Информационная безопасность единой государственной информационной системы в сфере здравоохранения
Ожидает приглашения
В последнее время мы часто слышим о модернизации здравоохранения. Чем это обернется для каждого из нас? Здесь, мы рассмотрим вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации, те требования которые предъявляются к лечебным учреждениям в этом вопросе.
Перечень работ по обеспечению информационной безопасности для каждого ЛПУ (лечебно-профилактического учреждения) включает:
1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее – ИСПДн);
2. Стадию разработки «Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее – ПДн) и эксплуатации системы защиты персональных данных (далее – СЗПДн) в ИСПДн;
4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с «Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации.
Также существуют требования по выбору средств защиты информации
При создании СЗПДн необходимо учитывать нижеследующие положения.
1. При выборе технических средств защиты информации (далее – СрЗИ) максимально использовать имеющиеся СрЗИ с учетом возможности их интеграции со средствами обеспечения информационной безопасности Министерства здравоохранения и социального развития Российской Федерации.
2. При выборе СрЗИ необходимо руководствоваться тем, что СрЗИ должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты – в соответствии с требованиями по безопасности информации ФСБ Росси. В случае отсутствия на рынке сертифицированных СрЗИ необходимо проводить дополнительные исследования на предмет выбора и обоснования иных решений.
3. При выборе СрЗИ необходимо использовать промышленные решения уровня предприятия.
Все эти требования носят обязательный характер и предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня Системы в рамках реализации региональных программ модернизации здравоохранения.
В итоге органы исполнительной власти в сфере здравоохранения субъектов скорее всего переложат эти функции на каждое ЛПУ, но ЛПУ не в состоянии выполнить все эти требования самостоятельно т.к. это требует увеличение штатов, что вряд ли возможно т.к. грамотные специалисты не пойдут за низкую з/п в подобные учреждения. Поэтому большое количество средств «модернизации» пойдет в конторы, которые предоставляют услуги по организации информационной безопасности.
Останется малая часть средств для реальных закупок оборудования и компьютерной техники.
Перечень работ по обеспечению информационной безопасности для каждого ЛПУ (лечебно-профилактического учреждения) включает:
1. Предпроектную стадию, включающую предпроектное обследование информационных систем персональных данных (далее – ИСПДн);
2. Стадию разработки «Модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
3. Стадию разработки организационно-распорядительной и нормативно-методической документации, регламентирующей вопросы организации обеспечения безопасности персональных данных (далее – ПДн) и эксплуатации системы защиты персональных данных (далее – СЗПДн) в ИСПДн;
4. Стадию проектирования (разработки проектов), включающую разработку СЗПДн в ИСПДн;
5. Стадию ввода в действие СЗПДн, включающую опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации.
Работы по обеспечению информационной безопасности при обработке персональных необходимо выполнять в соответствии с «Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», согласованными 22.12.2009 Начальником 2 управления ФСТЭК России и утвержденными 23.12.2009 Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации.
Также существуют требования по выбору средств защиты информации
При создании СЗПДн необходимо учитывать нижеследующие положения.
1. При выборе технических средств защиты информации (далее – СрЗИ) максимально использовать имеющиеся СрЗИ с учетом возможности их интеграции со средствами обеспечения информационной безопасности Министерства здравоохранения и социального развития Российской Федерации.
2. При выборе СрЗИ необходимо руководствоваться тем, что СрЗИ должны быть сертифицированы по требованиям безопасности информации ФСТЭК России, а средства криптографической защиты – в соответствии с требованиями по безопасности информации ФСБ Росси. В случае отсутствия на рынке сертифицированных СрЗИ необходимо проводить дополнительные исследования на предмет выбора и обоснования иных решений.
3. При выборе СрЗИ необходимо использовать промышленные решения уровня предприятия.
Все эти требования носят обязательный характер и предназначены для использования органами исполнительной власти в сфере здравоохранения субъектов Российской Федерации при создании прикладных компонентов регионального уровня Системы в рамках реализации региональных программ модернизации здравоохранения.
В итоге органы исполнительной власти в сфере здравоохранения субъектов скорее всего переложат эти функции на каждое ЛПУ, но ЛПУ не в состоянии выполнить все эти требования самостоятельно т.к. это требует увеличение штатов, что вряд ли возможно т.к. грамотные специалисты не пойдут за низкую з/п в подобные учреждения. Поэтому большое количество средств «модернизации» пойдет в конторы, которые предоставляют услуги по организации информационной безопасности.
Останется малая часть средств для реальных закупок оборудования и компьютерной техники.