Разработка политики информационной безопасности в Министерстве здравоохранения РФ - Дипломная работа

Общей целью защиты ПДН является предотвращение или снижение величины ущерба, наносимого субъекту ПДН или оператору ИСПДН вследствие реализации угроз безопасности ПДН. Данная цель должна быть достигнута путем доработки СЗИ ИАС ЦА МЗРФ до уровня показателей защищенности ИСПДН, предъявляемых к СЗПДН в виде определенной группы технических требований, устанавливаемых в зависимости от актуальных угроз безопасности и класса типовой ИСПДН и направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДН. Частными целями защиты ПДН, обеспечивающими достижение общей цели по защите ПДН в ИСПДН ИАС ЦА МЗРФ, являются: - предотвращение несанкционированного уничтожения, искажения, копирования, блокирования ПДН; При разработке политики ИБ ИАС МЗСР РФ использовались также следующие документы: - Федеральный закон Российской Федерации от 27 июля 2006 г.В состав ИАС ЦА МЗРФ входят следующие системы обработки ПДН: ИС «Информационно-аналитическая система Минздравсоцразвития России» (далее - ИАС МЗСР РФ) включающая в себя: o подсистему мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета; информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, миелолейкозом, рассеянным склерозом, а также после трансплантации органов и (или) тканей; В ИАС ЦА МЗРФ обрабатываются персональные данные субъектов, обращающихся за медицинской помощью в медицинские учреждения различных уровней, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, в том числе информацию о состоянии здоровья, а также данные работников сферы здравоохранения, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. по наличию подключений к сетям информационного международного обмена, ИСПДН относится к категории систем, имеющих подключения. по режиму обработки информации (ПДН), ИСПДН относится к категории многопользовательских. по разграничению прав доступа в системе, ИАС ЦА МЗРФ относится к системам с разграничением прав доступа. в ИСПДН осуществляется автоматизированная обработка ПДН. В соответствии с «Моделью угроз безопасности ПДН для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)», «Положением о методах и способах защиты информации в информационных системах персональных данных», а также «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности ПДН при их обработке в ИСПДН с использованием средств автоматизации» мероприятия по обеспечению безопасности ПДН при их обработке в ИСПДН реализуются в рамках следующих подсистем СЗПДН ИАС ЦА МЗРФ: управления доступом;2 Положения [6] безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Характеристики ИСПДН ИАС ЦА МЗРФ, защищаемые ресурсы ИСПДН ИАС ЦА МЗРФ, угрозы утечки ПДН по техническим каналам, угрозы НСД к информации ИСПДН ИАС ЦА МЗРФ рассмотрены в «Модели угроз безопасности персональных данных при их обработке в «Информационно-аналитической системе Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации»[13]. Нарушитель может действовать на различных этапах жизненного цикла информационных ресурсов, средств защиты информации, криптосредств (СКЗИ) и СФК, используемых в ИСПДН. Все остальные физические лица, имеющие доступ к техническим и программным средствам ИСПДН ИАС ЦА МЗРФ, могут быть отнесены к следующим категориям: - категория I - лица, не имеющие права доступа в КЗ и осуществляющие доступ к ресурсам ИСПДН ИАС ЦА МЗРФ изза пределов КЗ; зарегистрированные пользователи ИСПДН с полномочиями администратора безопасности ИСПДН; программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДН; разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДН.Согласно п.17 «Порядка проведения классификации информационных систем персональных данных» [9], в случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. В соответствии с этими требованиями данная специальная ИСПДН ИАС ЦА МЗР соответствует классу К1-информационная система, для котор

Общей целью защиты ПДН является предотвращение или снижение величины ущерба, наносимого субъекту ПДН или оператору ИСПДН вследствие реализации угроз безопасности ПДН.

Данная цель должна быть достигнута путем доработки СЗИ ИАС ЦА МЗРФ до уровня показателей защищенности ИСПДН, предъявляемых к СЗПДН в виде определенной группы технических требований, устанавливаемых в зависимости от актуальных угроз безопасности и класса типовой ИСПДН и направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДН.

Частными целями защиты ПДН, обеспечивающими достижение общей цели по защите ПДН в ИСПДН ИАС ЦА МЗРФ, являются: - предотвращение несанкционированного уничтожения, искажения, копирования, блокирования ПДН;

- обеспечение целостности и достоверности ПДН в системах обработки. При разработке политики ИБ ИАС МЗСР РФ использовались также следующие документы: - Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [9];

- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [5];

- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» [6];

- «Отчет об обследовании информационно-аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации»[8];

- «Модель угроз безопасности ПДН для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)» [13].