18Требования к обеспечению защиты информации 18.1Требования к защите конфиденциальной информации при осуществлении процедур информационного обмена При осуществлении процедур информационного обмена в качестве конфиденциальной информации рассматриваются:
персональные данные граждан, обратившихся за СМП;
персональные данные медицинских работников, оказавших медицинскую помощь (услуги);
сведения о фактах обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляющие врачебную тайну.
При осуществлении процедур информационного обмена допустимы следующие способы защиты конфиденциальной информации:
применение сертифицированных средств криптографической защиты информации (далее – СКЗИ) при осуществлении процедур информационного обмена с использованием телекоммуникационных сетей общего пользования;
применение электронной цифровой подписи (далее – ЭЦП) для обеспечения целостности и достоверности информации при информационном обмене.
Для осуществления надлежащего информационного взаимодействия Системы-103 с Информационными системами МЧС России и в целях соблюдения законодательства РФ по защите информации межсетевой (межсистемный) обмен документами в электронном виде необходимо производить с использованием СКЗИ и ЭЦП, обеспечивающих безопасность информации, с использованием телекоммуникационных сетей.
18.2Требования к серверу информационной безопасности В состав Системы 103 должен быть включен сервер информационной безопасности. Сервер информационной безопасности является неотъемлемой частью системы и должен обеспечивать безопасность телекоммуникационных сетей, интегрируясь в существующую сетевую инфраструктуру. Он должен обеспечивать защиту от атак из внешних сетей, разграничение доступа к внутренним ресурсам и защиту при передаче конфиденциальной информации.
Сервер информационной безопасности должен быть размещен на базе компьютера с характеристиками не ниже - 500 MHz, 512 MB, 2 x LAN 10/100 и состоять из аппаратной базы и программных модулей: VPN-построителя, Межсетевого экрана, Модуля обнаружения и предотвращения вторжений (атак). Межсетевой экран должен обеспечивать следующие возможности:
Функции модуля VPN-построителя:
обеспечение защиты информации при ее передаче по общедоступным сетям путем шифрования данных и контроля целостности (имитовставки) по алгоритмам ГОСТ 28147-89/ГОСТ Р 34.11-94;
использование инфраструктуры открытых ключей на базе сертификатов стандарта Х.509 для распределения ключей и двусторонней аутентификации участников VPN-соединения;
защищенное соединение между подразделениями, находящимися на удаленных площадках, а также подключение удаленных внешних пользователей к внутренней сети, предоставляя прозрачный доступ к ресурсам предприятия и защиту от внешних угроз, а также создавать защищенные контуры внутри сети предприятия для организации изолированной работы подразделений;
установление VPN-соединения при работе через NAT или прокси-сервер;
поддержка широковещательного трафика в виртуальной сети VPN, для использования Windows-сервисов на базе протоколов SMB/CIFS;
поддержка аппаратных ключей (токенов) известных производителей для хранения закрытых ключей;
поддержка множества соединений Site-to-Site на одном VPN-построителе;
возможность настройки таблицы маршрутизации для управления трафиком между виртуальными сетями;
возможность задания набора пользователей, которым разрешено установление VPN-соединения;
регистрация активности клиентов VPN-построителя;
централизованный сбор журналов безопасности;
создание клиентского соединения с кроссплатформенным VPN-клиентом.
Функции модуля межсетевого экрана:
фильтрация пакетов на сетевом и транспортном уровне;
фильтрация на основании любых полей заголовка IP;
фильтрация на основании любых полей заголовков TCP/UDP;
фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых пакетов;
возможность задания временных периодов действия правил фильтрации;
возможность журналирования принимаемых решений по фильтрации пакетов;
централизованный сбор журналов;
поддержка технологии NAT;
поддержка технологии Port forwarding.
Модуль предотвращения атак должен обнаруживать и блокировать широкий спектр сетевых атак, таких как сканирование портов, подделка сетевых адресов, атаки фрагментированными пакетами, атаки неверно сформированными пакетами, атаки на подбор пароля к SSH.
|