I. Защита информационной системы персональных данных

В соответствии с требованиями Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» в информационной системе «ТеКоМед» на прикладном уровне реализованы следующие меры:

1. Идентификация и аутентификация субъектов доступа и объектов доступа

  • идентификация и аутентификация пользователей встроенными средствами информационной системы;
  • идентификация и аутентификация пользователей с использованием электронных ключей и смарт-карт;
  • управление (создание, присвоение, инициализация, блокирование, уничтожение) идентификаторами пользователей.

2. Управление доступом субъектов доступа к объектам доступа

  • управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей;
  • реализация методов (дискреционный, ролевой), типов (чтение, запись, выполнение) и правил разграничения доступа к информационным ресурсам;
  • разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
  • ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
  • предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных правил обработки персональных данных;
  • оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему;
  • ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы;
  • блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу;
  • разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.

3. Регистрация событий безопасности

  • сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
  • генерирование временных меток и синхронизация системного времени в информационной системе;

  • защита информации о событиях безопасности;
  • ограничение доступа к электронному журналу о событиях безопасности.

4. Контроль защищенности персональных данных

  • сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
  • генерирование временных меток и синхронизация системного времени в информационной системе;
  • защита информации о событиях безопасности;
  • ограничение доступа к электронному журналу о событиях безопасности.

5. Обеспечение целостности информационной системы и персональных данных

  • контроль целостности программного обеспечения;
  • контроль целостности персональных данных, содержащихся в базах данных информационной системы;
  • возможности восстановления программного обеспечения;
  • контроль содержания информации, передаваемой из информационной системы и исключение неправомерной передачи информации из информационной системы;
  • ограничение прав пользователей по вводу информации в информационную систему;
  • контроль точности, полноты и правильности данных, вводимых в информационную систему;
  • контроль ошибочных действий пользователей по вводу персональных данных и предупреждение пользователей об ошибочных действиях.

6. Обеспечение доступности персональных данных

  • периодическое резервное копирование персональных данных на резервные машинные носители персональных данных;
  • обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала.

II. Создание системы защиты персональных данных

В соответствии с требованиями законодательства Российской Федерации, нормативных документов Правительства Российской Федерации, федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и уполномоченных в области противодействия техническим разведкам и технической защиты информации (Перечень), а также методических рекомендаций Министерства здравоохранения, в ходе установки и внедрения информационной системы «ТеКоМед», проводятся работы по созданию системы защиты персональных данных (СЗПДн).

Работы по созданию СЗПДн делятся на два этапа и включают в себя следующие мероприятия:

По результатам ЭТАПА № 1 разрабатывается следующая документация:

1. Отчет о результатах обследования информационной системы «ТеКоМед», порядка автоматизированной и неавтоматизированной обработки персональных данных.
2. Схемы размещения объектов, элементов информационной инфраструктуры и линий связи учреждения (организации), в графическом редакторе.
3. Акт определения уровня защищенности обрабатываемых персональных данных в информационной системе «ТеКоМед».
4. Заключение об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и соотношении указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
5. Модель угроз безопасности информационной системы «ТеКоМед», включая модель нарушителя.
6. Перечень мер, необходимых для нейтрализации (минимизации) угроз безопасности персональных данных, обрабатываемых в информационной системе «ТеКоМед».
7. Перечень объектов и элементов информационной системы «ТеКоМед», подлежащих защите.
8. Схема защиты информационной системы «ТеКоМед» в графическом редакторе.

Результатами ЭТАПА № 2 являются:

1. Разработанное Техническое задание на создание Системы защиты персональных данных информационной системы «ТеКоМед».
2. Проект создания системы защиты персональных данных информационной системы «ТеКоМед» с приложением Схем объектов, элементов информационной инфраструктуры и линий связи учреждения (организации) и установки технических и программно-технических средств защиты, в графическом редакторе.
3. Использование отказоустойчивых технических средств, а также использование системы резервирования технических средств, программного обеспечения, средств обеспечения функционирования информационной системы.
4. Закупка, установка и настройка средств резервного копирования баз данных информационной системы «ТекоМед» в целях обеспечения целостности и доступности персональных данных.
5. Закупка, установка и настройка средств защиты информации прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации в целях обеспечения конфиденциальности, целостности и доступности персональных данных:
  • средств защиты от несанкционированного доступа к ресурсам информационной системы;
  • средств контроля использования интерфейсов ввода (вывода) информации на машинные носители персональных данных, а также подключения машинных носителей персональных данных;
  • средств антивирусной защиты и обнаружения вторжений;
  • средств защиты межсетевого взаимодействия между информационными системами (средств управления фильтрацией, маршрутизацией, контроля соединений, однонаправленной передачи);
  • средств криптографической защиты информации для защиты информации при ее передаче по открытым каналам связи
  • средств криптографической защиты информации для реализации защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.

Результаты настройки и тестирования технических средств, компьютерных сетей (линий) связи, средств защиты информации оформляются документально и передаются заказчику.
6. В ходе проведения работ по защите персональных данных для учреждения (организации) производится разработка организационно-распорядительных, функциональных и планирующих документов регламентирующих обработку и защиту персональных данных.
  • организационно-распорядительные и функциональные документы по обеспечению функционирования информационной системы «ТекоМед»
  • Подробней...
  • организационно-распорядительные и функциональные документы, регламентирующие обработку и защиту персональных данных
  • Подробней...
  • организационно-распорядительные и функциональные документы, регламентирующие обеспечение функционирования шифровальных (криптографических) средств (в случае необходимости использования шифровальных (криптографических) средств)
  • Подробней...
  • формы книг и журналов учета
  • Подробней...

7. По окончании работ по внедрению системы защиты персональных данных проводится оценка соответствия принятых мер по защиты информационной системы «ТекоМед», а также оценка достаточности принятых мер.

III. Соответствие требованиям, предъявляемым к исполнителю работ по технической защите информации

1. ООО «ТехноКонсалт-ИС» обладает правом на осуществления деятельности по технической защите конфиденциальной информации:

  • лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации № 0939 от 27.11.2009 г.;
  • лицензия ФСТЭК России на деятельность по разработке и (или) производству средств защиты конфиденциальной информации № 0794 от 27.01.2011 г.;
  • лицензия ФСБ России на деятельность связанную с шифровальными (криптографическими) средствами ЛСЗ № 0007647 от 29.12.2012 г.

2. В штате ООО «ТехноКонсалт-ИС» создан отдел по защите информации и имеется необходимое количество квалифицированного персонала с высшем профессиональным образованием по направлению подготовки «Информационная безопасность» и стажем работы в области защиты информации более 15 лет.
3. ООО «ТехноКонсалт-ИС» имеет в собственности средства контроля защищенности информации от несанкционированного доступа, программы для электронно-вычислительных машин и баз данных, необходимых для выполнения работ и оказания услуг по технической защите конфиденциальной информации, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79.