| astra71 | Дата: Суббота, 23.02.2013, 20:25 | Сообщение # 1 |
 Генералиссимус
Группа: Администраторы
Сообщений: 28619
Репутация: 453
Статус: Offline
| ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ФКУ «Г ЛАВНОЕ БЮРО МЕДИКО-СОЦИАЛЬНОЙ ЭКСПЕРТИЗЫ ПО ТЮМЕНСКОЙ ОБЛАСТИ»
Бураков С. В.
ФКУ «ГБМСЭ по Тюменской области»
Как известно, что 27 июля 2006 года был принят Федеральный закон № 152 «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных с использованием и без использования средств автоматизации. В исходной редакции закона требовалось, чтобы все операторы, обрабатывающие персональные данные, к 1 января 2010 года привели свои информационные системы в соответствие с законодательством.
Работы по защите персональных данных (далее - ПДн) в нашем учреждении начали активно проводиться с августа 2009 года. Работа требовала специальных знаний в области защиты ПДн, времени для разработки документов и проведения мероприятий по защите ПДн.
Для выполнения работ один из сотрудников отдела информационностатистического обеспечения (далее - ИСО) был отправлен на курсы повышения квалификации. В штатном расписании должность инженера-электроника была заменена на должность администратора информационной безопасности.
Было подготовлено и подано в Роскомнадзор уведомление об обработке персональных данных. Приказом № 618 от 26 ноября 2009 учреждение было включено в реестр операторов персональных данных, который ведет Роскомнадзор.
В связи с тем, что опыта по созданию документов по защите ПДн в учреждении не было, а времени до вступления в силу ряда положений
закона «О персональных данных» оставалось мало, было принято решение привлечь специализированную фирму для подготовки необходимого пакета документов.
Приказом по учреждению создана комиссия для проведения классификации информационных систем ПДн, в которую вошли сотрудники нашего учреждения и представитель специализированной фирмы.
По итогам совместной работы проведено обследование информационных систем ПДн и составлен акт обследования.
В учреждении применялись следующие информационные системы:
- Информационная система (далее - ИС) «Журнал учета обращения граждан», где вносятся все обращения граждан в учреждение,
- ИС «Парус-бюджет» для бухгалтерского и кадрового учета,
- ИС «ФМБА России: Персонифицированный учет»,
- АИС МСЭ.
Всем информационным системам были присвоены классы защищенности. АИС МСЭ был присвоен первый класс защищенности. Остальные информационные системы получили второй и третий класс защищенности.
Приказами для каждой информационной системы персональных данных (далее - ИСПДн) был назначен «Администратор защиты информационной системы персональных данных», эта обязанность возложена на администратора информационной безопасности отдела ИСО, а также назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационных системах, им стал начальник отдела ИСО.
Был определен и утвержден приказом перечень ПДн, обрабатываемых в каждой информационной системе.
Разработаны два положения о защите ПДн, а именно: «Положение о защите персональных данных граждан, пришедших на освидетельствование» и «Положение о защите персональных данных работников». Сотрудники учреждения ознакомлены с принятыми положениями. Вновь принимаемые сотрудники в отделе ИСО проходят инструктаж по защите ПДн, и по окончанию инструктажа ставится отметка в заявлении о приеме на работу.
Приказом утверждены пофамильные списки сотрудников учреждения, допущенных к обработке ПДн. Изменения в приказ вносятся при приеме на работу и увольнении сотрудников.
В должностные инструкции всех специалистов, имеющих отношение к информационным системам ПДн, были внесены дополнения, касающиеся их обязанностей при обработке ПДн.
Еще один из важных документов - «Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных», где перечислены все необходимые технические и организационные меры по организации бесперебойной работы и доступности информационной системы.
Разработана модель угроз ИСПДн на основе нормативнометодических документов ФСТЭК России, которая содержит систематизированный перечень угроз безопасности, возможность применения и принятых мероприятиях по защите.
Итогом всего первоначального этапа работы стало создание Технического задания на разработку средств защиты информационной системы персональных данных и Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных.
Техническое задание содержало все необходимые средства защиты информации, а также временные затраты по настройке оборудования, программных средств и проведения аттестационных испытаний ИСПДн.
Была проведена калькуляция необходимых затрат на закупку оборудования, выполнение работ по настройке и проведению аттестационных испытаний. Все затраты были включены в смету на 2010 год.
Согласно изменениям в закон «О персональных данных» срок для приведения информационных систем в соответствие с законодательством был перенесен на 1 января 2011 года, т.е. необходимые работы нужно было провести в 2010 году.
Однако в начале 2010 года до учреждения были доведены лимиты бюджетных обязательств, которыми затраты на закупку технических средств защиты информации и проведение необходимых работ не были предусмотрены.
Было принято решение своими силами провести тот объем работ, который не требовал больших материальных затрат. А именно:
1. Установлены пароли на вход в операционную систему, на
доступ к ИСПДн и проведена смена паролей для учетной записи «Администратор».
2. Установлены пароли на BIOS и антивирусную программу.
3. Установлена ограниченная учетная запись для пользователей, которая не позволила самостоятельно устанавливать программное обеспечение. Ограниченная учетная запись уменьшила количество обращений на сбои операционной системы, но осложнила работу по установке обновления на компьютеры, особенно программного комплекса АИС МСЭ.
Разработчикам пришлось доработать процесс установки обновления.
Также был закуплен дистрибьютив антивирусной программы, имеющий все необходимые документы и сертификаты для применения в информационных системах первого класса защищенности. На всех компьютерах и серверах было установлено сертифицированное антивирусное программное обеспечение. Использование антивирусного программного обеспечения потребовало разработки и утверждения Положения о системе антивирусной защиты.
Также был назначен администратор сетевого антивирусного центра.
В течение всего 2010 года мы старались экономить денежные средства и в конце года смогли провести закупку необходимого программно-аппаратного комплекса ViPNet фирмы Инфотекс:
- один ViPNet-координатор HW1000
- пять ViPNet-координаторов HW100
- ViPNet Администратор для развертывания и администрирования защищенной виртуальной сети
- три ViPNet клиента для установки на компьютеры специалистов отдела ИСО.
Администратор информационной безопасности прошел обучение на курсах «Администрирование системы защиты информации ViPNet». С января 2011 года сотрудниками отдела ИСО началось внедрение в учреждении программно-аппаратного комплекса ViPNet.
В главном бюро был установлен координатор на базе HW1000, в бюро установлены координаторы HW100.
Внедрение этого программно-аппаратного комплекса позволило организовать защищенный канал связи в соответствии с требованиями законодательства между всеми бюро и главным бюро, настроить защищенный канал связи между нашим учреждением и другими ведомствами, а также обеспечить использование сертифицированного межсетевого экрана.
В связи с изменением наименования учреждения, принятием поправок от 25 июля 2011 года в Федеральный закон «О персональных данных», а также формы уведомления об обработке персональных данных были подготовлены и отправлены изменения сведений об операторе ПДн в Роскомнадзор.
Приказом Роскомнадзора № 66 от 7 февраля 2012 в реестр операторов персональных данных внесены изменения.
21 марта 2012 г. принято постановление Правительства Российской Федерации № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». В целях исполнения этого документа были разработаны и утверждены приказом по учреждению «Правила рассмотрения запросов субъектов персональных данных или их представителей».
В начале 2012 года был введен в эксплуатацию новый 4-этажный экспертный корпус федерального казенного учреждения «Главное бюро медико-социальной экспертизы по Тюменской области». Новый корпус объединил под одной крышей 10 бюро, а в смежном здании остались экспертные составы и отделы. Это, конечно, улучшило обстановку по защите ПДн. В новом корпусе в коридорах и по периметру здания установлена система видеонаблюдения. Все кабинеты находятся под охранной сигнализацией, прописана система доступа сотрудников в каждое помещение.
В кабинетах медсестер каждого бюро для хранения текущей картотеки актов освидетельствования установлены специальные шкафы-купе, которые закрываются на ключ и не позволяют получить доступ посторонним людям. На первом этаже здания организована централизованная регистратура, в которой не предусмотрено хранение актов освидетельствования, а принятые от граждан документы размещаются до момента передачи в бюро МСЭ в закрывающихся на ключ шкафчиках. Выделены помещения для архива с металлическими дверями, прописан доступ в архив.
Введена в эксплуатацию новая серверная, в которой имеются охранная сигнализация, система резервного электропитания на базе дизель-генератора, система газового пожаротушения и система кондиционирования воздуха со 100% резервированием. В новой серверной будет смонтировано все серверное и сетевое оборудование для обеспечения бесперебойного функционирования информационных систем.
Таким образом, специалистами учреждения был выполнен максимально возможный объем работ, который не требовал больших финансовых затрат. Дальнейшие мероприятия по защите ПДн требуют закупки и установки специальных технических средств защиты информации в соответствии с нормативными актами контролирующих организаций.
| | |
| |
