2. Назначение и цели работ Назначением работ является организация системы защиты персональных данных и аттестации объекта информатизации, состоящего из автоматизированных рабочих мест в ТФОМС Тюменской области, в соответствии с требованиями действующего законодательства РФ. Целями работы являются:
исключение несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать хищение, утрата, утечка, уничтожение, изменение, блокирование, копирование, распространение персональных данных;
обеспечение постоянного доступа к персональным данным и средствам их обработки;
выполнение требований и подтверждение соответствия (аттестация) требованиям нормативных правовых актов Российской Федерации, руководящих и методических документов ФСТЭК России, ФСБ России, регламентирующих вопросы защиты персональных данных.
Система защиты персональных данных должна быть реализована в виде совокупности структурных подсистем, обеспечивающих безопасность персональных данных при их обработке в ИСПДн ТФОМС Тюменской области.
3. Характеристики объекта защиты Информационная система (ИС) ТФОМС Тюменской области представляет собой распределенную локальную вычислительную сеть. Головное административное здание располагается по адресу: 625000, Тюмень, ул. Советская, 65, корпус 2. ТФОМС Тюменской области имеет три региональных филиала и одно представительство:
1. Тюменское представительство. Адрес: г.Тюмень, ул.Советская, 65, корп.2, 5 этаж.
2. Ялуторовский региональный филиал. Адрес: г. Ялуторовск, ул. Свердлова, 54.
3. Ишимский региональный филиал. Адрес: г.Ишим, ул.Карла Маркса, 37/2.
4. Тобольский региональный филиал. Адрес: г.Тобольск, 3б микрорайон, 17/1. Информационная система ТФОМС Тюменской области представляет собой совокупность технических средств обработки и передачи информации, каналов передачи данных, автоматизированных рабочих мест (далее – АРМ) и серверов. АРМ и серверы, объединены в ЛВС, имеющую выход в сети общего пользования, в т.ч. в сеть международного информационного обмена Интернет.
АРМ и серверы функционируют под управлением операционных систем семейства Windows. Серверы работают под управлением ОС семейства Windows Server. На объекте защиты используется виртуализация. На объекте защиты используются антивирусные решения для защиты информации.
Передача информации между удаленными площадками осуществляется через общедоступные сети общего пользования. Условно, ИС ТФОМС Тюменской области можно разбить на следующие сектора:
Сектор АРМ, объединяет все компьютеризированные рабочие места пользователей ИС ТФОМС Тюменской области и оснащен, как тонкими клиентами на базе Windows Embeded с технологией сетевой загрузки, подключаемых к виртуальным рабочим столам посредством VMware Horizon Veiw, так и рабочими станциями на базе Windows XP. Сектор состоит из не менее 75 АРМ пользователей и обслуживающего персонала, располагающихся в головном административном здании и филиалах ТФОМС Тюменской области.
Сектор серверов и среды виртуализации, объединяет указанные ресурсы для выполнения задач ИСПДн и состоит из 15 физических серверов (по два физических процессора в каждом), объединенных в единый вычислительный кластер под управлением системы виртуализации компании VMware, располагающихся в серверном помещении головного административного здания;
Сектор каналов передачи данных, объединяет сетевое и коммутационное оборудование, необходимое для создания каналов связи между головным административным зданием и филиалами ТФОМС Тюменской области.
По режиму обработки информации информационные системы являются многопользовательскими. По разграничению прав доступа пользователей информационные системы являются системами с разграничением прав доступа.
Все технические средства информационной системы расположены в пределах государственной границы Российской Федерации.
Актуальные угрозы безопасности, которым подвержены персональные данные, обрабатываемые в информационных системах персональных данных, определяются в документе «Модель угроз и модель нарушителя», разрабатываемом Исполнителем.
Класс защищенности информационной системы определяется Исполнителем совместно с Заказчиком в соответствии с требованиями приказа ФСТЭК РФ от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Уровень защищенности персональных данных, обрабатываемых в информационных системах персональных данных, определяется Исполнителем в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 4. Требования к системе защиты персональных данных
|