Персональные данные
1 и информационные
технологии
Ф
>
А.П. СТОЛБОВ,
заместитель директора Медицинского информационно-аналитического центра РАМН, г. Москва, [email protected]
АННОТИРОВАННЫЙ перечень ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ по защите ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ учреждении
УДК 6J4.2
Столбов А.П. Аннотированный перечень организационно-распорядительных документов по защите персональных данных в медицинском учреждении (Медицинский информационно-аналитический центр РАМН). Аннотация: Представлен перечень приказов, положений, инструкций, журналов и других документов, которые должны быть разработаны в медицинском учреждении для защиты персональных данных пациентов.
Даны пояснения и рекомендациями по использованию данных документов.
Ключевые слова: персональные данные, защита, медицинское учреждение, организационно-распорядительные документы
UDC 6J4.2
Stolbov A.P. An annotated list of organizational and administrative documents for the protection of personal data in a medical institution (Medical Information and Analytical Center of RAMS).
Abstract: We present a list of orders, regulations, instructions, journals and other documents that must be developed in a medical institution for the protection of personal data of patients. An explanation and recommendations on the use of these instruments are given.
Keywords: personal data protection, medical facility, organizational and administrative documents
-f------------------------------------------------------------------------------------------------------
Реализация требований принятого в 2006 году федерального закона «О персональных данных» предполагает создание в медицинском учреждении комплексной системы обеспечения защиты и безопасности информации. При этом необходимо подготовить и издать целый ряд организационно-распорядительных документов. Ниже представлен примерный перечень приказов, положений, инструкций, журналов и других документов, которые должны быть разработаны в учреждении, с некоторыми пояснениями и рекомендациями. Материал подготовлен на основе опыта работы и документов Медицинского информационно-аналитического центра РАМН (www.mcramn.ru).
В квадратных скобках указаны нормативные ссылки на документы, их разделы, пункты и статьи, перечень которых приведен в
© А.П. Столбов, 2010 г.
1 4 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
разделе «Нормативные ссылки». Знаками (!!!) помечены документы, которые, как это указано в [16], должны быть обязательно разработаны и утверждены в учреждении.
Используются следующие сокращения: АВС
— антивирусные средства (средства обнаружения вредоносных программ-вирусов); АС — автоматизированная система; ВТСС — вспомогательные технические средства и системы, не предназначенные для передачи, обработки и хранения ПДн, устанавливаемые совместно с ТС, предназначенными для обработки ПДн, или в помещениях, в которых установлены ИС ПДн; ИС — информационная система; ОБИ — обеспечение безопасности информации; ОТСС — основные технические средства связи; ПДн — персональные данные; СВТ — средства вычислительной техники; СЗИ — средства защиты информации; ТД — техническая документация; ТС — технические средства и системы; ФСБ — Федеральная служба безопасности; ФСТЭК — Федеральная служба по техническому и экспортному контролю; ЭД
— эксплуатационная документация; К1, К2 и КЗ — классы информационных систем ПДн в соответствии с [3], [4].
1. Приказы
1.1. О назначении комиссии для проведения обследования и классификации информационной системы обработки персональных данных в учреждении (!!!).
Приказом утверждается состав комиссии, цели, задачи и сроки проведения обследования в соответствии с [3] и [4]. Основными задачами комиссии являются: а) инвентаризация всех информационных ресурсов в учреждении, обрабатываемых с помощью компьютеров, их категорирование — отнесение к открытой или конфиденциальной информации, в том числе к различным категориям ПДн [3], б) выделение всех отдельных ИС ПДн, в) определение класса ИС ПДн в соответствии с [3] и оформление акта классификации. См. ниже пп. 2.1, 2.3.
www.idmz.ru
гол □, № 1
1.2. Об организации автоматизированной обработки и защиты персональных данных в учреждении (!!!).
Должен включать в том числе следующие основные пункты:
1.2.1. О назначении структурного подразделения (должностного лица), ответственного за обеспечение безопасности информации (в том числе персональных данных) в учреждении.
Назначение подразделения или должностного лица, ответственного за обеспечение безопасности ПДн, предусмотрено [2, п. 13]. Приказом должны быть утверждены положение об этом подразделении, должностные инструкции ответственного лица и администраторов безопасности информации, в которых должны быть перечислены их функции, права и обязанности, определены их подчиненность, подотчетность, и особые полномочия (статус) в части осуществления контроля за безопасностью информации по отношению к остальным пользователям ИС учреждения (см. далее пп. 3.3; 3.4; 3.5).
1.2.2. О допуске сотрудников учреждения к обработке конфиденциальной информации.
Приказом утверждается список сотрудников [2, п. 12(ж), п. 14], [5, п. 3.10] с указанием полномочий их доступа к различным категориям информации, в том числе персональным данным пациентов и работников учреждения. Для каждого сотрудника целесообразно указать его роли (их может быть несколько). Это необходимо для формирования матрицы доступа пользователей к ресурсам ИС (см. ниже п. 2.6). Внесение изменений в список также должно проводиться приказом.
1.2.3. О закреплении компьютеров, предназначенных для обработки персональных данных.
С учетом работы компьютеров в составе разных ИС ПДн (например, подсистемы учета кадров и подсистемы учета медицинской помощи/пациентов). Требования к средствам защиты информации для компьютеров (ресурсов ИС), входящих в ИС ПДн разного класса (К1, К2 и К3), различные [5].
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■ ■ ■■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■■ ■ ■ ■ ■■ ■■ ■■■ ■ ■ ■■ 01 ■ ■ ■■■ ■ ■
Персональные данные
и информационные
технологии
ф
>1.2.4. Об утверждении (определении) границ контролируемой зоны, закреплении помещений, предназначенных для обработки персональных данных (в том числе, для хранения машинных носителей с ПДн).
Контролируемая зона — это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств. Границей контролируемой зоны может быть: периметр охраняемой территории учреждения, ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. См. ниже пп. 3.6, 4.4, 5.1.
1.2.5. Об утверждении Плана мероприятий по обеспечению безопасности информации в учреждении.
План мероприятий разрабатывается по результатам обследования ИС учреждения в части выполнения установленных требований к безопасности информации (см. выше п. 1.1). План должен быть комплексным и включать как однократно выполняемые организационные и технические мероприятия по созданию системы защиты информации, так и постоянно и периодически выполняемые мероприятия по ее эксплуатации, контролю (аудиту) безопасности, поддержанию, совершенствованию и развитию (модернизации) системы, обучению персонала по вопросам ОБИ и работе с СЗИ [2, п. 12(д)] и т.д. Должно быть предусмотрено обеспечение мероприятий плана необходимыми ресурсами, в том числе выделение соответствующих финансовых средств. Должно быть определено должностное лицо, на которое возлагается контроль за выполнением плана, например, заместитель главного врача (см. [4, раздел 4]).
1.2.6. О допуске лиц к работе с криптографическими средствами защиты информации.
Издается при использовании в учреждении сертифицированных ФСБ средств криптографической защиты информации в соответствии
с [9] и [10]. Следует заметить, что законом от 27.12.2009 № 363-ФЗ из текста первоначальной редакции закона «О персональных данных» исключено требование об обязательности применения оператором шифровальных (криптографических) средств для защиты ПДн (в ст. 19). См. также ниже пп. 3.19, 4.18, 4.19.
1.2.7. Об утверждении положений, инструкций, регламентов, форм учетных документов (журналов, ведомостей).
Примерный перечень указанных документов приведен ниже в разделах 3 (положения, инструкции) и 4 (журналы, ведомости).
1.3. О проведении (приемочных) испытаний системы защиты информации в учреждении.
Приказом должна быть назначена комиссия для проведения испытаний, определены сроки испытаний. В приказе должно быть указано, что испытания проводятся в соответствии с утвержденной руководителем учреждения программой и методикой испытаний системы защиты информации. По результатам испытаний оформляется протокол (см. ниже пп. 2.8, 3.20).
1.4. О вводе в эксплуатацию системы защиты информации в учреждении.
Издается по результатам приемочных испытаний системы, на основе протокола (акта) испытаний, содержащего заключение о готовности средств защиты информации к использованию [2, п. 12(в), (г)]. В приказе должны быть назначены ответственные за организацию технической эксплуатации системы и предусмотрено выделение необходимых ресурсов и финансовых средств. См. также п. 2.8.
1.5. О проведении (утверждении плана) проверки выполнения мероприятий по обеспечению безопасности информации в учреждении (!!!).
Издается в случае, если возникает необходимость проведения внеплановой проверки, не предусмотренной планом мероприятий (см. п. 1.2.5). В приказе должны быть определены
■ ■ . (О ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
состав комиссии, цели, перечень проверяемых вопросов (программа проверки) и сроки выполнения проверки (см. также п. 2.12).
2. Отчеты, акты, перечни
2.1. Отчет (акт) о результатах обследования информационной системы учреждения (!!!).
Готовится специальной комиссией, назначаемой приказом руководителя учреждения. Должен включать перечень и основные характеристики (см. [3], [4, раздел 3]) всех информационных (под)систем, в которых обрабатываются персональные данные, — отдельных ИС ПДн, обрабатывающих ПДн разной категории и(или) с разными целями, например, о сотрудниках учреждения (данные кадрового и бухгалтерского учета, категория 3) и о пациентах (данные о состоянии здоровья, категория 1). Отчет должен содержать также: а) перечень сведений конфиденциального характера, обрабатываемых в учреждении (см. п. 2.2); б) общее, краткое описание потоков данных как внутри учреждения, так и передаваемых и получаемых в(из) внешних ИС — кто, что, кому, каким образом (как, по каким каналам, на каких носителях) и когда (с какой периодичностью) передает (получает), как учитывается (документируется) факт передачи-приема и т.д. (см. [5, п. 3.6]), в том числе возможно в виде ссылок на соответствующие документы, содержащие эту информацию (регламенты, инструкции, описание рабочих процессов и т.д.).
2.2. Перечень сведений конфиденциального характера, обрабатываемых в учреждении (!!!).
Документ разрабатывается в соответствии с требованиями [8, приложение 6] по результатам инвентаризации и категорирования информационных ресурсов учреждения, которые проводятся в рамках обследования ИС учреждения (см. п. 1.1). Должен включать перечень персональных данных сотрудников и пациентов учреждения, подлежащих защите
www.idmz.ru
гол □, № 1
от несанкционированного доступа. Утверждается руководителем учреждения.
2.3. Акт классификации информационной системы персональных данных учреждения (!!!).
Утверждается руководителем учреждения. Определение класса ИС ПДн осуществляется по результатам обследования ИС учреждения в соответствии с требованиями [3], [4]. Может включать в качестве приложения отчет о результатах обследования информационной системы учреждения (см. выше п. 2.1). При наличии в учреждении нескольких ИС ПДн, обрабатывающих данные разной категории, ИС ПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем [3, п. 17], [4, раздел 3]. Следует отметить, что согласно [4, раздел 3], применительно к специальным информационным системам (к ним, в том числе относятся ИС, в которых обрабатываются персональные данные о состоянии здоровья), после определения класса системы должна быть разработана модель угроз безопасности ПДн с использованием методических документов ФСТЭК и ФСБ [4], [5], [6], [7], [9] и [10], и проведена оценка актуальности угроз (см. далее п. 2.4). В специальных ИС ПДн, помимо требований конфиденциальности, предъявляются также требования целостности (защиты от уничтожения и искажения) и(или) постоянной доступности данных для использования.
2.4. Модель угроз безопасности персональных данных и иной конфиденциальной информации в учреждении (!!!).
Угрозы безопасности персональных данных — это совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информацион-
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■ ■ ■■■ ! N ■■ ■ ■ ■■■ ■■ ■■ ■ ■ ■ ■■■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■ ■ ■
Персональные данные
и информационные
технологии
ф
>ной системе персональных данных. Модель угроз — это перечень возможных угроз безопасности информации. Исходными данными для разработки модели является отчет по результатам обследования ИС, методической основой для разработки модели являются [4, раздел 4], [6], [7], [15], [16] и [17]. Следует подчеркнуть, что согласно [15] медицинская информационная система в лечебно-профилактическом учреждении при количестве пациентов (субъектов ПДн) менее 100 тысяч может быть отнесена к специальной ИС ПДн с требованиями по обеспечению безопасности ПДн, в основном соответствующими классу КЗ (полагается, что: а) принятие юридически значимых решений осуществляется исключительно только на основе бумажных медицинских документов; б) нарушение безопасности обрабатываемых ПДн может привести к незначительным негативным последствиям для пациентов). Модель угроз утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации.
2.5. Требования по обеспечению безопасности информации (персональных данных).
Разрабатываются в соответствии с [4, раздел 4] и [5] на основе присвоенного ИС ПДн класса (К1, К2 или КЗ) и частной модели угроз безопасности ПДн (см. выше п. 2.4). Документ должен включать перечень организационных мер и требования к программным, и техническим средствам защиты информации в соответствии с [5, раздел 4], на основе которых определяется состав и осуществляется выбор средств защиты и(или) разрабатывается техническое задание на создание (модернизацию) системы защиты информации в учреждении. На основе этого документа осуществляется также оценка соответствия
ИС ПДн требованиям по безопасности информации. Документ утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации и включается в состав комплекта технической документации на систему защиты информации в учреждении (см. далее раздел 5).
2.6. Матрица доступа к ресурсам информационной системы учреждения* (!!!).
Ресурс ИС — это именованный элемент информационного, системного и прикладного программного, и аппаратного обеспечения информационной системы (объект доступа). Матрица доступа [5] должна разрабатываться на основе принятой в учреждении политики разграничения полномочий доступа пользователей к ресурсам ИС (при многопользовательском режиме и разными правами доступа). Для медицинских учреждений рекомендуется разрешительная политика ролевого разграничения прав доступа пользователей (субъектов доступа) к ресурсам ИС («запрещено все, что явно не разрешено»). В связи с этим матрица доступа обычно представляется в виде совокупности таблиц двух типов записей (все ресурсы ИС и субъекты доступа известны, идентифицированы и именованы): а) роль (должность) — ресурс ИС — полномочия (создание, изменение, удаление, чтение, запись, копирование, печать, пересылка, запуск приложения и т.д.); б) роль — пользователь (он может выполнять несколько ролей). Матрица утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации, ответственного за ведение матрицы. Является основой для настройки применяемых в ИС средств управления доступом к ресурсам ИС. Актуализация матрицы доступа осуществляется на основе
В [16] рекомендуется разрабатывать «Положение о разграничении прав доступа к обрабатываемым персональным данным...» [16, приложение 10], которое представляет собой приказ о допуске персонала к обработке конфиденциальной информации, оформленный в виде таблиц матрицы ролевого доступа к ресурсам ИС при многопользовательском режиме и разными правами доступа [5] (см. выше п. 1.2.2).
1 8 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
приказа руководителя учреждения о допуске сотрудников к обработке конфиденциальной информации (см. выше п. 1.2.2).
2.7. Акт(ы) установки сертифицированных средств защиты информации в учреждении.
Документально подтверждает то, что сертифицированные средства защиты информации были установлены, настроены и введены в действие (эксплуатацию) организацией-ли-цензиатом ФСТЭК или ФСБ (для средств криптографической защиты).
2.8. Протокол (акт) приемочных испытаний системы защиты информации в учреждении.
См. выше п. 1.3. При положительных результатах испытаний является основанием для: а) издания приказа о вводе системы защиты информации учреждения в эксплуатацию (см. выше п. 1.4); б) оформления декларации подтверждения соответствия информационной системы учреждения требованиям по безопасности информации для систем класса КЗ (см. далее п. 2.11).
2.9. Технический паспорт на аттестуемую автоматизированную систему.
Необходим для проведения аттестации на соответствие требованиям по безопасности информации для ИС ПДн классов К1 и К2. Содержание и форма технического паспорта АС приведены в [8, приложение 5]. Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации.
2.10. Аттестат соответствия информационной (автоматизированной) системы требованиям по безопасности информации.
Аттестация проводится для ИС ПДн классов К1, К2 уполномоченными организациями-лицензиатами ФСТЭК. Содержание и форма аттестата приведены в [8, приложение 2]. Устанавливается соответствие требованиям по безопасности информации согласно руководящему документу «Автоматизированные системы. Защита от несанкционированного
www.idmz.ru
гол □, № 1
доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия РФ, 1992 г.). Аттестат может содержать запись о соответствии классу ИС ПДн. Для аттестации АС необходимо предъявить следующие основные документы: приемо-сдаточную документацию на объект информатизации (АС); акты категорирования выделенных помещений и объект информатизации; инструкции по эксплуатации СЗИ; технический паспорт на аттестуемый объект [8, приложение 5]; документы, регламентирующие организацию пропускного режима и допуска в служебные помещения учреждения; нормативные и организационно-распорядительные документы по защите информации и контролю ее эффективности в учреждении.
2.11. Декларация подтверждения соответствия информационной системы учреждения требованиям по безопасности информации.
Оформляется по результатам приемочных испытаний системы защиты информации для ИС ПДн класса КЗ. По форме и содержанию декларация аналогична аттестату соответствия информационной (автоматизированной) системы требованиям по безопасности информации (см. п. 2.10). Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации.
2.12. Акт (отчет) по результатам внутренней проверки (внешнего аудита) выполнения мероприятий по обеспечению безопасности информации.
См. выше п. 1.5. В акте должны быть отражены результаты проверки (аудита) в соответствии с поставленными целями (программой) проверки. Аналогичный акт может быть составлен также по результатам разбирательства случаев нарушения (инцидентов) безопасности информации (см. п. 3.18). При этом в журнале учета инцидентов указывается ссылка на этот акт (см. п. 4.10).
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■ ■ ■■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■■ ■ ■ ■ ■■ ■■ ■■■ ■ ■ ■■ ш: ■ ■■■ ■ ■
Персональные данные
и информационные
технологии
ф
>2.13. Акт(ы) выполнения работ по техническому обслуживанию средств защиты информации.
Оформляется в случае, если указанные работы выполнялись организацией-лицензиа-том ФСТЭК или ФСБ (для средств криптографической защиты). При этом делается также соответствующая запись в журнале учета мероприятий по техническому обслуживанию средств ИС учреждения. См. также ниже пп. 4.15, 4.16, 5.6-5.9.
2.14. Акт(ы) об уничтожении персональных данных.
Оформляется в случае отзыва пациентом согласия на обработку его ПДн в учреждении [1, ч. 5 ст. 21]. Процедура уничтожения ПДн пациента может быть описана в «Положении о защите персональных данных пациентов и работников учреждения» или в «Порядке оформления, учета и хранения письменного согласия пациента на обработку его персональных данных в медицинском учреждении» (см. ниже пп. 3.2, 3.7, 4.5).
2.15. Копия «Уведомления об обработке персональных данных», направленного учреждением (оператором) в территориальный орган Роскомнадзора* (!!!).
Копия уведомления должна быть зарегистрирована по принятым в учреждении правилам учета и хранения документов.
2.16. Выписка из Реестра операторов персональных данных*.
Порядок получения выписки определяется Приказом Роскомнадзора от 28.03.2008 № 154 «Об утверждении положения о ведении Реестра операторов, осуществляющих
обработку персональных данных» (п. 17 приказа). Выписку из Реестра операторов можно найти и скачать с сайта http://pd.rsoc.ru, распечатать и зарегистрировать по принятым в учреждении правилам учета и хранения документов.
2.17. Лицензия на техническую защиту информации.
Под технической защитой информации понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней [11, п. 2]. Лицензия необходима для операторов, эксплуатирующих ИС ПДн классов К1, К2, в также для распределенных систем класса КЗ [5, п. 3.14]. Распределенными являются ИС, в которых взаимодействие между элементами ИС (компьютерами) осуществляется с использованием линий связи (сетей), выходящих за пределы контролируемой зоны и(или) по каналам связи (сетям) общего пользования. Лицензия выдается учреждению (оператору) уполномоченными организациями-ли-цензиатами ФСТЭК сроком на пять лет.
3. Положения, инструкции, регламенты
3.1. Положение (политика) об информационной безопасности в учреждении**.
Основной документ, в котором формулируются общие требования, принципы организации и подходы к обеспечению безопасности информации, порядок доступа различ-
* Копия уведомления и выписка из реестра операторов предъявляются при проведении внешнего аудита и контрольно-надзорных мероприятий за соблюдением требований к безопасности персональных данных. На портале Роскомнадзора www.rsoc.ru реализованы функции получения в электронном виде государственных услуг «Оформление уведомления об обработке (намерении осуществлять обработку) персональных данных» и «Получение выписки из реестра операторов персональных данных».
** В [16] наряду с «Положением (политикой) ...» рекомендуется разрабатывать также «Концепцию информационной безопасности ...». Нам представляется это излишним, поскольку все ключевые требования, основные организационные аспекты и принципиальные положения по обеспечению безопасности информации в учреждении, то есть концепцию информационной безопасности, можно изложить в одном документе — Положении (политике).
10- ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
ных категорий пользователей к конфиденциальным данным и ресурсам информационной системы в учреждении с учетом специфики его деятельности, меры ответственности за нарушение установленного режима обеспечения безопасности информации и т.д. В положении должно быть определено, когда, как и кем проводится инструктаж и доведение до сотрудников требований и документов по соблюдению установленных требований к защите информации, проведение контроля и т.п. Документ должен содержать перечень всех организационно-методических и учетных документов (инструкций, положений, журналов, ведомостей и др.), определяющих требования к защите информации и регламентирующих процессы обработки конфиденциальных данных в учреждении. Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации. Политика безопасности информации в учреждении разрабатывается в соответствии с [5, п. 3.4] и [12, п. 2.4.4]. Рекомендации по содержанию документа приведены в [13, приложение А].
3.2. Положение о защите персональных данных пациентов и работников учреждения* (!!!).
В рекомендациях [4, раздел 4] этот документ назван как «Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИС ПДн». Разрабатывается в соответствии с требованиями нормативных правовых актов, определяющих требования к обеспечению прав и свобод граждан при обработке их персональных данных, в том числе при оказании медицинской помощи («Основы законодательства Российской Федерации об охране здоровья граждан» (ст. 61), закон «О меди-
www.idmz.ru
гол а, № л
цинском страховании граждан в Российской Федерации» (ст. 12) и др. — для пациентов), а также требований Трудового кодекса РФ (ст.ст. 85-90), нормативно-методических и распорядительных документов по организации ведения федерального регистра медицинских и фармацевтических работников, ведению кадрового и бухгалтерского учета (для работников учреждения). Должно содержать требование оформления письменного обязательства сотрудника учреждения о неразглашении конфиденциальной (служебной) информации (может оформляться в виде специального пункта в трудовом договоре). Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации.
3.3. Положение о подразделении по защите информации в учреждении (!!!).
Разрабатывается, если такое подразделение предусмотрено в организационно-штатной структуре учреждения (см. выше п. 1.2.1). В ином случае функции по методическому обеспечению, организации технического обслуживания и администрированию средств защиты информации, технической поддержке и контролю пользователей возлагаются на подразделение, в состав которого включены сотрудники, выполняющие функции администраторов системы защиты информации, имеющие необходимую квалификацию и профессиональную подготовку.
3.4. Инструкция администратору безопасности информации (!!!).
Помимо должностных обязанностей администратора безопасности (функции, права, обязанности, ответственность) и требований к его компетенции (квалификации, знаниям и умениям), инструкция должна включать пере-
* Возможно также: а) включение (оформление) этого положения в виде соответствующего(их) раздела(ов) в Положение об (политике) информационной безопасности в учреждении (см. выше п. 3.1), б) разработка двух специальных, отдельных документов (положений) — по пациентам и по работникам (в нормативно-методических документах уполномоченных федеральных органов исполнительной власти явных требований и ограничений относительно этого нет).
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 11 ■
Персональные данные
и информационные
технологии
ф
>чень применяемых мер и средств защиты информации, обслуживаемых администратором, с указанием ссылок на инструкции (руководства) по их эксплуатации, а также описание порядка его взаимодействия с пользователями ИС и руководством учреждения, в том числе возможно в виде ссылок на другие документы (инструкции, положения и т.д.). В инструкции должно быть явно описано (перечислено) все, что разрешено и запрещено делать администратору безопасности в различных ситуациях с ресурсами ИС и средствами защиты информации. Следует подчеркнуть, что в общем случае администратор безопасности не имеет полномочий для работы с персональными данными (их ввода, изменения, удаления). Он, в силу своих обязанностей, может выполнять с ними только чисто технологические операции (действия). Инструкция утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации (см. п. 1.2).
3.5. Инструкция пользователю информационной системы по защите информации* (!!!).
Для каждой отдельной ИС ПДн в учреждении целесообразно разработать свою инструкцию. Инструкция должна содержать: требования к компетенции (квалификации, знаниям и умениям), права, общие обязанности и правила работы пользователя ИС в части обеспечения безопасности информации; меры ответственности пользователя за несоблюдение установленных требований безопасности; перечень всех применяемых мер и средств защиты информации с указани-
ем их назначения и возможностей, а также ссылок на инструкции (руководства) по их эксплуатации (в том числе использованию паролей, средств антивирусной защиты, работы с внешними носителями данных, пользованию электронной почтой, Интернетом, ведению журналов учета и т.д.); описание порядка взаимодействия пользователя с администраторами безопасности информации. Для каждой категории (ролевой группы) пользователей ИС ПДн в инструкции должно быть явно описано (перечислено) все, что разрешено и запрещено делать пользователю в различных ситуациях с ресурсами ИС и средствами защиты информации. Инструкция должна быть согласована с администратором безопасности информации, утверждена руководителем учреждения и доведена (изучена) под подпись до каждого пользователя. Периодически необходимо проверять знание инструкции пользователями ИС.
3.6. Положение (инструкция) по организации пропускного режима и порядке допуска в служебные помещения в учреждении.
В документе должно быть определено, что помещения, в которых установлены компьютеры и хранятся машинные носители данных, предназначенные для обработки конфиденциальной информации (ПДн), должны охраняться, иметь замки и, возможно, средства сигнализации, решетки на окнах и т.д. Вскрытие и закрытие таких помещений должно осуществляться под подпись в журнале по спискам, утвержденным руководителем учреждения.
3.7. Порядок оформления, учета и хранения письменного согласия пациента на
В должностные инструкции всех сотрудников учреждения должны быть включены требования по обеспечению конфиденциальности информации, в том числе, возможно, со ссылками на документы по защите информации в учреждении. В общем случае в учреждении целесообразно иметь специальный технологический регламент обработки данных в каждой ИС ПДн (см. [5, п. 3.6], а также п. 2.1). В инструкции по учету и хранению документов (делопроизводству) в учреждении должен быть определен порядок работы с документами, содержащими персональные данные (см. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ от 15.09.2008 г. № 687).
1 12 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
www.idmz.ru
гол О, № Л
обработку его персональных данных в медицинском учреждении*.
Инструкция должна содержать описание процедур получения (оформления), учета (регистрации) и порядка хранения письменного согласия пациента медицинского учреждения, образец оформления согласия пациента, а также порядок отзыва этого согласия в соответствии с требованиями закона [1, ст.ст. 6, 9, 10]. Должно быть предусмотрено ведение (формирование) ведомости пациентов, давших и отозвавших согласие на обработку их ПДн, а также регистрация фактов уничтожения ПДн по требованию пациента [1, ч. 5 ст. 21] (см. пп. 2.14, 4.5). Целесообразно автоматизировать формирование (заполнение реквизитов) и печать письменного согласия пациента на обработку его персональных данных в регистратуре или приемном отделении учреждения, а также формирование и печать ведомости пациентов, давших и отозвавших согласие на обработку их ПДн. В поликлинике письменное согласие можно оформлять при первом обращении пациента и оформлении амбулаторной карты, в стационаре — при каждом случае госпитализации в виде вкладыша в историю болезни.
3.8. Порядок информирования пациентов об обработке их персональных данных в медицинском учреждении.
Информирование пациентов об обработке их персональных данных (цели, способы и сроки обработки, список лиц, имеющих доступ к их ПДн) осуществляется по их запросам (обращениям) в соответствии с требованиями закона [1, ст.ст. 14,20]. В документе должны быть определены порядок учета обращений и информирования пациентов, и ответственные за подготовку и предоставление указанных сведений пациентам (журнал учета, см. ниже п. 4.6). Целесообразно авто-
матизировать формирование и печать документа, содержащего указанные сведения, например, на основе приказа о допуске сотрудников к ПДн (см. п. 1.2.2) или матрицы доступа к ресурсам ИС (см. п. 2.6).
3.9. Инструкция по использованию электронной почты общего пользования в учреждении.
В инструкции должно быть указано, что использовать открытую (обычную) электронную почту для передачи ПДн без применения сертифицированных ФСБ средств криптографической защиты информации категорически запрещается.
3.10. Инструкция по использованию защищенной (корпоративной) сети передачи данных.
Разрабатывается при использовании защищенной корпоративной сети передачи данных (например, VPN, Virtual Private Network), в том числе электронной почты, например, «Деловой почты» в составе программного продукта ViPNet. В инструкции должен быть описан порядок передачи сообщений (файлов), в том числе ведение журнала приема/передачи сообщений, содержащих ПДн, и определена форма этого журнала (см. п. 4.7). Как правило, разрабатывается на основе типовой инструкции для данной корпоративной защищенной сети.
3.11. Инструкция по работе с Интернетом в учреждении.
Для упрощения и удешевления системы защиты информации доступ в Интернет рекомендуется осуществлять только со специально выделенных компьютеров, изолированных от сегментов локальной вычислительной сети (компьютеров) учреждения, в которых осуществляется обработка персональных данных и иной конфиденциальной информации, либо с компьютеров, связанных с этими сегментами
* Следующие два документа можно: а) объединить в один — «Положение об организации информирования, оформления, учета и хранения письменного согласия пациента на обработку его персональных данных в медицинском учреждении» либо б) включить в виде соответствующих разделов в «Положение о защите персональных данных пациентов и работников учреждения» (см. п. 3.2).
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 13 ■
Персональные данные
и информационные
технологии
ф
>сети через специальные сертифицированные межсетевые экраны (см. [4], [5]).
3.12. Инструкция по использованию средств антивирусной защиты.
Требования к антивирусным средствам (АВС) изложены в [5, раздел 4]. Инструкция разрабатывается с учетом особенностей используемых АВС, способов и регламентов обмена данными как внутри учреждения, так и с внешними организациями, должна включать перечень используемых АВС и ссылки на инструкции по их эксплуатации, подготовленные их разработчиками (поставщиками). См. также ниже п. 4.13.
3.13. Инструкция по организации парольной защиты в информационной системе учреждения.
Разрабатывается в соответствии с утвержденной политикой безопасности и требованиями используемых программно-технических средств — подсистем управления доступом к ресурсам ИС. Инструкция должна содержать требования к учетным именам и паролям пользователей, определять порядок генерации паролей, периодичность их смены, а также порядок замены в случае их компрометации (см. [5, раздел 4]). См. также далее п. 4.14.
3.14. Инструкция по учету, хранению и использованию машинных носителей данных, содержащих сведения конфиденциального характера.
В инструкции должны быть определены правила маркировки и идентификации носителей, форма журнала учета носителей (см. ниже п. 4.11), предусмотрена систематическая проверка их наличия и работоспособности, порядок выдачи и ответственность пользователей за их сохранность и несанкционированное использование. В инструкции должно быть четко определено, какие данные могут быть записаны (выгружены) на носитель, в том числе указано, что данные, относящиеся к разным ИС ПДн, должны храниться на физически разных (отдельных) машинных носителях. Носители данных, содержащих
конфиденциальную информацию, должны храниться в сейфах и(или) специальных охраняемых помещениях (см. п. 1.2.4). Документ должен включать также описание процедуры (порядок) стирания информации, снятия с учета и утилизации носителей данных [8, п. 5.2.6, п. 5.3.6].
3.15. Инструкция по резервному копированию и восстановлению данных в информационной системе учреждения (!!!).
Документ должен определять, кем осуществляется резервное копирование (восстановление), включать график копирования, описание правил или ссылки на инструкции по эксплуатации используемых средств копирования/вос-становления данных, а также порядок хранения и учета машинных носителей с резервными копиями, в том числе, возможно, в виде ссылок на инструкцию по учету и хранению машинных носителей данных (см. п. 3.14). В инструкции, помимо всего прочего, следует определить, что носители данных с резервными копиями должны храниться вне помещений, в которых размещены серверы (компьютеры) ИС, дабы при возникновении чрезвычайных ситуаций, в результате которых может произойти физическое разрушение носителей данных или серверов (компьютеров), например, при пожаре, затоплении и т.п., сохранилась хотя бы одна копия критически важных данных — на сервере (компьютере) или внешних машинных носителях. См. также п. 4.12.
3.16. Положение (инструкция) о порядке работы с электронным журналом регистрации и учета обращений (запросов) пользователей информационной системы учреждения к персональным данным (!!!).
Необходимость использования этого электронного журнала определена в [2, п. 15]. Порядок использования электронного журнала должен быть отражен в положении (политике) об информационной безопасности и инструкциях администраторам системы защиты информации (безопасности). В положении должно быть указано, кем, каким образом и с какой
14 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
периодичностью просматривается журнал, какие действия осуществляются при обнаружении инцидентов, связанных с нарушением режима защиты информации (см. ниже п. 3.18), а также каким образом проводятся работы по его техническому обслуживанию. Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации. Электронный журнал автоматического учета обращений к персональным данным может быть реализован с помощью сертифицированных средств аутентификации пользователей, управления доступом, регистрации и учета, например, таких как «Панцирь-С», «Secret Net» и др. (реестр сертифицированных средств защиты информации опубликован на сайте ФСТЭК www.fstec.ru). В документе должны быть приведены также образцы экранных и печатных форм (отчетов), формируемых на основе учетных данных в журнале. См. п. 4.1.
3.17. Регламент (инструкция) учета записи на внешние носители информации и печати документов, содержащих персональные данные.
В соответствии с установленными требованиями автоматическая регистрация в электронном журнале действий, связанных с записью на внешние носители или печатью документов, содержащих персональные данные, должна выполняться только для систем классов К1 (см. [5, пп. 4.2.4(б), 4.2.7(б)]) и К2 при многопользовательском режиме обработки ПДн с разными правами доступа (см. [5, пп. 4.2.9(б)]). Для систем класса КЗ это требование не обязательно. Поэтому Регламент в обязательном порядке разрабатывается только для указанных классов ИС ПДн, а для систем класса КЗ — по усмотрению руководителя учреждения. Регламент должен содержать форму журналов учета печати документов и записи ПДн на внешние машинные носители информации (см. далее пп. 4.8, 4.9). Следует заметить, что при записи на внешние носители рекомендуется шифровать ПДн с
www.idmz.ru
гол □, № 1
использованием сертифицированных ФСБ криптографических средств (см. далее п. 3.19). В тех случаях, когда внешние носители данных хранятся и передаются доверенным способом, исключающим их утрату (утерю) или несанкционированное использование, шифрование не требуется. Не надо также шифровать данные при записи на внешний носитель, выдаваемый на руки пациенту под его роспись в журнале учета (см. п. 4.8).
3.18. Инструкция по действиям в нештатных ситуациях, связанных с нарушениями функционирования системы безопасности информации.
Документ должен содержать перечень, описание признаков и классификацию инцидентов, связанных с нарушением режима или изменением показателей функционирования системы безопасности информации, в зависимости от последствий, порядок учета инцидентов (ведение журнала, см. п. 4.10), а также описание действий по восстановлению нормального функционирования системы. Действия целесообразно сгруппировать по различным категориям пользователей и персонала (администраторов) ИС. Для каждой категории может разрабатываться отдельная инструкция. Документ должен включать описание процедуры (регламент) проведения разбирательств по фактам несанкционированного доступа (утечки) информации [4, раздел 4]. Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации.
3.19. Инструкция по использованию средств криптографической защиты информации.
Разрабатывается при использовании в учреждении сертифицированных ФСБ средств криптографической защиты (шифрования) информации в соответствии с требованиями [9], [10]. Инструкция должна содержать также порядок работы с ключевой информацией. Обычно разрабатывается при участии организации-лицензиата ФСБ — поставщика
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 15 ■
Персональные данные
и информационные
технологии
ф
> криптосредств. Утверждается руководителем учреждения с согласующей подписью ответственного за использование криптосредств. См. также пп. 1.2.6; 4.18; 4.19.
3.20. Программа и методика испытаний информационной системы учреждения по требованиям безопасности информации.
Разрабатывается в соответствии с [14, раздел 4]. Утверждается руководителем учреждения с согласующей подписью представителя подразделения (ответственного) по защите информации. В программе испытаний должны быть предусмотрены проверки всех подсистем и средств защиты информации, наличие необходимой эксплуатационной (технической) документации, а также критерии и способы оценки соответствия ИС ПДн установленным (заданным) требованиям безопасности информации (ПДн) при ее обработке в ИС учреждения. Программа может использоваться не только при проведении приемочных испытаний, но также и при выполнении плановых контрольных и проверочных мероприятий по оценке состояния системы защиты информации (в полном объеме или частично). См. также пп. 1.3, 2.8, 2.7.
4. Журналы, ведомости
Ведение журналов учета и ведомостей осуществляется в соответствии с положениями, инструкциями, должностными обязанностями и иными организационно-распорядительными документами, в которых должны быть определены форма журнала, кем он ведется, кем и когда проверяется, а также указаны средства автоматизированного ведения (формирования) и анализа (мониторинга) журнала.
4.1. Электронный журнал учета обращений (запросов) пользователей ИС учреждения к персональным данным (!!!).
См. пояснения к п. 3.16. Электронный журнал — это своего рода «черный ящик». Знание того, что все действия с защищаемыми ресурсами ИС авторизуются и регистрируют-
ся в общем случае способствует созданию у пользователей мотивации к корректной работе и неукоснительному выполнению установленных правил и регламентов («фактор неотказуемости»).
4.2. Журнал учета мероприятий по обеспечению безопасности информации в учреждении (!!!).
В журнале учитываются как плановые, так и ситуационно выполненные мероприятия, учет которых не предусмотрен в других журналах, в частности, контрольные проверки (см. далее).
4.3. Журнал учета инструктажа сотрудников учреждения по обеспечению режима защиты информации.
В журнале учитываются как индивидуальные, так и коллективные формы инструктажа (занятия, семинары, тренинги, зачеты, допуск к работе с СЗИ и т.д.). В виде отдельного раздела в журнале ведется ведомость ознакомления сотрудников учреждения с документами по защите информации (под подпись).
4.4. Журнал(ы) учета сдачи под охрану и вскрытия служебных помещений.
Одновременно могут вестись несколько журналов — в зависимости от размещения помещений в здании(ях), организации охраны и пропускного режима в учреждении.
4.5. Ведомость учета пациентов, давших и отозвавших согласие на обработку их персональных данных.
См. пояснения к п. 3.7. В случае отзыва пациентом согласия на обработку ПДн [1, ч. 5 ст. 21] в журнале делается отметка об уничтожении оператором его ПДн, в порядке и на условиях, как это предусмотрено в согласии. Факт уничтожения ПДн пациента оформляется в виде акта (см. выше п. 2.14). В журнале должна быть также сделана запись об уведомлении пациента о прекращении обработки и уничтожении его ПДн [1, ч. 5 ст. 21], если иное не предусмотрено в согласии или в отзыве согласия пациента на обработку его ПДн.
16 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
www.idmz.ru
гол О, № Л
4.6. Журнал учета обращений и информирования пациентов об обработке их персональных данных в учреждении (!!!).
См. пояснения к п. 3.8. По каждому случаю обращения (запроса) пациента должна быть сделана запись о факте его информирования (ответе). В этом же журнале могут учитываться также обращения органов Роскомнадзора в учреждение за аналогичной информацией об обработке персональных данных (см. [1, ст. 23]).
4.7. Журнал учета обмена электронными сообщениями (документами) по защищенной сети передачи данных.
См. пояснения к п. 3.10. Целесообразна автоматизация ведения, формирования и печати этого журнала.
4.8. Журнал учета записи (копирования) персональных данных на внешние машинные носители*.
См. пояснения в п. 3.17. Применяемые в ИС ПДн классов К1 и К2 подсистемы управления доступом, учета и регистрации действий с ресурсами ИС обеспечивают надежную аутентификацию пользователей и носителей информации, что делает возможным автоматическое ведение, просмотр и печать этого журнала (см. выше п. 3.16).
4.9. Журнал учета печати документов, содержащих персональные данные.
См. пояснения в п. 4.8 выше.
4.10. Журнал учета случаев нарушения режима (инцидентов) безопасности информации в учреждении.
Порядок ведения и форма журнала должны быть определены в Инструкции по действиям в нештатных ситуациях (см. п. 3.18). По каждому случаю (инциденту) необходимо, кроме всего прочего, указать, как осуществлялось разбирательство, какие сделаны заключения (выводы), приняты меры и выполнены действия. Возможно также ведение учета инцидентов в общем журнале учета
мероприятий по защите информации (см. выше п. 4.2).
4.11. Журнал учета внешних машинных носителей информации.
Должен включать: 1) ведомость всех носителей с указанием их назначения, в том числе носителей данных: а) используемых для обмена данными, б) с резервными копиями; 2) собственно журнал учета выдачи (движения) носителей (кому и когда выдан, принят, где хранится, отметки о стирании информации) с подписью пользователя или ответственного лица; 3) раздел учета проверок наличия носителей. В журнале должно быть предусмотрено также ведение записей об уничтожении и(или) стирании информации с машинного носителя и его снятии с учета (утилизации). Должно быть предусмотрено ведение записей о проверке журнала должностными лицами учреждения. См. также пп. 3.14; 3.15.
4.12. Журнал учета резервного копирования и восстановления данных на программно-аппаратном комплексе ИС учреждения (!!!).
В журнале ведется учет копирования данных, записанных как на серверах, так и на отдельных рабочих станциях (компьютерах). Желательно использовать штатные возможности автоматизированного ведения журнала, имеющиеся в применяемых средствах копиро-вания/восстановления данных в составе подсистем управления доступом, регистрации и учета, и проверки целостности сертифицированных СЗИ с выгрузкой текущей копии журнала на отдельный внешний носитель. См. также п. 3.15.
4.13. Журнал учета антивирусных проверок на программно-аппаратном комплексе ИС учреждения.
См. п. 3.12. Целесообразно использовать штатные средства журнализации в применяемых антивирусных средствах, рекомендуемых
Возможно ведение одного журнала учета печати и записи ПДн на внешние носители информации. В журнале должна быть предусмотрена возможность учета записи на внешний носитель и выдачи на руки пациенту под его роспись копий медицинских документов.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 17 ■
Персональные данные
и информационные
технологии
ф
> (сертифицированных) ФСТЭК (DrWeb, Kaspersky и др.).
4.14. Журнал учетных записей пользователей информационной системы учреждения.
Форма журнала и порядок его ведения должны быть определены в Инструкции по организации парольной защиты в ИС учреждения (см. п. 3.13). Во всех современных средствах (подсистемах) управления доступом к ресурсам ИС, ведение, просмотр и печать журнала автоматизированы.
4.15. Журнал учета мероприятий по техническому обслуживанию программнотехнических средств информационной системы учреждения.
При необходимости учет мероприятий по техническому обслуживанию средств защиты информации в тех случаях, когда они выполняются организациями-лицензиатами ФСТЭК и(или) ФСБ, может осуществляться в отдельных (специальных) журналах или оформляться в виде актов о выполнении соответствующих работ (см. пп. 2.13, 5.6-5.9).
4.16. Журнал(ы) учета настроек средств(а) защиты информации.
Ведется, если это требуется инструкцией по эксплуатации применяемого средства защиты информации. Учет настроек всех СЗИ может также вестись в одном журнале или в журнале учета работ по техническому обслуживанию СЗИ и(или) СВТ (см. выше п. 4.15).
4.17. Журнал учета заявок пользователей ИС на техническое обслуживание компьютеров.
В журнале должны учитываться обращения пользователей ИС в службу технической поддержки, в том числе связанных с работой средств защиты информации, заражением вирусами и т.д. Учет заявок пользователей может осуществляться также в журнале учета мероприятий по техническому обслуживанию (см. выше п. 4.15).
4.18. Журнал учета криптографических средств.
Ведется в соответствии с [9, пп. 3.3; 3.4; 3.5, приложение № 2] при использовании в системе сертифицированных ФСБ средств криптографической защиты информации (см. п. 1.2.6).
4.19. Технический (аппаратный) журнал криптографического средства.
Ведется в соответствии с [9, п. 3.6, приложение № 3] при использовании в системе сертифицированных ФСБ средств криптографической защиты информации. См. также п. 3.19.
4.20. Ведомость нормативно-методических, распорядительных и учетных документов по обеспечению безопасности информации в учреждении.
Помимо всего прочего, эта ведомость необходима при проведении аттестации ИС на соответствие требованиям безопасности информации, а также при получении лицензии ФСТЭК на деятельность по технической защите информации [11, п. 5]. См. также п. 3.19.
4.21. Ведомость учета средств защиты информации, технической эксплуатационной документации системы защиты информации.
Необходимость учета средств технической защиты информации определена [2, п. 12(е), п. 20] (см. далее).
5. Техническая документация
В учреждении необходимо обеспечить учет и иметь полный перечень (ведомость) всех технических (эксплуатационных) документов системы защиты информации [2, п. 12(е), п. 20]. Техническая документация (ТД) должна содержать описание системы защиты информации в учреждении [2, п. 12(к)]. Разработка комплекта ТД осуществляется в процессе проектирования и реализации (технорабочего проектирования) системы защиты информации в учреждении в соответствии с заданными требованиями к системе защиты (техническим заданием, см. п. 2.5).
Техническая документация на систему защиты информации должна включать:
18 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
5.1. План-схему контролируемой зоны (см. п. 1.2.4);
5.2. План-схему инженерных коммуникаций, электроснабжения и заземления с привязкой к границам контролируемой зоны (для систем классов К1, К2);
5.3. План-схему размещения основных технических средств связи (ОТСС) и вспомогательных технических средств и систем (ВТСС) и их кабельных линий с привязкой к границам контролируемой зоны (для ИС ПДн классов К1, К2); входит в состав технического паспорта АС (см. выше п. 2.9);
5.4. План-схему размещения технических средств информационной системы учреждения с привязкой к границам контролируемой зоны;
5.5. Перечень и спецификации используемых: а) средств вычислительной техники,
б) общесистемного и прикладного программного обеспечения (с указанием их размещения (установки) на каждом компьютере/сер-вере);
5.6. Спецификации средств защиты информации (СЗИ) с указанием серийных (заводских) номеров изделий, реквизитов лицензий и сертификатов соответствия, а также перечней (реквизитов) эксплуатационной (технической) документации а СЗИ;
5.7. Инструкции по использованию аппаратных и программных СЗИ (в инструкции администратору ОБИ и пользователям ИС могут включаться ссылки на эти инструкции, их отдельные разделы и пункты);
5.8. Иную техническую документацию СЗИ (ведомость ЭД, описания, инструкции по установке, настройке и обслуживанию и т.д.);
5.9. Учетные эксплуатационные документы СЗИ (журналы учета настроек СЗИ, учета мероприятий по техническому обслуживанию СЗИ и др.);
5.10. Лицензии и копии сертификатов на используемые СЗИ, акты об их установке и вводе в действие (см. пп. 2.7, 2.13).
Комплект ТД используется при проведении испытаний и оценке соответствия ИС ПДн
www.idmz.ru
гол □, № 1
учреждения установленным требованиям безопасности информации.
Нормативные ссылки
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. законов от 25.11.2009 № 266-ФЗ и от
27.12.2009 № 363-ФЗ).
2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено Постановлением Правительства РФ от 17.11.2007 № 781).
3. Порядок проведения классификации информационных систем персональных данных (утвержден Приказом ФСТЭК, ФСБ и Мининформсвязи России от 13.02.2008 № 55/86/20).
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены ФСТЭК 15.02.2008/11.11.2009 снят гриф «ДСП»).
5. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены ФСТЭК 15.02.2008/
11.11.2009 снят гриф «ДСП»).
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ФСТЭК 15.02.2008).
7. Методика определения актуальных угроз безопасности при их обработке в информационных системах персональных данных (утверждена ФСТЭК 14.02.2008/
16.11.2009 снят гриф «ДСП»).
8. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К, утверждены Гостехкомиссией РФ 30.08.2002).
9. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназна-
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 19 ■
Персональные данные
и информационные
технологии
ф
>ченных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены
ФСБ 21.02.2008).
10. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены ФСБ 21.02.2008).
11. Положение о лицензировании деятельности по технической защите конфиденциальной информации (утверждено Постановлением Правительства РФ от 15.08.2006 №504).
12. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.
13. ГОСТ Р ИСО/МЭК 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
14. ГОСТ 34.603-92 Виды испытаний автоматизированных систем.
15. Модель угроз типовой медицинской информационной системы типового лечебнопрофилактического учреждения (Минздрав-соцразвития России, ноябрь 2009; согласована с ФСТЭК, письмо от 27.11.2009 № 240/2/4009 за подписью заместителя директора ФСТЭК А. Гапонова)*.
16. Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (Мин-здравсоцразвития России, утверждены 23.12.2009 директором Департамента информатизации Минздравсоцразвития России О.В. Симаковым,
согласованы 22.12.2009 начальником 2-го управления ФСТЭК России А.В. Куц)*.
17. Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (Минздравсоцразвития России, утверждены 23.12.2009 директором Департамента информатизации Минздравсоцразвития России О.В. Симаковым, согласованы 22.12.2009 начальником 2-го управления ФСТЭК России А.В. Куц)*.
Тексты перечисленных выше нормативных правовых документов опубликованы на сайтах Роскомнадзора www.rsoc.ru и ФСТЭК www.fstec.ru. Образцы некоторых организационно-распорядительных документов можно найти на сайте Минздравсоцразвития России по указанному выше адресу (приложения к [16]), на сайтах www.54.rsoc.ru, www.ad-min.smolensk.ru и сайтах МИАЦ Владимирской, Омской и Челябинской областей — www.medctat.narod.ru,www.omskminzdrav.ru, www.miac74.ru. Много полезных материалов по вопросам защиты персональных данных, в том числе в медицинских учреждениях, размещено на сайте www.ispdn.ru.
В заключение следует отметить, что задача разработки в учреждении внутренних нормативных и методических документов по защите информации должна быть приоритетной. Первоочередность ее выполнения обеспечит разработку и внедрение эффективных и экономически оправданных организационных и технических решений по защите информации.
Автор будет признателен всем, кто пришлет свои замечания и предложения по электронной почте по адресу: [email protected] или [email protected].
Эти документы 26.12.2009 были опубликованы на сайте Минздравсоцразвития России (www.min-zdravsoc.ru/docs/mzsr/informatics/). Основные положения «Модели угроз ...» были доложены директором Департамента информатизации Минздравсоцразвития России О.В. Симаковым и заместителем начальника отдела департамента С.П. Рыловым на заседании Рабочей группы РАМН по вопросам создания и внедрения медицинских информационных технологий 3 декабря 2009 г.
20 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■