 2012 ГОДАХ В РАМКАХ РЕАЛИЗАЦИИ РЕГИОНАЛЬНЫХ ПРОГРАММ МОДЕРНИЗАЦИИ ЗДРАВООХРАНЕНИЯ
I. Общие положения
1. Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.
2. Документ подготовлен во исполнение решения заседания президиума Совета при Президенте Российской Федерации по развитию информационного общества в Российской Федерации 22 декабря 2010 г. (утверждено 30 декабря 2010 г. № А4-18040) по вопросу о порядке реализации региональных программ модернизации здравоохранения в части внедрения информационных технологий.
3. Настоящие требования носят обязательный характер и предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня Системы в рамках реализации региональных программ модернизации здравоохранения.
II. Состав и порядок выполнения работ
4. Перечень работ по обеспечению информационной безопасности включает:
4.1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее – ИСПДн);
4.2. Стадию разработки «Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
4.3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее – ПДн) и эксплуатации системы защиты персональных данных (далее – СЗПДн) в ИСПДн;
4.4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
4.5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
5. Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с «Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации. Данные методические рекомендации размещены на официальном сайте Министерства здравоохранения и социального развития Российской Федерации по адресу:
http://www.minzdravsoc.ru/docs/mzsr/informatics/5
III. Требования по выбору средств защиты информации
6. При создании СЗПДн необходимо учитывать нижеследующие положения.
6.1. При выборе технических средств защиты информации (далее – СрЗИ) максимально использовать имеющиеся СрЗИ с учетом возможности их интеграции со средствами обеспечения информационной безопасности Министерства здравоохранения и социального развития Российской Федерации.
6.2.При выборе СрЗИ необходимо руководствоваться тем, что СрЗИ должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты – в соответствии с требованиями по безопасности информации ФСБ Росси. В случае отсутствия на рынке сертифицированных СрЗИ необходимо проводить дополнительные исследования на предмет выбора и обоснования иных решений.
6.3. При выборе СрЗИ необходимо использовать промышленные решения уровня предприятия.
