4.6Архитектура информационной безопасности
Часть функций, выполняемых участниками РИАМС, предполагает необходимость обработки персональных данных граждан Российской Федерации. Таким образом, медицинские информационные системы, входящие в прикладной сегмент РИАМС и обеспечивающие автоматизацию функций, связанных с обработкой персональных данных, будут являться информационными системами персональных данных (ИСПДн).
В соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Архитектура информационной безопасности РИАМС определяет совокупность мероприятий, технологий и средств, необходимых для обеспечения комплексной защиты информации в РИАМС, прежде всего в отношении персональных данных. В соответствии с системным подходом к описанию информационной безопасности можно выделить следующие составляющие ИБ:
Нормативно-правовая и методическая документация;
Организационная структура обеспечения информационной безопасности;
Организационно-технические и режимные меры и методы (политики безопасности);
Программно-технические способы и средства обеспечения информационной безопасности.
4.6.1Нормативно-правовая и методическая документация
При разработке и эксплуатации ИСПДн, входящих в состав РИАМС, необходимо руководствоваться следующими категориями нормативно-правовых и методических документов:
федеральные законодательные акты, включающие кодексы и законы, указы и распоряжения Президента РФ, а также постановления Правительства РФ;
отраслевые нормативные документы, включающие в себя российские и международные стандарты, а также специальные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, касающиеся вопросов защиты информации;
локальные организационно-распорядительные документы, действующие в рамках отдельно взятой организации и (или) ИСПДн, например, должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности.
4.6.1.1Федеральные законодательные акты
Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Указ Президента Российской Федерации № 351 от 17 марта 2008 года «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Федеральный закон № 63-ФЗ от 6 апреля 2011 года «Об электронной подписи»;
Постановление Правительства Российской Федерации № 424 от 18 мая 2009 года «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»;
«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17 ноября 2007 г. № 781;
Приказ ФСТЭК России № 58 от 5 февраля 2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
4.6.1.2Отраслевые нормативные документы
«Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», ГОСТ Р ИСО/МЭК 27001-2006;
«Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», ГОСТ Р 51275-99;
«Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования», ГОСТ Р 51624-20;
«Требования к информационной безопасности электронного правительства в Республике Коми»;
Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
4.6.1.3Локальные организационно-распорядительные документы
Политика информационной безопасности РИАМС;
Акты классификации ИСПДн, входящих в состав РИАМС;
Модели угроз безопасности персональных данных ИСПДн, входящих в состав РИАМС;
Акты оценки соответствия ИСПДн, входящих в состав РИАМС, требованиям безопасности ПДн;
Оргштатная структура подразделений обеспечения информационной безопасности РИАМС;
Должностные инструкции сотрудников подразделений обеспечения информационной безопасности РИАМС.
Разработка локальных организационно-распорядительных документов должна быть возложена на оргструктурные подразделения Оператора РИАМС, ответственные за информационную безопасность РИАМС (см. разделы 4.6.2 и 5.3 настоящего документа).
4.6.2Организационная структура обеспечения информационной безопасности РИАМС
Деятельность по защите информации должна осуществляться специализированным подразделением под управлением Оператора РИАМС (см. раздел 5.3). Учитывая наличие в структуре Администрации Главы Республики Коми и Правительства Республики Коми Государственного бюджетного учреждения Республики Коми «Центр безопасности информации», функции по обеспечению информационной безопасности РИАМС целесообразно возложить на него. Для управления всеми аспектами защиты персональных данных РИАМС Оператору РИАМС совместно с ГБУ РК «Центр безопасности информации» необходимо издать совокупность документов, устанавливающих:
организационную структуру подразделения ГБУ РК «Центр безопасности информации», ответственного за информационную безопасность РИАМС;
права и обязанности пользователей и эксплуатирующего персонала в условиях функционирования системы защиты персональных данных (СЗПДн);
порядок проверки и обеспечения работоспособности СЗПДн.
При разработке организационной структуры обеспечения информационной безопасности РИАМС необходимо предусмотреть наличие специализированных организационных подразделений по обеспечению информационной безопасности в составе эксплуатационного персонала на объектах информатизации.
На объектах информатизации типов РЦОД, МЦОД-В, МЦОД-УП, МЦОД-И (Таблица 2) целесообразно предусмотреть создание выделенного структурного подразделения по обеспечению информационной безопасности. Организационное и методическое подчинение данного подразделения должно быть регламентировано Положением о подразделении конкретного объекта информатизации.
На объектах информатизации типов МЦОД-У и ЛПУ-С (Таблица 2) целесообразно предусмотреть создание выделенной оргштатной единицы «Администратор информационной безопасности» в составе эксплутационного подразделения объекта информатизации. Организационное и методическое подчинение данной оргштатной единицы должно быть регламентировано должностной инструкцией.
На объектах информатизации типа ЛПУ-Г (Таблица 2) целесообразно возложить обязанности по выполнению работ, связанных с обеспечением информационной безопасности на сотрудника эксплуатационного подразделения объекта информатизации. Организационное и методическое подчинение данного сотрудника должно быть регламентировано должностной инструкцией.
4.6.3Организационно-технические и режимные меры и методы
Для описания технологии защиты информации в РИАМС необходима разработка политики информационной безопасности РИАМС, представляющей собой совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется персонал РИАМС в своей деятельности.
Для формирования политики информационной безопасности на стадиях разработки, внедрения и эксплуатации ИСПДн, входящих в РИАМС, необходимо предусмотреть ряд приведенных ниже мероприятий.
На этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и средств защиты информации, необходимых для обеспечения безопасности персональных данных, необходимо провести классификацию ИСПДн.
Классификация ИСПДн проводится в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 операторами ИСПДн (оператор ИСПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющими обработку ПДн, а также определяющие цели и содержание обработки ПДн).
После определения класса системы, должна быть разработана модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», и проведена оценка актуальности угроз.
На основании присвоенного класса ИСПДн и разработанной модели угроз безопасности персональных данных должно быть разработано частное техническое задание на разработку средств защиты персональных данных (ЧТЗ СЗПДн).
На стадии проектирования и создания ИСПДн применяемые в системе технические и программные средства должны быть сертифицированы в соответствии с Приказом ФСТЭК России № 58 от 5 февраля 2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных». Кроме того, на этой же стадии должны быть определены подразделения и назначены лица, ответственные за эксплуатацию средств защиты информации, и организовано их обучение по направлению обеспечения безопасности ПДн.
На стадии ввода в действие информационных систем РИАМС в соответствии с Приказом ФСТЭК России № 58 от 5 февраля 2010 года необходимо провести оценку соответствия ИСПДн требованиям безопасности ПДн.
4.6.4Программно-технические способы и средства обеспечения информационной безопасности
Все программно-технические комплексы и средства обеспечения информационной безопасности РИАМС включаются в комплексную систему защиты персональных данных (СЗПДн).
Базовыми принципами построения архитектуры СЗПДн РИАМС являются:
централизованное управление системой защиты персональных данных информационной системы;
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
резервирование технических средств, дублирование массивов и носителей информации;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
применение программного обеспечения средств защиты информации, соответствующего 4 уровню контроля отсутствия недекларированных возможностей;
создание каналов связи, обеспечивающих защиту передаваемой информации;
аутентификация взаимодействующих по каналу связи информационных систем и проверка подлинности взаимодействующих по каналу связи пользователей, и целостности передаваемых взаимодействующих по каналу связи данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя;
защита информации от утечки по техническим каналам;
подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) с использованием межсетевых экранов;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие вредоносного программного кода («троянцы», компьютерные вирусы, прочее несанкцонированно модифицированное ПО и т.п.);
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
наличие специальных требований к инженерной инфраструктуре ИСПДн.
СЗПДн РИАМС должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений. Структура комплексной системы защиты персональных данных и требования к отдельным компонентам СЗПДн приведены в разделе 5.2.1 настоящего документа.
|
