| astra71 | Дата: Суббота, 23.02.2013, 20:34 | Сообщение # 1 |
 Генералиссимус
Группа: Администраторы
Сообщений: 28604
Репутация: 453
Статус: Offline
| ПРАКТИЧЕСКИЕ ВОПРОСЫ ОРГАНИЗАЦИИ СИСТЕМЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФКУ «ГБ МСЭ ПО ЧЕЛЯБИНСКОЙ ОБЛАСТИ»
Клейменова Н.В., Нуриахметов Д.С.
ФКУ «ГБМСЭ по Челябинской области»
При предоставлении государственной услуги по проведению медико-социальной экспертизы (далее - МСЭ), федеральные казенные учреждения МСЭ получают значительный объем информации, относимой к персональным данным (далее - ПДн). ПДн содержатся практически во всех документах, предоставляемых в бюро МСЭ: в паспорте, направлении на МСЭ, амбулаторной карте и других.
В ФКУ «ГБ МСЭ по Челябинской области» (далее - Учреждение) вопросами работы с ПДн (получателей государственной услуги по проведению медико-социальной экспертизы и сотрудников Учреждения) занимается инженер по защите информации, которым инициировано утверждение необходимых локальных нормативных актов и инструкций, регламентирующих порядок работы с ПДн.
Работа с ПДн в Учреждении требует соответствия используемых информационных систем законодательству Российской Федерации по вопросам обработки и защиты персональных данных. С этой целью были приняты следующие меры:
1. Проведена классификация информационных систем персональных данных (далее - ИСПДн) согласно Порядку проведения классификации информационных систем персональных данных, утвержденному совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
2. Были разработаны модели угроз ИСПДн (в соответствии с Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн и Методикой определения угроз безопасности ИСПДн, утвержденными ФСТЭК России).
3. Для защиты ПДн от несанкционированного доступа (далее - НСД) использованы следующие методы и способы (в соответствии с Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 05 февраля 2010 г. № 58):
• Была установлена система допуска пользователей к информационным системам ПДн и связанным с их использованием ресурсам: программным, программно-аппаратным средствам и документам (утверждены Положения, регламентирующие порядок доступа сотрудников к информационной системе ПДн);
• В должностные инструкции сотрудников, которым необходим доступ к ПДн, обрабатываемым в ИСПДн для выполнения служебных обязанностей, были внесены соответствующие изменения;
• Ограничен доступ пользователей в помещения, где размещены технические средства, а также хранятся носители информации (утвержден список лиц, допущенных к работе на объектах информатизации);
• Для защиты информационных систем первого и второго классов ПДн от НСД был использован программный продукт Secret Net, позволяющий модифицировать схему Асйуе Directory для централизованного управления системой, организовать работу с локальными журналами, получать информацию о состоянии защищаемых компьютеров и о действиях пользователей, оповещать о событиях НСД и обеспечивать реализацию защитных механизмов компьютера.
• Осуществляется межсетевое экранирование информационных систем ПДн второго класса: внутри локальной сети на рабочие стации был установлен VipNet Personal Firewall, внешнее межсетевое экранирование реализовано посредством программного обеспечения Traffic Inspector (обе программы имеют сертификаты ФСТЭК России, подтверждающие возможность использования в информационных системах ПДн до второго класса включительно).
Проходит апробацию программный комплекс VipNet, имеющий сертификат ФСТЭК России, подтверждающие возможность использования в информационных системах ПДн первого класса включительно, как средство межсетевого экранирования.
• В целях исключения хищений, подмены и уничтожения ПДн был организован учет и хранение носителей ПДн и их обращения (введены приказы об утверждении мест хранения, а также ведения журнала учета электронных носителей). Также было принято решение об использовании специальных номерных сигнальных устройств в виде наклеек, при снятии которых проявляется надпись «вскрыто». Каждая наклейка имеет реквизиты: уникальный порядковый номер, наименование Учреждения, дату опломбировки и подпись опечатывающего лица;
• Для организации защищенной сети между структурными подразделениями был использован программный комплекс VipNet (в режиме тестирования), полученный в рамках второго этапа контракта между ФМБА России и ООО «РБК-ЦЕНТР», что позволяет Учреждению оперативно осуществлять обмен данными;
• Организована физическая охрана помещений и технических средств, осуществляющих обработку персональных данных (помещения сдаются под охрану, составлен список лиц, имеющих право вскрывать помещения, установлены решетки, замки на шкафы);
• Приняты меры по предотвращению внедрения вредоносных программ в информационные системы ПДн (установлены сертифицированные ФСТЭК России антивирусные программные средства - Eset NOD 32 Antivirus, разработана инструкция по антивирусной защите);
• Проводятся работы по внедрению систем резервного копирования информации, составляющей ПДн, а также анализа угроз уязвимости информационным системам ПДн.
4. Обеспечена информационная доступность для получателей государственной услуги и специалистов Учреждения к сведениям о работе с ПДн. На официальном сайте Учреждения в разделе «Персональные данные» представлен пакет основных документов по федеральным и локальным нормативным актам, регламентирующим работу с ПДн. Выдержки из нормативно-правовой базы размещены на информационных стендах бюро МСЭ. Вопросы работы с ПДн регулярно
рассматриваются на научно-практических конференциях, организуемых для сотрудников МСЭ экспертными составами.
Основные трудности, с которыми была связана организации работы с ПДн в Учреждении, можно сформулировать следующим образом:
1. Территориальные особенности Челябинской области: огромная площадь, отдаленность ряда населенных пунктов от областного и районных центров, на базе которых размещены бюро МСЭ - филиалы ФКУ «ГБ МСЭ по Челябинской области». В связи с чем наиболее актуальным является вопрос транспортировки бумажных носителей ПДн. В настоящее время любые передвижения ПДн регламентированы положением о транспортировке ПДн.
2. Медицинские учебные заведения при подготовке специалистов не освещают в должном объеме вопросы работы с ПДн, в связи с чем возрастают риски возможных нарушений законодательства в данной сфере. Вследствие чего инженером по защите информации дополнительно проводится комплексный инструктаж сотрудников Учреждения для повышения уровня знаний в сфере работы с ПДн.
3. Работа с веб-ресурсами «Портал МСЭ» и «АРМ сотрудников медицинских учреждений» не позволяет осуществлять обмен информацией, содержащей ПДн, в защищенном режиме. В связи с этим ФКУ «ГБ МСЭ по Челябинской области» было вынуждено приостановить работу с Порталом в части выгрузки информации, содержащей ПДн (заявлений на обжалование решений Учреждения).
Специалисты системы здравоохранения по этой же причине не могут в полной мере использовать веб-ресурс «АРМ сотрудников медицинских учреждений» для отправки направлений на медико-социальную экспертизу. В настоящее время рассматривается возможность внедрения пилотного проекта «Межведомственное электронное взаимодействие на региональном уровне» посредством VipNet («Деловая почта») со всеми заинтересованными ведомствами.
Значение электронного межведомственного взаимодействия для Учреждения переоценить трудно, так как оно позволит поднять качество оказания государственной услуги на новый уровень: в частности, появится возможность предварительно оценить качество оформления направлений на МСЭ, заблаговременно запросить недостающие сведения, согласовать время и место освидетельствования, что в значительной мере ускорит процесс получения государственной услуги.
4. Несоответствие помещений, в которых расположены средства криптографической защиты, требованиям нормативных документов ФСБ России.
5. Существует проблема в получении лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации, так как при этом требуется наличие специально обученных сотрудников в штате Учреждения, а также контрольно-измерительного, производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК России.
Аутсорсинг по обслуживанию технических средств защиты для Учреждения влечет значительные регулярные финансовые затраты. Ранее аналогичные трудности были в части получения лицензии ФСБ России на обслуживание шифровальных (криптографических) средств. Однако с апреля 2012 г. наличие указанной лицензии необязательно при условии, что техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица (Постановление Правительства Российской Федерации от 16 апреля 2012 г. № 313).
Таким образом, ФКУ «ГБ МСЭ по Челябинской области» значительное внимание уделяет вопросам работы с персональными данными, особенно в части обеспечения их защиты. Полученные результаты обозначили перечень проблем и определили направления дальнейшей работы по совершенствованию организации деятельности Учреждения в условиях региона.
| | |
| |
