Требования к защите информации
Защита информации в единой информационной сети здравоохранения Республики Бурятии осуществляется путем реализации комплекса организационных, методических и технических мероприятий с целью предотвращения несанкционированных копирования, уничтожения, блокирования и модификации данных.
Планирование, реализация комплекса мероприятий, выбор и внедрение средств защиты информации осуществляется Заказчиком в соответствии с требованиями нормативных документов по обеспечению информационной безопасности и модели угроз, разработанной и утвержденной Заказчиком.
Система предназначена для обработки персональных данных, включающих сведения о здоровье владельцев персональных данных. Основным законом, определяющим порядок обработки ПДн и методы защиты информации, содержащей ПДн, является Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» с дополнениями и изменениями.
В Системе не предусмотрена обработка сведений, содержащих государственную тайну.
Исполнитель обязан при модернизации и внедрении Системы учесть внедренные средства защиты информации.
В целях защиты персональных данных и иной конфиденциальной информации, циркулирующей (обрабатываемой) в Системе, в нее должны быть встроены механизмы (средства) защиты информации в соответствии с требованиями настоящего раздела. Другие средства защиты информации устанавливаются дополнительно, вне рамок данного проекта.
Внедренные механизмы (средства) защиты информации в Системе должны обеспечивать:
Предотвращение несанкционированного доступа к информации:
идентификация и проверка подлинности (аутентификация) пользователей при входе в систему по регистрационным данным (включая, но не ограничиваясь):
регистрационному имени и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов,
электронным ключам,
сертификату ключа электронной подписи,
контроль полномочий пользователей при выполнении функций Системы;
контроль доступа пользователей к защищаемым ресурсам Системы в соответствии с матрицей доступа;
протоколирование действий пользователей в системе для обеспечения возможности доказательства неправомочности действий пользователей и обслуживающего персонала Системы. Сквозной механизм авторизации пользователя – доступ пользователя ко всем функциям и информационным массивам в рамках его полномочий должен осуществляться с учетом регистрационных данных, однократно введенных пользователем при регистрации в операционной системе и/или подключении к системе управления базами данных и/или при входе в систему.
В журнале регистрации событий Системы протоколируются следующие действия пользователей:
Регистрация входа (выхода) пользователей в систему (из системы), либо регистрация загрузки и инициализации операционной системы и её программной остановки. Регистрация выхода из системы или остановка не проводится в моменты аппаратного отключения информационной системы.
Регистрация выдачи печатных (графических) документов на бумажный носитель.
Регистрация запуска (завершения) программ и процессов (заданий, задач).
Возможность применения электронной подписи при обмене электронными документами в Системе. Средствами электронной подписи обеспечивается реализация следующих требований к защите информации от несанкционированного доступа:
контроль целостности передаваемого документа;
защиту от изменений (подделки) документа;
невозможность отказа от авторства;
доказательное подтверждение авторства документа;
возможность применения электронной подписи для любой версии документа.
|
