Организационно-распорядительные документы для проведения мероприятий по аттестации системы, как ИСПДн класса K1 в соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 Содержание №п/п 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. Наименование документа Технический паспорт на ИСПДн Приказ о назначении ответственного за обеспечение безопасности персональных данных Приказ об утверждении списка лиц, имеющих доступ к персональным данным Описание технологического процесса обработки информации в ИСПДн с учетом применения СЗИ Перечень защищаемых ресурсов ИСПДн Матрица доступа, либо иные правила разграничения доступа Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн Приказ о создании комиссии по классификации системы Акт классификации ИСПДн по требованиям безопасности информации Положение по обработке персональных данных Форма уведомления об обработке персональных данных Форма письменного согласия субъекта персональных данных на обработку его персональных данных Данные по уровню подготовки кадров, обеспечивающих защиту информации Данные о техническом обеспечении средствами контроля эффективности защиты информации Форма акта об уничтожении персональных данных субъекта персональных данных Журнал учета и выдачи носителей с ключевой информацией Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПДн Журнал учета носителей информации Инструкция пользователя ИСПДн Инструкция по организации парольной защиты ИСПДн Инструкция администратора безопасности информации ИСПДн Инструкция по организации антивирусной защиты ИСПДн Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИСПДн Инструкции по эксплуатации средств защиты информации Модель нарушителя и модель угроз Лицензии и сертификаты на используемые СЗИ 2 Страница 3 10 11 13 21 23 24 32 33 34 44 46 47 48 49 50 52 54 56 58 59 61 63 65 66 110 УТВЕРЖДАЮ Руководитель ЛПУ « » 2013г. ТЕХНИЧЕСКИЙ ПАСПОРТ информационной системы персональных данных СОГЛАСОВАНО Руководитель, ответственный за защиту персональных данных « 3 » 2013г. 1. ОБЩИЕ СВЕДЕНИЯ ОБ ОБЪЕКТЕ 1.1. Наименование объекта: Медицинская информационная система Республики Башкортостан, название ЛПУ 1.2. Расположение объекта: г. ___________, ул. ____________________, помещение № ____. 1.3. Классификация объекта: «Акт классификации…» - уч. № ____ от __.__.2013. Класс защищенности: 1. 1.4. Сведения о вводе объекта в эксплуатацию. ИСПДн введена в эксплуатацию в 2013 году. 2. СОСТАВ ОБОРУДОВАНИЯ. 2.1. Состав ОТСС объекта: ПЕРЕЧЕНЬ основных технических средств и систем входящих в состав АРМ. Таблица 1 № п/п Тип ОТСС 1. Системный блок 2. Монитор 3. Клавиатура 4. Мышь 5. Сетевое оборудование Заводской номер 2.2. Состав ВТСС: ПЕРЕЧЕНЬ 4 Размещение ОТСС на объекте В соотв. с планом размещения В соотв. с планом размещения В соотв. с планом размещения В соотв. с планом размещения В соотв. с планом размещения Примечание вспомогательных технических средств, установленных в помещении № _______. Таблица 2 № п/п, условное обозначение к плану Тип ВТСС Заводской (серийный) номер Размещение ВТСС на объекте Примечание В соотв. с планом размещения В соотв. с планом размещения В соотв. с планом размещения В соотв. с планом размещения В соотв. с планом размещения 1. 2. 3. 4. 5. 2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта: В соответствии с «Планом размещения технических средств в помещении № _____» и «Планом расположения линий и коммуникаций в помещении № _____». Контролируемая зона определена «Планом контролируемой зоны» 2.4. Размещение ОТСС и ВТСС: В соответствии с «Планом размещения технических средств в помещении № ____» и «Планом расположения линий и коммуникаций в помещении № _____». 5 План размещения технических средств в помещении № ______ 6 План расположений линий и коммуникаций в помещении № ______ 7 2.5. Системы энергопитания и заземления: _______________________________________________________ 8 2.6. Состав средств защиты информации: ПЕРЕЧЕНЬ технических и программных средств для защиты информации Таблица 3 № п/п 1. 2. Наименование и тип средства Заводской номер Сведения о сертификате Сертификат соответствия №2797 от 27.12.2012г. сроком действия до 27.12.2015г., выдан ФСТЭК России Сертификат соответствия №СФ/114-1470 от 09.05.2010г. сроком действия до 09.05.2016г., выдан ФСБ России СОДС «Марш!» Программный комплекс «ViPNet Координатор КС2 Linux» Место и дата установки 3. 3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации. - «Протокол аттестационных испытаний …»: аттестационные испытания не проводились; - «Заключение по результатам аттестационных испытаний…»: аттестационные испытания не проводились; - «Аттестат соответствия …»: аттестация не проводилась. 9 4. УЧЕТ ПРОВЕДЕНИЯ РЕГЛАМЕНТНЫХ ПРОВЕРОК Таблица 4 № п/п Наименование организации, проводившей проверку Дата проведения проверки 1 10 Номер протокола Примечание 5. ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ Таблица 5 Порядковый № и дата введения изменений Наименование документа, фиксирующего изменения. №№ замененных (исправленных) листов формуляра 11 Подпись лица, внесшего изменения. ПРИКАЗ « » г. Уфа 2013г. №_______ О проведении работ по защите персональных данных в название ЛПУ В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в название ЛПУ: П Р И К А З Ы В А Ю: 1) Назначить ответственных за обработку персональных данных в информационных системах персональных данных. 2) Список лиц ответственных за обработку персональных данных должен быть определен на основании Отчета по результатам внутренней проверки. 3) Осуществлять доступ лиц ответственных за обработку персональных данных в соответствии с установленными правилами. 4) Разработать и внедрить инструкции пользователей, осуществляющих обработку персональных данных в информационных системах персональных данных. 5) Осуществлять регистрацию обращений субъектов персональных данных в Журнале учета обращений субъектов персональных данных о выполнении их законных прав. 6) Контроль за исполнением настоящего приказа возложить на ФИО и должность сотрудника ЛПУ. ____________ ____________ _____________ (должность) (подпись) (Ф.И.О.) 12 ПРИКАЗ « » г. Уфа 2013г. №_______ О проведении работ по защите персональных данных в название ЛПУ В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в название ЛПУ: П Р И К А З Ы В А Ю: 1. Утвердить список лиц, имеющих доступ к персональным данным в название ЛПУ (Приложение №1). 2. Контроль за исполнением настоящего приказа возложить на ФИО и должность сотрудника ЛПУ. _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) Приложение 1 13 Список лиц, имеющих доступ к персональным данным №п/п Ф.И.О. Должность Примечание ФИО сотрудников, которым выдали МАРШи _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 14 УТВЕРЖДАЮ « » 2013г. Описание технологического процесса обработки информации в ИСПДн Наименование и расположение объекта: Медицинская информационная система Республики Башкортостан Наименование медицинского учреждения: название ЛПУ. Адрес: фактический адрес. Назначение, решаемые задачи: Основу ИСПДн медицинского учреждения (МУ) составляет региональная медицинская информационная система (прикладной компонент регионального уровня единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)) – типовое решение для медицинской информационно-аналитической системы (МИАС) региона, назначением которой является: – централизованное предоставление государственных услуг в здравоохранении населению и организациям через единый портал; – автоматизации процесса сбора, хранения и анализа данных о случаях оказания медицинской помощи гражданам; – формирование и поддержка актуальности единого банка данных случаев оказания медицинской помощи и паспортов МУ; – ведение единой электронной медицинской карты гражданина; – ведение специализированных регистров по заболеваниям и карт диспансерного наблюдения; – автоматизация учетной и отчетной медицинской деятельности МУ, муниципалитета, региона; – поддержка системы финансирования МУ в системе ОМС региона за фактически оказанную медицинскую помощь на основании персонифицированных реестров; – поддержка информационного обмена в системе обеспечения необходимыми лекарственными средствами за счет федерального и регионального бюджетов; – учет движения медикаментов в системе здравоохранения региона, в том числе в системе обеспечения необходимыми лекарственными средствами (ОНЛС) (дополнительное лекарственное обеспечение (ДЛО)); – организация, мониторинг и управление потоками пациентов при оказании плановой и экстренной медицинской помощи населению; – мониторинг деятельности здравоохранения и состояния здоровья граждан; 15 – автоматизированный контроль качества и доступности оказания медицинской помощи; – централизованное предоставление государственных услуг в здравоохранении населению и организациям по принципу «единого окна»; – обмен информацией с другими информационными системами. Использование ИСПДн имеет целью решение комплекса задач по следующим направлениям: – снижение финансовых и трудовых затрат на обеспечение процессов сбора и обработки информации путем автоматизации административной и медицинской деятельности МУ; – поддержка принятия врачебных решений, раннее диагностирование заболеваний, своевременное оказание медицинской помощи пациентам различных групп риска; – повышение доступности медицинской помощи и качества обслуживания на этапе обращения пациента в МУ, а также повышение эффективности использования ресурсов МУ за счет организации и управления потоками пациентов при оказании плановой медицинской помощи населению; – централизация мониторинга показателей деятельности системы здравоохранения и повышение эффективности управления на основе полной, достоверной и оперативной информации о деятельности МУ региона; – поддержка системы финансирования МУ в системе ОМС региона за фактически оказанную медицинскую помощь на основании персонифицированных реестров; – централизация системы ведомственной и вневедомственной экспертизы на основании истории лечения пациента; – повышение информированности населения по вопросам получения медицинской помощи, качества обслуживания в медицинских организациях. В рамках ИСПДн эксплуатируются следующие подсистемы МИС: – функциональная компонента «Амбулаторно-поликлинические отделения МУ» (далее ФК «Поликлиника»); – функциональная компонента «Стационарные отделения МУ» (далее ФК «Стационар»); – функциональная компонента «Электронная регистратура» (далее ФК «ЭР»); функциональная компонента «Запись на прием». Расположение объекта информатизации. Организация охраны и контроля доступа. Объект информатизации расположен в (наименование здания, например – Административном) здании в жилом районе г. Уфа по адресу: адрес здания. Проход лиц в здание медицинского учреждения осуществляется через главный вход. Документами, дающими право на проход (вход, выход) в здание, являются (указать документы, например – пропуск). Прилегающая к зданию территория огорожена забором из (Материал забора). На окнах первого и частично второго этажей здания установлены металлические решётки. Здание круглосуточно находится под охраной __________________________. Пункт дежурного оборудован: – кнопкой тревожной сигнализации; – пультом для постановки, наблюдения и снятия режима охраны помещений, которые оборудованы охранной и пожарной сигнализацией. 16 Используемые программные средства. Состав программного обеспечения рабочей станции (клиента): – операционные системы: MS Windows XP/ Vista/ 7, Linux, MacOS X; – браузер: MS Internet Explorer 7/8/9, Mozilla Firefox 3/4/5/6/7…, Google Chrome 14…, Apple Safari 5…, Opera 11… и выше. Состав программного обеспечения мобильного устройства (клиента): – операционные системы: iOS 4.x/5, Android 2.x/3…, Windows Phone 7; – браузер с поддержкой html5. Состав программного обеспечения сервера приложений: – операционные системы MS Windows Server 2003/2008/Linux – веб-сервер – Apache, Microsoft IIS, Tomcat, nginx. Состав программного обеспечения сервера СУБД: – операционные системы MS Windows Server 2003/2008; – СУБД – Microsoft SQL Server 2008 и выше. Антивирусная защита. Антивирусная защита осуществляется с применением программных средств _________________, в соответствии с Инструкцией по организации антивирусной защиты. Источники данных. Подсистема ФК «Поликлиника» (или ФК «Стационар») Источниками данных для подсистемы ФК «Поликлиника» (или ФК «Стационар») являются: – сведения, вводимые с клавиатуры; – информация, поступающая по защищенным каналам связи из систем внешнего информационного взаимодействия: ФИО пациента, адрес проживания, паспортные данные, место работы. Подсистема ФК «ЭР» Источниками данных для подсистемы ФК «ЭР» являются: – сведения, вводимые с клавиатуры; – информация, поступающая по защищенным каналам связи из систем внешнего информационного взаимодействия: ФИО пациента, адрес проживания, паспортные данные, место работы. – 17 Обеспечение безопасности информации. В целях обеспечения безопасности обрабатываемых защищаемых ресурсов в ИСПДн Медицинская информационная система Республики Башкортостан установлены средства защиты, описанные в Техническом паспорте ИСПДн. Настройку средств защиты информации от несанкционированного доступа (СЗИ от НСД) для возможности их использования конкретными пользователями, контроль их работы, диагностику и устранение неисправностей или сбоев в работе программного или аппаратного обеспечения осуществляет администратор безопасности ИСПДн. Функции, права, обязанности администратора безопасности ИСПДн, а также порядок ремонта и модернизации регламентируются специально разработанными инструкциями, утверждаемыми руководителем учреждения. Повседневный контроль защищенности информации от НСД проводится администратором безопасности ИСПДн. Контроль осуществляется с помощью штатных средств СЗИ от НСД. Основным средством контроля является анализ журналов безопасности. Доступ пользователей к работе в ИСПДн Медицинская информационная система Республики Башкортостан название ЛПУ осуществляется в строгом соответствии со списком утвержденных лиц, ответственных за обеспечение защиты персональных данных, или лицом, исполняющим эти обязанности. Допускается наличие только постоянных пользователей. Программирование, учет выдачи персональных электронных идентификаторов СЗИ и контроль за их наличием возлагается на администратора безопасности ИСПДн ________________________________. Доступ к информационным ресурсам. Общие сведения Система подразделяется на следующие сегменты: – серверный сегмент – содержит комплекс инфраструктурных серверов и серверов приложений, предназначенных для обработки информации ИСПДн; – пользовательский сегмент – содержит АРМ пользователей, осуществляющих доступ к серверным приложениям и непосредственно выполняющих функциональные обязанности по обработке данных, возложенные на ИСПДн. Уровень обработки данных представлен промышленной реляционной СУБД со стандартным интерфейсом доступа (SQL). Клиентская и серверная части построены на основе веб-технологий и отвечают следующим требованиям: – вся работа пользователя с системой обеспечивается по технологии «тонкий клиент» посредством веб-интерфейса на единой для всех участников информационного обмена базе данных; – обеспечивается кэширование справочников на клиентских рабочих местах для минимизации входящего трафика у клиента; – обеспечивается кэширование экранных форм на клиентских рабочих местах для минимизации входящего трафика у клиента; – взаимодействие клиентской части с сервером приложений осуществляется с помощью технологии асинхронных запросов; – пользователи системы с одинаковыми правами имеют одинаковый доступ к информации при любом территориальном расположении; 18 – любые изменения в базе данных содержат информацию о времени и пользователе, который произвел данные изменения; – обеспечивается ролевой доступ пользователей к функциям и данным МИС; – обеспечивается аудит событий и просмотр журнала действий пользователей; – сервер веб-приложений функционирует на свободно распространяемых технологиях и операционной системе Linux; – обеспечивается централизованное управления регистрами и справочниками. Доступ пользователей ИСПДн Медицинская информационная система Республики Башкортостан название ЛПУ (далее по тексту – Пользователь) к обрабатываемым персональным данным определяется на основании списка пользователей ИСПДн и перечня защищаемых информационных ресурсов. Права доступа к информационным ресурсам назначаются каждому Пользователю на основании разрешительной системы доступа, описанной в «Положении о разграничении прав доступа». При увольнении Пользователя или переходе в другое подразделение администратором ИСПДн на основании приказа в последний день работы Пользователя (или иной день, указанный в приказе) производится удаление учетной записи Пользователя и всех его ресурсов (за исключением необходимых для работы других пользователей ИСПДн). Вход в систему осуществляется с использованием средства обеспечения доверенной загрузки ОС (ОС загружается из защищённой от записи памяти клиентского средства обеспечения доверенного сеанса «МАРШ!» и установленным VPN соединением с использованием VipNet координатор KC2 Linux (далее – «МАРШ!»), жёсткий диск компьютера не используется). Защита серверов ИСПДн обеспечивается с использованием ПАК СЗИ НСД «АккордWin64». Защитные функции комплекса реализуются применением: дисциплины защиты от НСД серверов, включая: – идентификацию пользователя по уникальному ТМ-идентификатору; – аутентификацию с учетом необходимой длины пароля и времени его жизни; – аппаратный (до загрузки ОС) контроль целостности технических средств, программ и данных на жестком диске (в том числе системных областей диска и модулей программной части комплекса); – ограничение времени доступа субъекта к серверу в соответствии с установленным режимом работы пользователей; – блокировку несанкционированной загрузки серверов с отчуждаемых носителей (FDD, CD-ROM, ZIP-drive, USB-disk и др.); процедур блокирования экрана и клавиатуры по команде пользователя или по истечению установленного интервала «неактивности» пользователя; дисциплины разграничения доступа к ресурсам сервера в соответствии с установленными правилами разграничения доступа и определяемыми атрибутами доступа, которые устанавливаются администратором безопасности ИСПДн в соответствие каждой паре «субъект доступа-объект доступа» при регистрации пользователей; контроля целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций); средств функционального замыкания информационных систем, т. е. создания изолированной программной среды за счет использования защитных механизмов комплекса. 19 Начало сеанса работы Перед началом сеанса работы пользователь подключает к ПЭВМ клиентское средство обеспечения доверенного сеанса «МАРШ!» и включает ПЭВМ. Производится доверенная загрузка ОС из защищенной от записи памяти «МАРШ!». Регистрация пользователей и назначение прав доступа Новые пользователи получают персональное имя пользователя и пароль у администратора соответствующей подсистемы. Зарегистрированный Пользователь устанавливает свой личный пароль, состоящий из цифр, букв и специальных символов, не несущий смысловой нагрузки, удовлетворяющий требованиям Инструкции по организации парольной защиты. Каждый Пользователь должен хранить свой пароль втайне и сменить его в случае дискредитации. Права доступа к информационным ресурсам назначаются каждому Пользователю на основании разрешительной системы доступа, описанной в соответствующей документации. Удаление Пользователя выполняется однократно при необходимости выведения сотрудника из числа пользователей соответствующей подсистемы ИСПДн. Работа с сервисами подсистем Для запуска подсистемы на рабочем месте Пользователь вводит в адресную строку браузера соответствующий URL-адрес. После этого подсистема отображает страницу с формой авторизации. В форме «Авторизация» Пользователь вводит в соответствующие поля имя учетной записи пользователя (логин) и пароль и осуществляет вход в подсистему. После выполнения указанных процедур Пользователь получает возможность работать с сервисами подсистем в соответствии с назначенными ему полномочиями. Программное обеспечение функциональных компонентов обеспечивает выполнение следующих функций: – авторизация и аутентификация пользователя в системе; – поиск и идентификация человека в регистре граждан, в том числе в регистре застрахованных по ОМС; – отображение во всех списковых формах для записей персональных данных и признаков: фамилия; имя; отчество; дата рождения; признак наличия записи о человеке в региональном сегменте единого регистра застрахованных граждан; признак наличия федеральной и/или региональной льготы. – корректировку персональных данных гражданина по допустимым для редактирования атрибутам; – ведение регистра прикрепленного населения; – ведение учета случаев амбулаторно-поликлинического лечения пациента в медицинском учреждении; – автоматизация рабочего места врача: просмотр списка записанных пациентов на прием на дату, на диапазон дат; 20 печать (печать списка записанных пациентов по выбранному периоду); запись пациента (на выбранные дату и время); удаление записи (выбранного в списке пациента); возможность поиска пациентов, записанных на прием; просмотр журналов; и др. Обрабатываемые в ИСПДн данные обеспечивают стандартные возможности анализа информации с использованием современных технологий. Нормативно-справочная информация соответствует требованиям действующих нормативно-правовых актов, регламентирующих содержание соответствующих справочников и классификаторов. ИСПДн поддерживает хранение истории изменения всех атрибутов пациента для последующего использования этих данных при формировании отчетов (реестров). Информационный обмен между компонентами ИСПДн обеспечивает постоянный доступ к информации клиентам в соответствии с предоставленными им правами доступа, возможность обработки этой информации и управления ею. Завершение сеанса работы Для завершения работы с подсистемой Пользователь нажимает кнопку закрытия окна соответствующего веб-приложения подсистемы в браузере. По завершении работы на ПЭВМ Пользователь выполняет штатную процедуру завершения работы ОС, выключает ПЭВМ. Использование систем управления базами данных Система управления базами данных (СУБД), используемая для управления оперативными базами данных функциональных компонент, входящих в состав ИСПДн обеспечивает: – масштабируемость: отсутствие существенного снижения скорости выполнения пользовательских запросов при пропорциональном росте количества запросов и аппаратных ресурсов, используемых данной СУБД (таких как объем оперативной памяти, количество процессоров и серверов); – надежность: минимальную вероятность сбоев, наличие средств восстановления данных после сбоев, инструментов резервного копирования и дублирования данных. Наличие таких функций, как зеркалирование БД, кластеризация с переключением на резервный ресурс, создание снимков БД (повышение эффективности оперативной работы, минимизация простоев и обеспечение постоянной готовности важнейших корпоративных систем); – управляемость: простоту администрирования, наличие средств автоматического конфигурирования (средств создания баз данных и их объектов, инструменты описания правил репликации данных между различными серверами, утилиты управления пользователями, группами пользователей и их правами, средства мониторинга событий, средства просмотра планов выполнения запросов, утилиты миграции из других СУБД), единую консоль управления, интеграцию с базовой инфраструктурой; – безопасность: безопасные настройки по умолчанию, реализацию политики паролей, гранулярное управление разрешениями; – открытость: поддержку доступа к данным с помощью Web-служб и поддержку стандартных механизмов доступа к данным (таких как ODBC, JDBC, OLE DB, ADO .NET); 21 – эффективность работы разработчиков: расширенный набор поддерживаемых языков, возможности расширения, оптимизация доступа к данным, структура приложений; – интеграцию: прозрачное представление данных из разнородных источников. – анализ: оперативный анализ данных (OLAP), создание сложных аналитических моделей и интеграцию их в бизнес-операции. – составление отчетности: высокопроизводительное ядро обработки и форматирования отчетов, полный набор средств создания, управления и просмотра отчетов, наращиваемую архитектуру и открытые интерфейсы для встраивания отчетов или интеграции решений по составлению отчетности в разнотипные ИТ-среды. Защита от ошибочных действий пользователя В ИСПДн обеспечивается защита от ошибочных действий пользователей и исключается возможность нарушения функционирования при неправильных действиях. Для защиты данных от ошибочных действий пользователей в ИСПДн: – при обнаружении ошибок в действиях пользователей выдается сообщение с информацией, достаточной для исправления ошибки; – выполняется логический контроль данных при вводе, в зависимости от установленных параметров контроля; – протоколируются действия пользователей по добавлению, изменению и удалению документов. Резервное копирование В ИСПДн обеспечивается сохранность данных при всех аварийных ситуациях. При возникновении аварийных ситуаций обеспечивается восстановление базы данных до состояния на момент последней завершенной транзакции. В случае повреждения журналов транзакций СУБД обеспечивается восстановление состояния МИС на момент создания последней резервной копии данных, но не более чем за сутки до момента сбоя. Резервное копирование информации выполняется средствами системного программного обеспечения (операционных систем, систем управления базами данных). Резервное копирование осуществляется автоматизировано с установленной периодичностью (по расписанию), задаваемой администратором системы. ИСПДн полноценно функционирует при отказе внешних каналов связи с использованием резервной локальной базы данных. После восстановления каналов связи производится синхронизация информации между резервной базой данных и единой базы данных транзакционных медицинских систем. Переход на резервную локальную базу данных осуществляется автоматизировано администратором путем вызова соответствующей функции АРМ администратора и/или запуска внешнего сценария из пакетного файла. _____________ (должность) ____________ _____________ (подпись) 22 (Ф.И.О.) УТВЕРЖДАЮ « » 2013г. ПЕРЕЧНЬ ЗАЩИЩАЕМЫХ РЕСУРСОВ ИСПДН № п/п 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Наименование сведений Примечание фамилия имя отчество дата рождения признак наличия федеральной и/или региональной льготы сведения, связанные с учетом посещений пациентами МУ (дата, место посещения, цель посещения, вид оплаты) сведения, связанные с учетом медицинских услуг, оказанных пациенту (место выполнения, наименование услуги, вид оплаты, количество) сведения, связанные с учетом данных о диагнозах, поставленных пациенту сведения, связанные с учетом данных о направлении на амбулаторно-поликлиническое лечение выписка листов и справок о временной нетрудоспособности сведения, связанные с учетом данных о результатах лечения сведения, связанные с учетом данных о госпитализации: вид оплаты, дата поступления, данные о направлении, кем доставлен, дефекты догоспитального этапа, диагнозы направившего учреждения сведения, связанные с учетом данных из приемного отделения сведения, связанные с учетом данных о движении пациента по отделениям, по узким койкам, по палатам сведения, связанные с учетом данных о направлении на стационарное лечение сведения, связанные с учетом выписанных листов и справок о временной нетрудоспособности сведения, связанные с учетом данных об исходе госпитализации и выписке и др. имя _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 23 УТВЕРЖДАЮ « » 2013г. МАТРИЦА ДОСТУПА СОТРУДНИКОВ К ЗАЩИЩАЕМЫМ ИНФОРМАЦИОННЫМ РЕСУРСАМ ИСПДН «Медицинская информационная система Республики Башкортостан» № п/п 1. Наименование АРМ Здание, № помещения Условное имя пользователя (группы) АРМ регистрат уры Главный корпус, каб. №2 ivanova Наименование защищаемых информационных ресурсов (логические диски, каталоги, программы, устройства и т.п.) Тип доступа (чтение, запись, выполнение, удаление и др.) C:\ priem Чтение Запись C:\Новая папка Чтение Выполнение Примечани е 2. _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 24 УТВЕРЖДАЮ « » 2013г. ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОРГАНИЗАЦИИ И ПРОВЕДЕНИЮ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 25 Общие положения. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 № 781, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687, и предназначено для регулирования работ по защите персональных данных и обеспечения функционирования ИСПДн Медицинская информационная система Республики Башкортостан в соответствии с требованиями действующего федерального законодательства. Действие Положения распространяется на ИСПДн Медицинская информационная система Республики Башкортостан название ЛПУ, в которой осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таковых. В настоящем Положении используются следующие термины и понятия: – персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); – обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; – автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; – оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; – информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; – обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Настоящее Положение вступает в силу с момента его утверждения руководителя название ЛПУ и действует бессрочно до замены его новым Положением. Все изменения в Положение вносятся приказом руководителя название ЛПУ. 23 Категории обрабатываемых персональных данных. Персональные данные, обрабатываемые в Медицинской информационной системе Республики Башкортостан название ЛПУ, относятся к сведениям конфиденциального характера. Состав персональных данных, обрабатываемых в название ЛПУ, определен в «Перечне защищаемых ресурсов ИСПДн». Основные условия обработки персональных данных. Обработка персональных данных осуществляется: – после получения согласия субъекта персональных данных, составленного по форме согласно «Типовой форме письменного согласия субъектов персональных данных на обработку их персональных данных», за исключением случаев, предусмотренных частью 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; – после принятия необходимых мер по защите персональных данных. В ИСПДн приказом руководителя назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных. Лица, допущенные к обработке персональных данных, под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме согласно приложению А к настоящему Положению. Запрещается: – обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке; – осуществлять ввод персональных данных под диктовку. – Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации Обработка персональных данных в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в зависимости от категории обрабатываемых данных и их количества. Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии: – утвержденных организационно-технических документов о порядке эксплуатации ИСПДн, включающих акт классификации ИСПДн, инструкции пользователя, администратора безопасности и администратора ИСПДн; – настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты и других программных и технических средств в соответствии с требованиями безопасности информации; – охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных. 24 Порядок обработки персональных данных без использования средств автоматизации Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных. При неавтоматизированной обработке персональных данных на бумажных носителях: – не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы; – персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков); – документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных; – дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия: – типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки; – типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на их обработку); – типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации. Электронные носители информации, содержащие персональные данные, учитываются в «Журнале учета съемных носителей персональных данных». При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: – при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих 25 распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; – при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Бумажные носители персональных данных уничтожаются в присутствии членов постоянно действующей экспертной комиссии с оформлением «Акта об уничтожении персональных данных» по следующей процедуре: – включение каждого отобранного к уничтожению документа (дела) отдельной позицией в акт; – оформление в акте итоговой записи с указанием количества уничтожаемых документов (дел); – письменное согласование акта с руководителями структурных подразделений название ЛПУ, направивших запрос на уничтожение бумажных носителей; – подписание акта членами постоянно действующей экспертной комиссии. Перед непосредственным уничтожением бумажных носителей персональных данных членами постоянно действующей экспертной комиссии должна быть осуществлена сверка носителей с описью, приведенной в акте уничтожения. Бумажные носители персональных данных уничтожаются в присутствии членов постоянно действующей экспертной комиссии в составе не менее 3 человек, принимавших участие в сверке (проверке) документов и дел, подлежащих уничтожению. После уничтожения документов члены постоянно действующей экспертной комиссии производят запись в акте об уничтожении, заверяют ее своими подписями. Уничтожение документов производится путем сожжения, дробления, растворения или химического разложения, превращения в бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в кусочки площадью не более 2,5 кв. мм. Доступ к персональным данным Доступ сотрудников к персональным данным субъектов персональных данных Сотрудники название ЛПУ получают доступ к персональным данным субъектов персональных данных исключительно в объеме, необходимом для выполнения своих должностных обязанностей. Список сотрудников название ЛПУ, имеющих доступ к персональным данным субъектов персональных данных, приведен в «Положении о разграничении прав доступа к обрабатываемым персональным данным ИСПДн». Перечень подразделений и сотрудников, допущенных к работе с персональными данными, обрабатываемыми в название ЛПУ, разрабатывается и пересматривается по 26 мере необходимости (изменение организационно-штатной структуры, введение новых должностей и т. п.) на основании заявок начальников структурных подразделений. Сотруднику название ЛПУ, должность которого не включена в перечень подразделений и сотрудников, допущенных к работе с персональными данными, но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом руководителя название ЛПУ может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя сотрудника. Сотрудник название ЛПУ получает доступ к персональным данным субъектов персональных данных после: – ознакомления и изучения требований настоящего Положения и иных внутренних нормативных документов по защите персональных данных в части, его касающейся; – прохождения инструктажа о соблюдении правил обработки персональных данных; – ознакомления с видами ответственности за нарушение (невыполнение) норм законодательства РФ в сфере обработки персональных данных. Доступ субъектов персональных данных к персональным данным В процессе основной деятельности ИСПДн непрерывно взаимодействует с субъектами персональных данных, требуя от субъекта поддержания своих персональных данных в актуальном состоянии. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в Медицинской информационной системе Республики Башкортостан название ЛПУ. Данные сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случае нарушения при таковом доступе конституционных прав и свобод других субъектов персональных данных. Право на получение информации, касающейся обработки персональных данных, действует на протяжении всего срока обработки персональных данных (включая хранение), предусмотренного действующим законодательством Российской Федерации. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с персональными 27 данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания. В случае нарушения установленного федеральным законодательством порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрены административные штрафы. 28 Приложение А ОБЯЗАТЕЛЬСТВО о неразглашении информации, содержащей персональные данные Я,_____________________________________________________________________, (Ф.И.О. сотрудника) исполняющий (ая) должностные обязанности по замещаемой должности _____________________________________________________________________________, (должность, наименование структурного подразделения) предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства: 1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей. 2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику. 3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды. 4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных. Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации. _________________________________ (фамилия, инициалы) ________________ (подпись) «_________»______________ ____г. 29 ПРИКАЗ « » г. Уфа 2013г. №_______ О проведении работ по защите персональных данных в название ЛПУ В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в название ЛПУ: П Р И К А З Ы В А Ю: 1. Назначить комиссию по классификации автоматизированных (информационных) систем обработки персональных данных в следующем составе: Председатель комиссии: ФИО и должность сотрудника ЛПУ Члены комиссии: ФИО и должность сотрудника ЛПУ ФИО и должность сотрудника ЛПУ ФИО и должность сотрудника ЛПУ 2. В своей работе комиссии руководствоваться требованиями действующих нормативнометодических документов по защите информации. 3. Контроль за исполнением настоящего приказа возложить на ФИО и должность сотрудника ЛПУ. _____________ (должность) ____________ (подпись) 30 ______________________ (Ф.И.О.) УТВЕРЖДАЮ « » 2013г. Акт классификации информационной системы персональных данных Медицинская информационная система Республики Башкортостан название ЛПУ Исходные данные для классификации данных: информационной системы персональных Обрабатываемые персональные данные Категория обрабатываемых персональных данных Объем обрабатываемых персональных данных Структура информационной системы Режим обработки персональных данных Режим разграничения прав доступа пользователей к информационной системе Наличие подключения информационной системы к сетям связи общего пользования и сетям международного информационного обмена. Место нахождение технических средств информационной системы Дополнительные информация Тип информационной системы персональных данных: ФИО, адрес проживания, паспортные данные, ИНН, должность, состояние здоровья, информация о болезнях. 1 1 Локальная информационная система Многопользовательский Система с разграничение доступа Имеет подключения В пределах Российской Федерации К персональным данным предъявляется требование целостности и (или) доступности Специальная На основании анализа исходных данных информационной системы и в соответствии с классификацией утвержденной приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», а также с учетом модели угроз информационной системе присвоен 1 класс. Председатель комиссии: Члены комиссии: 31 УТВЕРЖДАЮ _______________________ _______________________ « » 2013г. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 32 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящее Положение по обработке персональных данных (далее - Положение) медицинского учреждения (далее - организация) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка организации. 1.2. Цель разработки Положения — определение порядка обработки персональных данных работников организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании свих полномочий; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. 1.3. Порядок ввода в действие и изменения Положения. 1.3.1. Настоящее Положение вступает в силу с момента его утверждения руководителем организации. 1.3.2. Все изменения в Положение вносятся приказом. 1.4. Все работники организации, которые участвуют в обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись. 1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении определенного срока их хранения, или продлевается на основании заключения экспертной комиссии организации, если иное не определено законом. 2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1. Для целей настоящего Положения используются следующие основные понятия: Персональные данные субъекта - любая информация, относящаяся к определенному лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая организации в связи с договорными отношениями; Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов; Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания; 33 Распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным лиц каким-либо иным способом; Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц; Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи; Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных субъектов; Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту; Общедоступные персональные данные персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Информация - сведения (сообщения, данные) независимо от формы их представления. Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель. 2.2. В состав персональных данных субъектов входят документы, содержащие информацию о паспортных данных, образовании, семейном положении, месте жительства, состоянии здоровья. 3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 3.1. Обработка персональных данных субъекта – получение, хранение, комбинирование, передача или любое другое использование персональных данных физического лица. Обработка персональных данных субъекта осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренными законодательством РФ и актами организации, а также осуществления основной деятельности организации. 3.2. Организация не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 34 24 Конституции Российской Федерации организация вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия. Организация не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. При принятии решений, затрагивающих интересы субъекта, организация не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. 3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 ФЗ РФ "О персональных данных", обработка персональных данных осуществляется организацией без письменного согласия субъекта, за исключением случаев, предусмотренных федеральным законом. Получение 3.4. Все персональные данные о субъекте организация может получить у него самого. 3.5. Субъект обязан предоставлять организации достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Организация имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у организации документами. 3.6. В случаях, когда организация может получить необходимые персональные данные субъекта только у третьей стороны, организация должна уведомить об этом субъекта и получить от него письменное согласие по установленной форме. Примечание: Согласия субъекта на получение его персональных данных от третьих лица не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с организацией; когда третьи лица оказывают услуги организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением. Организация обязана сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Хранение персональных данных субъекта 3.7. Персональные данные субъекта хранятся в едином банке данных (центр обработки данных (ЦОД)), который отвечает за взаимодействие с субъектом. 3.8. Сотрудник организации, имеющий доступ к персональным данным субъектов в связи с исполнением трудовых обязанностей: Обеспечивает хранение информации, содержащей персональные данные субъекта, исключающее доступ к ним третьих лиц. 35 В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов (соблюдение "политики чистых столов"). При уходе в отпуск, служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов лицу, на которое локальным актом организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. Примечание: В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения. При увольнении сотрудника, имеющего доступ к персональным данным субъектов, документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения. Использование (доступ, передача, комбинирование и т.д.) персональных данных субъекта 3.9. Доступ к персональным данным субъекта имеют сотрудники организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников к персональным данным утверждается приказом по организации. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя организации, доступ к персональным данным субъекта может быть предоставлен иному сотруднику, который не включен в приказ, который назначает ответственных сотрудников для доступа к персональным данным субъекта, и которым они необходимы в связи с исполнением трудовых обязанностей. 3.10. В случае если организации оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются организацией только после подписания с ними соглашения о неразглашении конфиденциальной информации. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных субъекта. 3.11. Процедура оформления доступа к персональным данным включает в себя: ознакомление сотрудника под роспись с настоящим Положением. Примечание: При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление работника под роспись. 36 истребование с сотрудника (за исключением руководителей организации) письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки, подготовленного по установленной форме. 3.12. Сотрудники организации, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные субъекта, которые необходимы им для выполнения конкретных трудовых функций. 3.14. Допуск к персональным данным субъектов других сотрудников организации, не имеющих надлежащим образом оформленного доступа, запрещается. 3.15. Сотрудник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Сотрудник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей. 3.16. Передача (обмен и т.д.) персональных данных между подразделениями организации осуществляется только между сотрудниками, имеющими доступ к персональным данным субъектов. Доступ к персональным данным субъекта третьих лиц (физических и юридических) 3.18. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, которое оформляется по установленной форме и должно включать в себя: фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование и адрес организации, получающего согласие субъекта; цель передачи персональных данных; перечень персональных данных, на передачу которых дает согласие субъект; срок, в течение которого действует согласие, а также порядок его отзыва. Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта; когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с организацией; когда третьи лица оказывают услуги организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением. 3.19. Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия, оформленного по установленной форме. Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с организацией; когда третьи лица оказывают услуги 37 организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением. 3.20. Сотрудники организации, передающие персональные данные субъектов третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные субъектов. Акт составляется по установленной форме, и должен содержать следующие условия: уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена; предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами. Передача документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение: договора на оказание услуг организации; соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных субъекта; письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные субъекта, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию. Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет сотрудник организации, а также руководитель структурного подразделения, осуществляющего передачу персональных данных субъекта третьим лицам. 3.21. Представителю субъекта (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов: нотариально удостоверенной доверенности представителя субъекта; письменного заявления субъекта, написанного в присутствии сотрудника отдела кадров организации (если заявление написано субъектом не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено). Доверенности и заявления хранятся в отделе кадров в личном деле субъекта. 3.22. Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением. 3.23. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ. 38 3.24. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений. 4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается организацией. 4.2. Общую организацию ________________. защиты персональных данных лиц осуществляет 4.3. Ответственный сотрудник обеспечивает: ознакомление сотрудников, которые участвуют в обработке персональных данных, под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление сотрудника под роспись. истребование с сотрудников (за исключением лиц, указанных в пункте 3.13 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки. общий контроль за соблюдением сотрудниками организации мер по защите персональных данных субъекта. 4.4. Организацию и контроль за защитой персональных данных физических лиц в структурных подразделениях организации, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители. 4.5. Защите подлежит: информация о персональных данных субъекта; документы, содержащие персональные данные субъекта; персональные данные, содержащиеся на электронных носителях. 4.6. Защита сведений, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системой защиты персональных данных. 5. ПРАВА УЧАСТНИКОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 5.1. Сотрудник организации имеет право: 39 5.1.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные сотрудника. 5.1.2. Требовать от организации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для организации персональных данных. 5.1.3. Получать от организации сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. 5.1.3. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия организации при обработке и защите его персональных данных. 5.2. Субъект, персональные данные которого обрабатываются в организации, имеет право: 5.1.1. Получать доступ к своим персональным данным и ознакомление с ними. 5.1.3. Получать от организации сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия организации при обработке и защите его персональных данных. 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 6.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных субъектов, определяются также должностными инструкциями. 5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами. 5.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам организации, не имеющим к ним доступа), их публичное раскрытие, 40 утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) организации, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения. Сотрудник организации, имеющий доступ к персональным данным субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба организации (п.7 ст. 243 Трудового кодекса РФ). 5.4. Сотрудники организации, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ. _____________ ____________ _____________ (должность) (подпись) (Ф.И.О.) 41 Уведомление об обработке (о намерении персональных данных 42 осуществлять обработку) Согласие на обработку персональных данных _________________________________________________________________ (Наименование оператора, получающего согласие субъекта персональных данных) _________________________________________________________________ (Адрес оператора) __________________________________________________________________ (Ф.И.О. субъекта персональных данных) _________________________________________________________________ (Адрес, где зарегистрирован субъект персональных данных) _________________________________________________________________ (Номер основного документа, удостоверяющего его личность, сведения о дате выдачи документа и выдавшем его органе) Даю своё согласие на обработку следующих персональных данных: _________________________________________________________________ (Перечень персональных данных) с целью:_____________________________________________________________ (Указывается цель обработки персональных данных) Даю своё согласие на совершение следующих действий с моими персональными данными (ненужное зачеркнуть): сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Даю своё согласие на использование следующих способов обработки моих персональных данных (ненужное зачеркнуть): - с использованием средств автоматизации (автоматизированная обработка); - без использования средств автоматизации (неавтоматизированная обработка); - смешанная обработка. Срок, в течение которого действует согласие: _____________________________ (Указывается срок действия согласия) В случае неправомерных действий или бездействия оператора настоящее согласие может быть отозвано мной заявлением в письменном виде. Дата:_____________ _____________ (подпись) 43 ________________________ (инициалы, фамилия) Данные по уровню подготовки кадров название ЛПУ, обеспечивающих защиту информации № п/п ФИО Должность Образование, учебное заведение, специальность 1 2 3 4 _____________ (должность) « » ___________ 201_г. Переподготовка, повышение квалификации 5 ____________ (подпись) _____________ (Ф.И.О.) МП 45 Стаж работы/ № договора Стаж работы по (контракта) и дата его защите заключения информации 6 9 Данные о техническом обеспечении название ЛПУ средствами контроля эффективности защиты информации № п/п Наименование Назначение Тип, изготовитель Заводской № 1 2 3 4 5 1. 2. 3. 4. 5. _____________ (должность) « ____________ (подпись) _____________ (Ф.И.О.) » ___________ 201_г. МП 46 № сертификата соответствия, срок действия, № знака соответствия 8 УТВЕРЖДАЮ __________________________________ _____________ (подпись) «__» __________ 20__г. Акт об уничтожении персональных данных Комиссия в составе: Председатель – ____________________________________________________ Члены комиссии – __________________________________________________ провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации, записанная на них в процессе эксплуатации информация, подлежит гарантированному уничтожению: № п/п Дата Тип носителя Регистрационный номер носителя ПДн Примечание Всего съемных носителей ____________________________________________ (цифрами и прописью) На указанных носителях персональные данные уничтожены путем ____________________________________________________________________. (стирания на устройстве гарантированного уничтожения информации и т.п.) Перечисленные носители ПДн уничтожены путем ___________________________________________________________________. (разрезания, сжигания, механического уничтожения и т.п.) Председатель комиссии: _________________ /____________/ Члены комиссии: _________________ /____________/ _________________ /____________/ 47 УТВЕРЖДАЮ « » 2013г. ЖУРНАЛ УЧЕТА И ВЫДАЧИ НОСИТЕЛЕЙ С КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ Журнал начат «____» ____________________ 200__ г. Должность ______________________ / ФИО должностного лица / Журнал завершен «____» _________________ 200__ г. Должность ____________________ / ФИО должностного лица/ На _____ листах № п/п Номера экземпляров (криптографические номера) ключевых документов Номера серий криптографических ключей Наименование СКЗИ Отметка о получении От кого получены Дата и номер сопроводительного письма Отметка о выдаче ФИО пользователя 1. 2. 3. 4. 5. 48 Дата Отметка об уничтожении ключевых документов Дата уничтожения ФИО пользователя СКЗИ, производившего уничтожение Номер акта или расписка об уничтожении № п/п Номера экземпляров (криптографические номера) ключевых документов Номера серий криптографических ключей Наименование СКЗИ Отметка о получении От кого получены Дата и номер сопроводительного письма Отметка о выдаче ФИО пользователя 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 49 Дата Отметка об уничтожении ключевых документов Дата уничтожения ФИО пользователя СКЗИ, производившего уничтожение Номер акта или расписка об уничтожении УТВЕРЖДАЮ _______________________ _______________________ « » 2013г. Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПДн «Медицинская информационная система Республики Башкортостан» название ЛПУ 50 № ФИО Дата 51 Цель обращения УТВЕРЖДАЮ _______________________ _______________________ « » 2013г. Журнал учета носителей информации информационной системы персональных данных «Медицинская информационная система Республики Башкортостан» название ЛПУ 52 Учетный номер Дата постановки на учет Подпись принявшего на учет Вид носителя информац ии Отметка о получении носителя N и Откуда дата поступолу пил (N чеи дата ния сопроводительного письма) Местонахождение носителя информации Состав информации на носителе информации 53 Ответственный за хранение Фами- Под- Дата лия пись Отметка об обратном приеме Отметка об отправке (куда направлен, N и дата сопроводительного письма), уничтожении (N и дата акта) УТВЕРЖДАЮ « » 2013г. ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ИСПДН Общие положения Пользователь ИСПДн «Медицинская информационная система Республики Башкортостан» название ЛПУ (далее – Пользователь) осуществляет обработку персональных данных в рамках этой ИСПДн. Пользователем является каждый сотрудник название ЛПУ (далее – Учреждение), участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты. Пользователь несет персональную ответственность за свои действия. Пользователь в своей работе руководствуется настоящей инструкцией, руководящими и нормативными документами ФСТЭК России и регламентирующими документами Учреждения. Методическое руководство работой Пользователя осуществляется ответственным за обеспечение защиты персональных данных. Должностные обязанности Пользователь обязан: 1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2. Выполнять на автоматизированном рабочем месте (АРМ) только те процедуры, которые определены для него в Положении о разграничении прав доступа к обрабатываемым ПДн. 3. Знать и соблюдать установленные требования по режиму обработки ПДн, учету, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов. 4. Соблюдать требования парольной политики (см. «Инструкцию по организации парольной защиты»). 5. Экран монитора в помещении располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты). 6. Обо всех выявленных нарушениях, связанных с информационной безопасностью Учреждения, а также для получений консультаций по вопросам информационной 54 безопасности, обращаться к администратору безопасности по внутреннему телефону _______. 7. Для получения консультаций по вопросам работы и настройке элементов ИСПДн необходимо обращаться к Администратору ИСПДн по внутреннему телефону __________. Пользователю запрещается: – разглашать защищаемую информацию третьим лицам; – копировать защищаемую информацию на внешние носители без разрешения своего руководителя; – самостоятельно устанавливать, тиражировать или модифицировать программное и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств; – подключать к АРМ и корпоративной информационной сети личные внешние носители и мобильные устройства; – отключать (блокировать) средства защиты информации; – обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн (см. «Положение о разграничении прав доступа»); – сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн; – привлекать посторонних лиц для производства ремонта или настройки АРМ без согласования с ответственным за обеспечение защиты персональных данных. Принимать меры по реагированию в случае возникновения нештатных и аварийных ситуаций с целью ликвидации их последствий в рамках возложенных на него функций. Правила работы в сетях общего доступа Работа в сетях общего доступа (далее – Сеть) на элементах ИСПДн должна проводиться при служебной необходимости. При работе в Сети запрещается: – осуществлять работу при отключенных средствах защиты (антивирус и других); – передавать по Сети защищаемую информацию без использования средств защиты каналов связи; – нецелевое использование подключения к Сети. _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 55 УТВЕРЖДАЮ « » 2013г. ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ Настоящая Инструкция определяет требования к организации парольной защиты ИСПДн «Медицинская информационная система Республики Башкортостан» название ЛПУ и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИСПДн, за их выполнение. Организация парольной защиты Личные пароли доступа к элементам ИСПДн выдаются пользователям Администратором безопасности информации ИСПДн. Полная плановая смена паролей в ИСПДн проводится не реже одного раза в 3 месяца. Правила формирования пароля: – пароль не может содержать имя учетной записи пользователя или какую-либо его часть; – пароль должен состоять не менее чем из 8 символов; – в пароле должны присутствовать символы из числа следующих четырех категорий: прописные буквы английского алфавита от A до Z; строчные буквы английского алфавита от a до z; десятичные цифры (от 0 до 9); символы, не принадлежащие алфавитно-цифровому набору (например, !, $, #, %); – запрещается выбирать пароли, которые уже использовались ранее. Правила ввода пароля: ввод пароля должен осуществляться с учётом регистра, в котором пароль был задан; – во время ввода паролей необходимо исключить возможность его подсматривания посторонними лицами. Правила хранения пароля: – запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах; – запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем. Лица, использующие паролирование, обязаны: – четко знать и строго выполнять требования настоящей инструкции; – своевременно сообщать Администратору безопасности информации ИСПДн о компрометации, несанкционированном изменении паролей и несанкционированном изменении сроков действия паролей. _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 56 УТВЕРЖДАЮ « » 2013г. ИНСТРУКЦИЯ АДМИНИСТРАТОРА БЕЗОПАСНОСТИ ИСПДН 1 Общие положения Настоящая инструкция определяет общие функции, права и обязанности администратора безопасности информации ИСПДн по вопросам обеспечения информационной безопасности при обработке информации, содержащей сведения конфиденциального характера (в том числе ПДн), на ПЭВМ, входящих в состав ИСПДн. Администратор безопасности информации ИСПДн (далее – Администратор безопасности) назначается из числа сотрудников название ЛПУ (далее – Учреждение) приказом руководителя Учреждения. Администратор безопасности подчиняется ФИО и должность его руководителя. Администратор безопасности имеет все права администратора СЗИ от НСД. Администратор безопасности в своей работе руководствуется настоящей инструкцией, Положением по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн, руководящими и нормативными документами ФСТЭК России. Администратор отвечает за поддержание необходимого уровня безопасности объектов защиты. Администратор безопасности является ответственным должностным лицом Учреждения, уполномоченным на проведение работ по защите информации и поддержанию достигнутого уровня защиты ИСПДн и ее ресурсов на этапах эксплуатации и модернизации. Требования Администратора безопасности, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми пользователями ИСПДн. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ИСПДн, состояние и поддержание установленного уровня защиты ИСПДн. 2 Должностные обязанности Администратор безопасности обязан: 1.Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации. 2.Обеспечивать установку, настройку и своевременное обновление элементов ИСПДн в соответствии с эксплуатационной документацией на аппаратные и программные средства защиты. 3.Осуществлять управление учетными записями пользователей ПЭВМ (удаление, регистрация новых пользователей) и разграничение прав доступа пользователей к защищаемым ресурсам ИСПДн. 4.Поддерживать установленный порядок и правила антивирусной защиты информации, обрабатываемой на ПЭВМ, в соответствии с Инструкцией по организации антивирусной защиты ИСПДн. 57 5.Контролировать смену пользователями ИСПДн их личных паролей для доступа к ПЭВМ в соответствии с Инструкцией по организации парольной защиты ИСПДн. 6.Обеспечивать функционирование и поддерживать работоспособность средств защиты в рамках возложенных на него функций. 7.В случае отказа работоспособности средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности. 8.Обеспечивать постоянный контроль за выполнением пользователями ИСПДн установленного комплекса мероприятий по обеспечению безопасности информации. 9.Информировать ответственного за обеспечение защиты персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн. 10.Требовать прекращения обработки информации как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования ИСПДн или средств защиты. 11.Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт. Техническое обслуживание и ремонт средств вычислительной техники, предназначенных для обработки персональных данных, проводятся организациями, имеющими соответствующие лицензии. 12.Присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними физическими людьми и организациями. 13.Принимать меры по реагированию в случае возникновения нештатных ситуаций и аварийных ситуаций с целью ликвидации их последствий. 14.Не допускать к работе на рабочих станциях и серверах структурного подразделения посторонних лиц. 15.Осуществлять контроль монтажа оборудования специалистами сторонних организаций. 16.Участвовать в приемке для нужд Учреждения новых программных средств. 17.При изменении конфигурации автоматизированной информационной системы вносить соответствующие изменения в паспорт ИСПДн. 18.Регистрировать факты выдачи внешних носителей в журнале учета выдачи внешних носителей. _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 58 УТВЕРЖДАЮ « » 2013г. ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ 1 Общие положения Настоящая Инструкция определяет требования к организации защиты ИСПДн «Медицинская информационная система Республики Башкортостан» название ЛПУ от разрушающего воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИСПДн, за их выполнение. 2 Применение средств антивирусного контроля В целях обеспечения сохранности и целостности данных в ИСПДн вводится контроль за отсутствием в программной и информационной среде ИСПДн компьютерных вирусов (антивирусный контроль). К использованию в ИСПДн допускаются только лицензионные антивирусные средства, централизованно закупленные у разработчиков (поставщиков) указанных средств. На автоматизированные рабочие места (АРМ) и серверы ИСПДн запрещается установка любого ПО, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации (см. «Описание технологического процесса обработки защищаемой информации»). Ответственность за поддержание установленного в настоящей инструкции порядка проведения антивирусного контроля возлагается на администратора безопасности ИСПДн, а в случае его отсутствия – на ответственного за эксплуатацию объекта в рамках его прав доступа. Установка и настройка параметров средств антивирусного контроля на компьютерах (серверах ИСПДн) осуществляется администратором безопасности ИСПДн в соответствии с руководствами по применению конкретных антивирусных средств. Администратор безопасности ИСПДн обязан осуществлять периодическое (не реже одного раза в неделю) обновление антивирусных средств и баз, а также контроль их работоспособности. Администратор безопасности ИСПДн обязан организовывать (проводить) периодическую (не реже одного раза в неделю) проверку всего установленного на АРМ и серверы ИСПДн программного обеспечения и информационных файлов на предмет отсутствия компьютерных вирусов. При обнаружении компьютерного вируса администратор безопасности ИСПДн проводит «лечение» зараженных файлов с использованием штатных антивирусных средств, затем повторяет процедуру проверки (сканирования) программной среды (в т. ч. информационных файлов) и всех носителей, которые могли быть заражены. 59 В случае обнаружения на отчуждаемом носителе информации нового вируса, не поддающегося уничтожению или «излечению», администратор безопасности ИСПДн запрещает использование этого носителя до появления антивирусных средств, позволяющих уничтожить новый вирус. В случае обнаружения на жестком магнитном диске АРМ (сервера) нового вируса, не поддающегося уничтожению или излечению, администратор безопасности ИСПДн ставит в известность заместителя начальника ФИО и должность для принятия совместного решения о дальнейших действиях. Пользователи ИСПДн перед началом работы с отчуждаемыми носителями информации обязаны проверить их на наличие (отсутствие) компьютерных вирусов. Права на запуск антивирусных программ в режиме проверки должны быть предоставлены всем пользователям ИСПДн. При обнаружении компьютерного вируса пользователь ИСПДн обязан: – приостановить работу на АРМ; – немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора безопасности ИСПДн, владельца зараженных файлов, а также смежные подразделения, использующие эти файлы в работе; – провести «лечение» или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь администратора безопасности ИСПДн); – по факту обнаружения зараженных вирусом файлов составить служебную записку, в которой указать предположительный источник (отправителя, владельца и т. д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса и выполненные антивирусные мероприятия. _____________ (должность) ____________ (подпись) 60 _____________ (Ф.И.О.) УТВЕРЖДАЮ « » 2013г. ИНСТРУКЦИЯ ПО УСТАНОВКЕ, МОДИФИКАЦИИ И ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И АППАРАТНЫХ СРЕДСТВ ИСПДН Настоящая инструкция определяет правила работ по установке, настройке техническому обслуживанию, ремонту, модернизации технических средств, входящих в состав ИСПДн «Медицинская информационная система Республики Башкортостан» название ЛПУ, предназначенной для обработки и хранения информации конфиденциального характера, включая персональные данные. Данные работы проводятся только с разрешения руководителя название ЛПУ или лица, исполняющего его обязанности, после согласования с ответственным за эксплуатацию объекта информатизации и администратором безопасности ИСПДн. Порядок проведения работ по установке техническому обслуживанию, ремонту, модификации Установка и настройка программного обеспечения и аппаратных средств осуществляется в соответствии с эксплуатационной документацией на программное обеспечение и аппаратные средства. Установка СЗИ производится на все автоматизированные рабочие места (АРМ) пользователей и серверы ИСПДн, на которых обрабатываются ПДн, доступ к которым необходимо ограничить исходя из актуальности угроз безопасности персональных данных. В случае, когда необходимо провести работы по техническому обслуживанию (ремонту, модификации) технических средств, входящих в состав ИСПДн, ответственный за эксплуатацию объекта представляет служебную записку на имя начальника подразделения, в которой: – указывает название и номер ПЭВМ (технического средства, системы), техническое обслуживание (ремонт, модификации) которой необходимо провести и с какой целью; – обосновывает необходимость технического обслуживания (модификации); – указывает планируемые место и сроки работ, режим их проведения; – перечисляет меры безопасности, которые будут реализованы при техническом обслуживании (ремонте, модификации) с целью недопущения доступа к конфиденциальной информации посторонних лиц. Служебная записка согласовывается с начальником или его заместителем. В случае если для проведения работ необходимо привлекать лиц, не имеющих постоянного допуска к работе на ПЭВМ или в помещение, составляется список сотрудников, который утверждается с начальником или его заместителем. 61 Запрещается выносить основные технические средства и системы с территории название ЛПУ без согласования с ответственным за эксплуатацию объекта информатизации и разрешения руководителя название ЛПУ. Вскрытие печатей на корпусе ПЭВМ или других технических средств (систем) и последующее опечатывание производится при условии присутствия комиссии, в состав которой включен ответственный за эксплуатацию объекта информатизации или администратор безопасности АС, о чём составляется акт. В акте указывается: – номер (название) помещения, в котором проводились работы, – дата и время начала и окончания работ, – лица, присутствовавшие при вскрытии и обслуживании (ремонте, модернизации), – наличие, целостность и места размещения печатей (пломб, специальных защитных знаков) до вскрытия ПЭВМ (технического средства, системы), – установленные неисправности, – виды и результаты проведенных работ, – замененные или отремонтированные узлы (детали), наличие на этих узлах специальных защитных знаков, – какими печатями (пломбами и т. д.) и в каких местах ПЭВМ (устройство) опечатано по окончании работ, – иная необходимая для дальнейшей работы и обеспечения безопасности информация. Если для ремонта (модификации) ПЭВМ (другого технического средства, системы, узла ПЭВМ) необходимо направить в специализированную организацию, комиссией составляется заключение. _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 62 УТВЕРЖДАЮ « » 2013г. ИНСТРУКЦИЯ ПО ЭКСПЛУАТАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ИСПДН Персонал ИСПДн осуществляет обслуживание и эксплуатацию ИСПДн по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности ИСПДн. Перед началом эксплуатации СЗИ необходимо, чтобы: – персонал ИСПДн был ознакомлен с рабочей документацией на технические и программные средства, включая соответствующие руководства; – администраторы были обучены механизмам администрирования безопасности специализированных средств защиты и штатных средств ИСПДн; – обслуживающий персонал и пользователи ИСПДн были обучены механизмам эксплуатации СЗИ; – все пользователи ИСПДн должны быть ознакомлены с регламентирующими правилами по обеспечению безопасности информации; – каждому пользователю должна быть объяснена его ответственность за нарушение правил по обеспечению безопасности информации, что позволит минимизировать влияние «человеческого фактора» на реализацию угроз ИБ (умышленное хищение, уничтожение и прочее); – перед началом эксплуатации должен быть проведен контроль знаний и навыков пользователей в части обеспечения безопасности информации; – администраторы ИБ периодически должны проводить плановые и внеплановые проверки выполнения пользователями требований по обеспечению ИБ в соответствии с согласованными с подразделением информатизации и утвержденными регламентами. Эксплуатация СЗИ осуществляется в соответствии с эксплуатационной документации на соответствующие технические средства, предоставляемой поставщиком (производителем). _____________ (должность) ____________ (подпись) _____________ (Ф.И.О.) 63 СОГЛАСОВАНО . УТВЕРЖДАЮ .2013 . .2013 МЕДИЦИНСКАЯ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКАЯ СИСТЕМА РЕСПУБЛИКИ БАШКОРТОСТАН ЧАСТНАЯ МОДЕЛЬ УГРОЗ И МОДЕЛЬ НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛЕЧЕБНО-ПРОФИЛАКТИЧЕСКОГО УЧРЕЖДЕНИЯ 64 УТВЕРЖДЕН МЕДИЦИНСКАЯ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКАЯ СИСТЕМА РЕСПУБЛИКИ БАШКОРТОСТАН МОДЕЛЬ УГРОЗ И МОДЕЛИ НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛЕЧЕБНО-ПРОФИЛАКТИЧЕСКОГО УЧРЕЖДЕНИЯ РЕГИОНА 65 СОДЕРЖАНИЕ 1 Общие положения .............................................................................................. 67 2 Описание информационной системы персональных данных ....................... 68 2.1 Назначение системы .................................................................................. 68 2.2 Цели и состав системы .............................................................................. 69 2.3 Cпособы и средства связи для информационного обмена между компонентами системы ....................................................................................... 70 2.4 Состав персональных данных, обрабатываемых в системе .................. 71 2.5 Архитектура системы ................................................................................ 72 2.6 Характеристика взаимосвязей с внешними системами ......................... 74 3 Перечень угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных ...................................... 76 4 Модель нарушителя безопасности персональных данных ............................ 81 4.1 Общие положения ...................................................................................... 81 4.2 Описание потенциального нарушителя................................................... 81 4.3 Типы нарушителей .................................................................................... 82 4.3.1 Классификация ......................................................................................... 82 4.3.2 Внешний нарушитель .............................................................................. 82 4.3.3 Внутренний нарушитель ......................................................................... 83 4.4 Каналы, используемые нарушителем для доступа к защищаемым ресурсам ................................................................................................................ 86 4.4.1 Возможные каналы доступа к ресурсам ................................................ 86 66 4.4.2 Каналы, используемые внутренним нарушителем для доступа к защищаемым ресурсам ...................................................................................... 87 4.4.3 Каналы, используемые внешним нарушителем для доступа к защищаемым ресурсам ...................................................................................... 87 5 Определение актуальных угроз безопасности персональных данных ИСПДн................................................................................................................ 89 5.1 Определение уровня исходной защищенности ИСПДн ........................ 89 5.2 Определение вероятности реализации угроз безопасности персональных данных ......................................................................................... 90 5.3 Определение возможности реализации угроз безопасности персональных данных ......................................................................................... 92 5.4 Определение опасности угроз безопасности персональных данных................................................................................................................... 94 5.5 Определение актуальных угроз безопасности персональных данных................................................................................................................... 96 6 Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных ....................................... 101 Перечень принятых сокращений ....................................................................... 107 Термины и определения ..................................................................................... 107 67 Общие положения Модель угроз и модель нарушителя безопасности персональных данных (ПДн) (далее – модель угроз) при их обработке в информационной системе персональных данных медицинского (лечебно-профилактического) учреждения региона (далее – ИСПДн) выполнена в соответствии с требованиями законодательства Российской Федерации и положениями руководящих и нормативно-методических документов ФСТЭК России и ФСБ России в области обеспечения безопасности персональных данных. Модель угроз предназначена для разработки требований, определяющих организационно-режимные и технические мероприятия по защите ПДн, обрабатываемых в ИСПДн, и определяет основные исходные условия для проверки соответствия разрабатываемой системы защиты информации требованиям по обеспечению безопасности персональных данных в Российской Федерации. Настоящая модель угроз разработана на основании следующих документов: – Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; – ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию»; – Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», ФСТЭК (Гостехкомиссия) России; – Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.; – Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.; – Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости. Согласованы 22.12.2009 Начальником 2 управления ФСТЭК России, утверждены 23.12.2009 Директором Департамента информатизации Минздравсоцразвития РФ. 67 Описание информационной системы персональных данных Назначение системы Основу ИСПДн медицинского учреждения (МУ) составляет региональная медицинская информационная система (прикладной компонент регионального уровня единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)) – типовое решение для медицинской информационно-аналитической системы (МИАС) региона, назначением которой является: – централизованное предоставление государственных услуг в здравоохранении населению и организациям через единый портал; – автоматизации процесса сбора, хранения и анализа данных о случаях оказания медицинской помощи гражданам; – формирование и поддержка актуальности единого банка данных случаев оказания медицинской помощи и паспортов МУ; – ведение единой электронной медицинской карты гражданина; – ведение специализированных регистров по заболеваниям и карт диспансерного наблюдения; – автоматизация учетной и отчетной медицинской деятельности МУ, муниципалитета, региона; – поддержка системы финансирования МУ в системе ОМС региона за фактически оказанную медицинскую помощь на основании персонифицированных реестров; – поддержка информационного обмена в системе обеспечения необходимыми лекарственными средствами за счет федерального и регионального бюджетов; – учет движения медикаментов в системе здравоохранения региона, в том числе в системе обеспечения необходимыми лекарственными средствами (ОНЛС) (дополнительное лекарственное обеспечение (ДЛО)); – организация, мониторинг и управление потоками пациентов при оказании плановой и экстренной медицинской помощи населению; – мониторинг деятельности здравоохранения и состояния здоровья граждан; – автоматизированный контроль качества и доступности оказания медицинской помощи; – централизованное предоставление государственных услуг в здравоохранении населению и организациям по принципу «единого окна»; – обмен информацией с другими информационными системами. 68 Цели и состав системы В состав ИСПДн входят: – региональные транзакционные системы: медицинская информационная система (МИС); система выдачи и обслуживания льготных рецептов, а также рецептов на контролируемые лекарственные средства; – иные региональные информационные системы в сфере здравоохранения, в том числе информационная система электронного документооборота учреждений здравоохранения; – компоненты для интеграции МИС с федеральным уровнем ЕГИСЗ в составе: сервис доступа к каталогу пользователей ЕГИСЗ, создаваемого на федеральном уровне ЕГИСЗ; подсистема доступа к нормативно-справочной информации и словарям медицинских терминологий, создаваемого на федеральном уровне ЕГИСЗ; сервисы взаимодействия с инфраструктурой открытых ключей электронной цифровой подписи; сервис взаимодействия с системой межведомственного электронного взаимодействия, инфраструктурой выдачи и обслуживания универсальных электронных карт, единым порталом государственных и муниципальных услуг и иными системами, создаваемыми в рамках инфраструктуры электронного правительства; сервисы взаимодействия с внешними информационными системами, включая информационные системы государственных внебюджетных фондов, страховых медицинских организаций и иными информационными системами. Использование ИСПДн имеет целью решение комплекса задач по следующим направлениям: – снижение финансовых и трудовых затрат на обеспечение процессов сбора и обработки информации путем автоматизации административной и медицинской деятельности МУ; – поддержка принятия врачебных решений, раннее диагностирование заболеваний, своевременное оказание медицинской помощи пациентам различных групп риска; – повышение доступности медицинской помощи и качества обслуживания на этапе обращения пациента в МУ, а также повышение эффективности использования ресурсов МУ за счет организации и управления потоками пациентов при оказании плановой медицинской помощи населению; 69 – централизация мониторинга показателей деятельности системы здравоохранения и повышение эффективности управления на основе полной, достоверной и оперативной информации о деятельности МУ региона; – поддержка системы финансирования МУ в системе ОМС региона за фактически оказанную медицинскую помощь на основании персонифицированных реестров; – централизация системы ведомственной и вневедомственной экспертизы на основании истории лечения пациента; – повышение информированности населения по вопросам получения медицинской помощи, качества обслуживания в медицинских организациях. В рамках ИСПДн эксплуатируются следующие подсистемы МИС: – функциональная компонента «Амбулаторно-поликлинические отделения МУ» (далее ФК «Поликлиника»); – функциональная компонента «Стационарные отделения МУ» (далее ФК «Стационар»); – функциональная компонента «Электронная регистратура» (далее ФК «ЭР»); Способы и средства связи для информационного обмена между компонентами системы Информационный обмен в рамках МИС осуществляется в единой телекоммуникационной среде. Взаимодействие функциональных компонент осуществляется путем реализации единого хранилища данных, единой точки доступа к функциям МИС, единой системы аутентификации. Компоненты МИС осуществляют информационное взаимодействие на базе единых стандартов, форматов данных и технологий, используемых в информационных системах. Информационный обмен осуществляется по защищенным каналам связи через сети общего пользования (Интернет). МИС предоставляет возможности для информационного обмена путем удаленного вызова прикладных функций системы (сервисов). Данный режим предусматривает взаимодействие компонент МИС в режиме реального времени (режим on-line) и обеспечивается специализированными службами на базе центра обработки данных (ЦОД). МИС обеспечивает работу в режиме постоянного подключения по выделенному каналу связи (on-line). Для доступа к МИС необходимо только оснащение пользователя компьютером (терминалом, мобильным устройством) и доступ в сеть общего пользования (Интернет). 70 МИС обеспечивается однократный ввод и многократное использование первичной информации (полученной от медицинского (фармацевтического) работника, гражданина, должностного лица), в том числе для целей управления здравоохранением. Первичная проверка корректности ввода информации и обязательности заполнения полей производится без физического обращения на сервер. МИС обеспечивается использование электронных документов, юридическая значимость которых подтверждена электронной подписью, в качестве основного источника первичной информации. Состав персональных данных, обрабатываемых в системе В ИСПДн обрабатываются следующие персональные данные о субъектах: – фамилия; – имя; – отчество; – дата рождения; – признак наличия федеральной и/или региональной льготы; – сведения, связанные с учетом посещений пациентами МУ (дата, место посещения, цель посещения, вид оплаты); – сведения, связанные с учетом медицинских услуг, оказанных пациенту (место выполнения, наименование услуги, вид оплаты, количество); – сведения, связанные с учетом данных о диагнозах, поставленных пациенту; – сведения, связанные с учетом данных о направлении на амбулаторно-поликлиническое лечение; – выписка листов и справок о временной нетрудоспособности; – сведения, связанные с учетом данных о результатах лечения; – сведения, связанные с учетом данных о госпитализации: вид оплаты, дата поступления, данные о направлении, кем доставлен, дефекты догоспитального этапа, диагнозы направившего учреждения; – сведения, связанные с учетом данных из приемного отделения; – сведения, связанные с учетом данных о движении пациента по отделениям, по узким койкам, по палатам; – сведения, связанные с учетом данных о направлении на стационарное лечение; – сведения, связанные с учетом выписанных листов и справок о временной нетрудоспособности; – сведения, связанные с учетом данных об исходе госпитализации и выписке; 71 – и др. Архитектура системы Система подразделяется на следующие сегменты: – серверный сегмент – содержит комплекс инфраструктурных серверов и серверов приложений, предназначенных для обработки информации ИСПДн; – пользовательский сегмент – содержит АРМ пользователей, осуществляющих доступ к серверным приложениям и непосредственно выполняющих функциональные обязанности по обработке данных, возложенные на ИСПДн. Уровень обработки данных представлен промышленной реляционной СУБД со стандартным интерфейсом доступа (SQL). Все технические средства ИСПДн находятся на территории Российской Федерации. Стационарное оборудование размещается в изолированных помещениях. Серверные и коммуникационные компоненты размещаются в серверных помещениях. Архитектура безопасности ИСПДн приведена на рисунке 1. Internet Веб-сервер Криптошлюз Сервер БД Марш! Пользователь Роутер Система хранения данных Сервер авторизации РИС Рисунок 1 – Архитектура безопасности ИСПДн Клиентская и серверная части построены на основе веб-технологий и отвечают следующим требованиям: – вся работа пользователя с системой обеспечивается по технологии «тонкий клиент» посредством веб-интерфейса на единой для всех участников информационного обмена базе данных; – обеспечивается кэширование справочников на клиентских рабочих местах для минимизации входящего трафика у клиента; 72 – обеспечивается кэширование экранных форм на клиентских рабочих местах для минимизации входящего трафика у клиента; – взаимодействие клиентской части с сервером приложений осуществляется с помощью технологии асинхронных запросов; – пользователи системы с одинаковыми правами имеют одинаковый доступ к информации при любом территориальном расположении; – любые изменения в базе данных содержат информацию о времени и пользователе, который произвел данные изменения; – обеспечивается ролевой доступ пользователей к функциям и данным МИС; – обеспечивается аудит событий и просмотр журнала действий пользователей; – сервер веб-приложений функционирует на свободно распространяемых технологиях и операционной системе Linux; – обеспечивается централизованное управление регистрами и справочниками. Характеристики серверного оборудования, входящего в состав ИСПДн, приведены в таблице 1. Таблица 1 – Характеристики серверного оборудования ИСПДн № п/п 1 2 Функциональное назначение Web-сервер Сервер БД Программная платформа MS Windows 2008 R2 MS Windows 2008 R2 Перечень программного обеспечения серверов ИСПДн приведен в таблице 2. Таблица 2 – Программное обеспечение серверов ИСПДн № п/п 1 2 Наименование сервера Web-сервер Сервер БД Установленное ПО Apache MS SQL Общая характеристика ИСПДн приведена в таблице 3. 73 Таблица 3 – Общая характеристика ИСПДн Заданные характеристики безопасности персональных данных Категория обрабатываемых персональных данных Структура информационной системы Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена Режим обработки персональных данных Разграничение прав доступа пользователей Местонахождение технических средств информационной системы Специальная информационная система Категория 1 Локальная информационная система Локальная информационная система, подключенная к сетям общего пользования Многопользовательская система С разграничением прав доступа Все технические средства находятся в пределах Российской Федерации Характеристика взаимосвязей с внешними системами ИСПДн включает средства интеграции со следующими смежными системами: региональный сегмент единого регистра застрахованных по ОМС. Взаимодействие МИС с информационной системой ТФОМС реализовано с помощью веб-сервисов. Форматы обмена данными должны соответствовать требованиям федеральных нормативных правовых актов, определяющие принципы построения и функционирования информационных систем и регулирующие порядок информационного взаимодействия в системе ОМС, принятые в соответствии с Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; – федеральные транзакционные системы; – федеральные управленческие системы; – медицинские информационные системы лечебных учреждений. Интеграция осуществляется путем реализации единого хранилища данных, единой точки доступа к функциям МИС, единой системы аутентификации. В случае отсутствия постоянно работающих каналов связи осуществляется синхронизация базы данных МИС региона и локальной базы данных МИС учреждения здравоохранения; – иные информационные системы федерального, регионального уровня и уровня учреждений. Перечисленные информационные системы внешнего взаимодействия (внешние операторы ПДн) входят в состав информационно-технологической инфраструктуры и обеспечивают автоматизацию функций обмена информацией с государственными и муниципальными органами, юридическими и физическими лицами, организующими и (или) 74 осуществляющими обработку персональных данных, а также определяют цели и содержание обработки персональных данных. Внешний оператор ПДн определяет перечень передаваемых записей о субъектах и форму представления ПДн в соответствии с действующим законодательством РФ или с пунктами договора, заключенного между МУ и внешним оператором ПДн. Методы обеспечения безопасности ПДн, в том числе перечень используемых при взаимодействии технических средств защиты информации и порядок их эксплуатации, также определяются внешними операторами ПДн. При взаимодействии МУ с другим (внешним) оператором ПДн на основании договора, условиями которого предусмотрено использование средств криптографической защиты информации (СКЗИ) и условия которого определяет внешний оператор ПДн, ответственность за классификацию ИСПДн, определение мер и средств защиты (в том числе определение класса применяемых криптосредств), реализуемых в ИСПДн внешнего взаимодействия, несет внешний оператор ПДн. При этом МУ несет ответственность за соблюдение правил эксплуатации ИСПДн. Разграничение ответственности за нарушение заданных характеристик безопасности ПДн между внешними операторами и МУ определяется соответствующими регламентами, двусторонними договорами, нормами законодательства. 75 Перечень угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных В соответствии с разделом 0 настоящей Модели угроз определен тип ИСПДн – локальная информационная система персональных данных, имеющая подключения к сетям связи общего пользования и (или) сетям международного информационного обмена. Угрозы информационной безопасности ИСПДн (угрозы безопасности персональных данных (УБПДн)) можно разделить на следующие виды: – угрозы, реализуемые через действия потенциальных нарушителей (атаки); – угрозы, реализация которых не связана с атаками. Атака является целенаправленным действием нарушителя с целью нарушения заданных характеристик безопасности защищаемых ресурсов ИСПДн или с целью создания условий для этого, как правило, с использованием технических и (или) программных средств. Атаки на информационные ресурсы ИСПДн подразделяются на следующие виды: – атаки, реализуемые через каналы, возникающие за счет использования технических средств добывания информации, обрабатываемой в ИСПДн (технические каналы утечки информации); – атаки, реализуемые за счет несанкционированного доступа к защищаемой информации в ИСПДн с применением программных и программно-аппаратных средств. К угрозам, не являющимся атаками, относятся: – угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления); – угрозы социально-политического характера (забастовки, саботаж, локальные конфликты и т. д.); – угрозы техногенного характера (отключение электропитания, системы заземления, разрушение инженерных сооружений, неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления, помехи и наводки, приводящие к сбоям в работе аппаратных средств и т. д.); – ошибочные или случайные действия и (или) нарушения тех или иных требований лицами, взаимодействующими с ресурсами ИСПДн в рамках своих полномочий (непреднамеренные действия пользователей ИСПДн). Стихийные источники угроз отличается большим разнообразием и непредсказуемостью и являются внешними по отношению к МУ. Под ними, прежде всего, рассматриваются различные природные катаклизмы: пожары, землетрясения, ураганы, наводнения. Возникновение подобных источников 76 трудно прогнозировать и им трудно противодействовать, но при наступлении подобных событий нарушается штатное функционирование самой ИСПДн и ее средств защиты, что потенциально может привести к нарушению конфиденциальности ПДн. Защита от угроз, исходящих от техногенных и стихийных источников угроз безопасности ПДн, в основном обеспечивается организационными и режимными мерами. Медицинским учреждениям региона утверждаются соответствующие должностные инструкции, а также периодически проводится повышение осведомленности персонала в части обеспечения режима информационной безопасности. В связи с тем, что модель угроз предназначена для разработки требований, определяющих организационно-режимные и технические мероприятия по защите информации в ИСПДн, и учитывая, что факторы воздействия, характерные для угроз, не связанных с деятельностью человека, также могут быть вызваны действиями нарушителя, угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления, угрозы техногенного и социально–политического характера), в рамках настоящей модели угроз не рассматриваются. Таким образом, УБПДн полностью реализуются через действия потенциальных нарушителей, т. е. через атаки (антропогенные источники угроз). В качестве антропогенных источников угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные нарушения. В качестве внутреннего антропогенного источника угроз в настоящей Модели угроз рассматривается субъект, имеющий доступ к информационной системе защищаемого объекта. К внутренним антропогенным источникам угроз относятся: – основной персонал МУ (пользователи ИСПДн); – вспомогательный персонал (уборщики, охрана); – технический персонал (жизнеобеспечение, эксплуатация зданий и т. п.). К внешним антропогенным источникам угроз относятся: – криминальные структуры; – частные лица (потенциальные преступники и хакеры); – недобросовестные партнеры или поставщики оборудования, информационных услуг и т. д.; – представители надзорных организаций, аварийных служб и т. д. В соответствии с положениями «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 15 февраля 2008 г., потенциальную опасность нарушения 77 безопасности ПДн при их обработке в информационной системе персональных данных данного типа представляют следующие угрозы: угрозы, осуществляемые при непосредственном физическом доступе к техническим средствам ИСПДн: кража ПЭВМ; кража (утеря) носителей информации; несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования); восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации; нарушение работоспособности автоматизированного рабочего места (АРМ) из состава ИСПДн; нарушение работоспособности коммутационного оборудования, каналов связи ИСПДн; несанкционированное (в том числе непреднамеренное) отключение средств защиты информации; внедрение вредоносного ПО; проведение атак, основанных на использовании уязвимостей и недекларированных возможностей средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование; установка ПО, не предназначенного для исполнения служебных обязанностей; установка аппаратных закладок в приобретаемые ПЭВМ; внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн; подбор аутентифицирующей информации пользователей (администраторов); вывод информации на неучтенные носители (в том числе вывод на печать); модификация технических средств ИСПДн, внесение неисправностей в технические средства; модификация программных средств ИСПДн; модификация программных средств защиты, изменение их настроек; 78 модификация ведущихся в электронном виде регистрационных протоколов; угрозы, осуществляемые через проходящие вне контролируемой зоны каналы связи, не защищенные от НСД организационно-техническими мерами, с использованием протоколов межсетевого взаимодействия: анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации. Реализуется с помощью специальных программ-анализаторов пакетов, перехватывающих пакеты, передаваемые по сегменту сети, и выделяющих среди них те, в которых передаются идентификатор пользователя и его пароль; модификация защищаемой информации при ее передаче по каналам связи; получение сведений об программно-аппаратных средствах ИСПДн путем прослушивания каналов связи; внедрение по сети вредоносных программ. Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в ПО, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки; создание нештатных режимов работы программных (программноаппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации. Реализация обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению: содержания служебной информации в пакетах сообщений, передаваемых по сети; условий обработки и форматов представления данных и т. д. В результате реализации угроз происходит переполнение буферов, блокирование процедур обработки, зацикливание процедур обработки, отбрасывание пакетов сообщений и др.; отказ в обслуживании. Угроза основана на недостатках сетевого ПО, его уязвимостях, позволяющих нарушителю создавать условия, когда ОС оказывается не в состоянии обрабатывать поступающие пакеты; навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных внутри сети и во внешних сетях. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации и управления сетью для внесения изменений в маршрутно-адресные таблицы; сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих 79 станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. Реализуется посредством передачи запросов сетевым службам хостов ИСПДн и анализа ответов от них с целью выявления используемых протоколов, доступных портов сетевых служб, правил формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей; внедрение ложного объекта как в ИСПДн, так и во внешних сетях. Основана на использовании недостатков алгоритмов удаленного поиска. В случае если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска, заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети; подмена доверенного объекта. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т. п.), легально подключенный к серверу. В результате реализации угрозы возможно изменение трассы прохождения сообщений, несанкционированное изменение маршрутно-адресных данных, несанкционированный доступ к сетевым ресурсам, навязывание ложной информации; угрозы утечки по техническим каналам утечки информации: просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн; просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств; угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Поскольку в ИСПДн не предусмотрено использование механизмов голосового ввода и воспроизведения информации конфиденциального характера акустическими средствами, а также ее обсуждение в процессе обработки, угроза утечки акустической информации в настоящей модели угроз не рассматривается. 80 Модель нарушителя безопасности персональных данных Общие положения Модель нарушителя безопасности персональных данных ИСПДн (далее – нарушитель) разрабатывается для определения перечня актуальных угроз безопасности ИСПДн (раздел 0 настоящего документа). Модель нарушителя содержит предположения о возможностях нарушителя, которые он может использовать для реализации угроз, а также об ограничениях на эти возможности. Угрозы (атаки) готовятся и проводятся нарушителем, причем возможность реализации угрозы обусловлена возможностями нарушителя, а именно уровнем его информационной и технической вооруженности. То обстоятельство, что ИСПДн размещена на территории медицинского учреждения, предполагает выполнение следующих положений: – применяются режимные и организационно-технические меры по контролю доступа физических лиц в контролируемую зону ИСПДн и к техническим, программным и программно-техническим средствам, коммутационному оборудованию; применяются меры по контролю порядка проведения работ с техническими, программными и программнотехническими средствами и соблюдению требований регламентов, действующих в медицинском учреждении; – пользователи ИСПДн имеют различные права доступа как к обрабатываемой информации, так и к техническим средствам. Описание потенциального нарушителя Под нарушителем понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности защищаемой информации при ее обработке в ИСПДн. Целями несанкционированных действий нарушителя, способных привести к совершению НСД к защищаемым ресурсам ИСПДн и нарушению принятых для ИСПДн характеристик информационной безопасности, являются: – нарушение целостности защищаемых ресурсов; – нарушение конфиденциальности защищаемых ресурсов; – нарушение доступности защищаемых ресурсов; – создание условий для последующего проведения атак. Возможными направлениями несанкционированных действий нарушителя являются, в том числе: – доступ к защищаемой информации с целью нарушения ее конфиденциальности (хищение, ознакомление, перехват); 81 – доступ к защищаемой информации с целью нарушения ее целостности (модификация данных); – доступ к техническим и программным средствам ИСПДн с целью постоянного или временного нарушения доступности защищаемой информации для легального пользователя; – доступ к техническим и программным средствам ИСПДн с целью внесения в них несанкционированных изменений, создающих условия для проведения атак; – доступ к средствам защиты информации с целью изменения их конфигурации. Настоящая модель основывается на предположении, что доступ к защищаемой информации нарушитель может получить путем: – преодоления (обхода) средств и системы защиты информации, систем контроля доступа; – использования специальных программных средств (в том числе вредоносного ПО) или уязвимостей легально используемого ПО; – использования специализированных средств съема (добывания) информации по техническим каналам; – внедрения аппаратных закладных устройств. Типы нарушителей Классификация По признаку принадлежности к ИСПДн потенциальные нарушители делятся на две группы: – внешние нарушители – относятся к числу физических лиц, не имеющих права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн; – внутренние нарушители – относятся к числу физических лиц, имеющих право пребывания на территории контролируемой зоны. В зависимости от категории обрабатываемых ПДн изменяются категории лиц, заинтересованных в несанкционированном получении информации ограниченного доступа, то есть изменяются возможности потенциального нарушителя безопасности персональных данных. Внешний нарушитель В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. Этот нарушитель может осуществлять атаки только из-за пределов контролируемой зоны. 82 К внешним нарушителям относятся следующие группы лиц: – представители криминальных структур; – иные физические лица, пытающиеся получить доступ к информации в инициативном порядке, в том числе «хакеры» и т. п. Внешний нарушитель может обладать следующей информацией и данными об ИСПДн: – знаниями функциональных особенностей ИСПДн; – сведениями о средствах защиты информации (в том числе применяемых в ИСПДн); – информацией о возможных и существующих способах (методах) реализации атак; – знаниями в области программирования и вычислительной техники. Состав и характеристики имеющихся у нарушителя средств существенно определяются имеющимися у него возможностями по их приобретению или разработке. Возможности нарушителя по использованию имеющихся средств зависят от реализованной в ИСПДн политики безопасности. Внешний нарушитель может использовать следующие средства доступа к защищаемой информации: – деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны (КЗ); – несанкционированный доступ к информации с использованием специальных программных воздействий посредством вирусов, вредоносных программ, алгоритмических или программных закладок; – перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно-техническими мерами. Внутренний нарушитель Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах КЗ ограничительных факторов, основными из которых являются организационные, режимные, инженерно-технические и другие меры, направленные на: – предотвращение и пресечение несанкционированных действий лиц, имеющих доступ в КЗ ИСПДн; – подбор и расстановку кадров для работы с ИСПДн; – организацию контроля и разграничения доступа физических лиц в контролируемую зону, а также к штатным средствам ИСПДн и в помещения, в которых они расположены; – контроль над порядком проведения работ; 83 – контроль над соблюдением требований документации, определяющей политику безопасности ИСПДн (в том числе, контроль над выполнением режимных мер, регламентирующих порядок обращения с обрабатываемой информацией). В силу этого внутренний нарушитель: – не имеет возможности получения специальных знаний о ИСПДн в объеме, необходимом для решения вопросов создания и преодоления средств защиты ПДн; – исключается его возможность по созданию и применению специальных программно-технических средств реализации целенаправленных воздействий на подлежащие защите объекты; – может осуществлять попытки несанкционированного доступа к информационным ресурсам с использованием только штатных программнотехнических средств ИСПДн без нарушения их целостности. Исходя из прав доступа лиц к ресурсам ИСПДн, потенциальных внутренних нарушителей можно разделить на следующие категории: Категория I: зарегистрированный пользователь с полномочиями администратора (системного администратора, администратора безопасности). На лиц данной категории возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, в соответствии с установленными для них административными полномочиями. Лица данной категории являются доверенными (в силу реализованных организационных, режимных и кадровых мероприятий) и потому не рассматриваются в качестве нарушителей информационной безопасности. Администраторы проходят инструктаж по вопросам обработки информации в ИСПДн, допускаются к работе с ресурсами ИСПДн после проверки знаний ими положений соответствующих должностных инструкций, поэтому ошибочные действия с их стороны, способные привести к нарушению безопасности ПДн, в рамках данной модели угроз не рассматриваются. Категория II: зарегистрированный пользователь ресурсов ИСПДн. Нарушитель категории II может обладать следующей информацией и данными: – атрибутами, обеспечивающими доступ к некоторому подмножеству ресурсов (например, паролем, легальным именем доступа); 84 – сведениями о структуре, функциях, принципах, механизмах действия и правилах работы технических средств (ТС) и средств защиты информации в объеме эксплуатационной документации; – знаниями функциональных особенностей ИСПДн; – сведениями о ресурсах ИСПДн: порядок и правила создания, хранения и передачи информации, форматы сообщений, структура и свойства информационных потоков; – данными об уязвимостях ИСПДн, включая данные о недокументированных возможностях ТС ИСПДн; – данными о реализованных в системе и средствах защиты информации принципах и алгоритмах; – сведениями о возможных для ИСПДн каналах атак; – информацией о способах атак; – персональными данными, к которым имеет доступ. Нарушитель категории II обладает следующими средствами доступа к ресурсам ИСПДн: – штатными средствами (компьютером, подключаемым непосредственно к СВТ ИСПДн); – общедоступными компьютерными вирусами; – общедоступным программным обеспечением, предназначенным для подготовки и осуществления применения программных средств скрытого информационного воздействия. Категория III: лица, имеющие санкционированный доступ в помещения с размещаемыми ТС из состава ИСПДн, но не имеющие санкционированного доступа к ресурсам ИСПДн. Нарушитель категории III может обладать следующей информацией и данными: – знаниями об «именах» (логинах) зарегистрированных пользователей; – знаниями функциональных особенностей ИСПДн; – любыми фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых в ИСПДн коммуникационных протоколах и их сервисах; – данными об уязвимостях ИСПДн, включая данные о недокументированных возможностях технических и программных средств; – данными о реализованных в системе и средствах защиты информации ИСПДн принципах и алгоритмах; – сведениями о возможных для ИСПДн каналах атак; – информацией о способах атак. 85 Нарушитель категории III обладает следующими средствами доступа к ресурсам ИСПДн: – оставленными без присмотра штатными средствами ИСПДн; – общедоступными компьютерными вирусами; – общедоступным программным обеспечением, предназначенным для подготовки и осуществления применения программных средств скрытого информационного воздействия. Категория IV: сотрудники подразделений (организаций), выполняющие разработку прикладного программного обеспечения, ремонт и восстановление работоспособности ТС ИСПДн. Лица категории IV: – обладают информацией о программах обработки информации ИСПДн, а также о реализованных в данных программах алгоритмах; – обладают возможностями внесения ошибок (в том числе вредоносного ПО) в ИС на стадии разработки и сопровождения; – могут располагать любыми фрагментами информации о топологии ЛВС, технических средствах обработки и средствах защиты информации, применяемых в ИСПДн. Каналы, используемые нарушителем для доступа к защищаемым ресурсам Возможные каналы доступа к ресурсам При попытке доступа к защищаемым ресурсам ИСПДн нарушитель в общем случае может использовать следующие каналы: – каналы непосредственного доступа к объекту атаки (визуальнооптический, акустический, физический); – электронные носители информации, в том числе съемные, сданные в ремонт и вышедшие из употребления; – бумажные носители информации; – кабельные системы и коммутационное оборудование, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами; – незащищенные каналы связи; – технические каналы утечки информации. На основании анализа организационно-режимных мероприятий, регламентирующих эксплуатацию ИСПДн, особенностей размещения ИСПДн (ИСПДн эксплуатируется внутри КЗ соответствующих подразделений, в объеме помещения сосредоточено большое количество однородных СВТ, используются качественные сбалансированные симметричные и экранированные линии) и обработки информации (основной 86 объем защищаемой информации консолидировано хранится на серверах ЦОД; серверы размещены в отдельных помещениях внутри КЗ; сведения о структуре информации, передаваемой по каналам связи, ее кодировке, фрагментации, способах обработки и визуализации недоступны нарушителю и требуют значительных ресурсов для определения; обработка информации осуществляется только в результате действий администраторов, пользователей, а также программных и программно-технических средств ЦОД, что не позволяет нарушителю оперативно получить необходимую информацию и может потребовать значительного времени с низкой вероятностью ее получения), а также анализа возможностей групп лиц, заинтересованных в осуществлении НСД к информации ИСПДн (см. 0) можно предположить, что потенциальный внешний нарушитель не обладает необходимыми знаниями, средствами (в том числе финансовыми и временными ресурсами) и мотивацией для осуществления перехвата защищаемой информации по техническим каналам утечки; использование технических средств разведки внутренним нарушителем исключается организационно-режимными мероприятиями. С учетом реализованных в МУ организационно-технических мер по ограничению доступа в помещения, в которых размещаются ТС ИС, внесение в пределы КЗ средств осуществления специальных воздействий исключен. Таким образом, угрозы съема нарушителем обрабатываемой в ИСПДн информации по каналам ПЭМИН и угрозы специальных воздействий в данной модели рассматриваются как неактуальные. Каналы, используемые внутренним нарушителем для доступа к защищаемым ресурсам Для осуществления доступа к ресурсам ИСПДн внутренний нарушитель может использовать следующие каналы атак: – визуальный канал утечки информации; – физический доступ к штатным программно-аппаратным средствам из состава ИСПДн; – носители информации, в том числе съемные; – кабельные системы и коммутационное оборудование ЛВС, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами. Каналы, используемые внешним нарушителем для доступа к защищаемым ресурсам Для осуществления доступа к ресурсам ИСПДн внешний нарушитель может использовать следующие основные каналы атак: – визуально-оптический канал; 87 – носители информации (НЖМД, flash-накопители, оптические диски и т. д.), использованные в процессе эксплуатации ИСПДн и оказавшиеся за пределами контролируемой зоны; – каналы связи вне контролируемой зоны, не защищенные от НСД к информации организационно-техническими мерами. 88 Определение актуальных угроз безопасности персональных данных ИСПДн Определение уровня исходной защищенности ИСПДн Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 14 февраля 2008 г. Под общим уровнем защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Результаты анализа исходной защищенности приведены в таблице 4. Таблица 4 –Уровни исходной защищенности Технические и эксплуатационные характеристики ИСПДн Уровень защищенности Высокий Средний Низкий 1. По территориальному размещению: локальная ИСПДн, развернутая в пределах одного + здания 2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая одноточечный выход в сеть связи + общего пользования 3. По встроенным (легальным) операциям с записями баз персональных данных: модификация, передача + 4. По разграничению доступа к персональным данным: ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся + владельцем ИСПДн, либо субъект ПДн 5. По наличию соединений с другими базами ПДн иных ИСПДн: ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной + ИСПДн 6. По уровню (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. + присутствует информация, позволяющая идентифицировать субъекта ПДн) 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, не предоставляющая никакой информации + Количество решений Общее количество решений 3 89 2 7 2 71,4 % характеристик ИСПДн соответствуют уровню не ниже «средний». Остальные 28,6 % соответствуют уровню «низкий». Таким образом, ИСПДн имеет средний уровень исходной защищенности (У1 =5), так как не выполняются определенные «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 14 февраля 2008 г., условия присвоения уровня исходной защищенности ИСПДн со значением «высокий» и «низкий». Определение вероятности реализации угроз безопасности персональных данных Вероятность реализации угроз безопасности персональных данных определена экспертным методом на основании результатов обследования ИСПДн и в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 14 февраля 2008 г. Под частотой (или вероятностью) реализации угрозы понимается определенный экспертным путем показатель, характеризующий вероятность реализации конкретной угрозы безопасности ПДн для ИСПДн в реальных условиях ее функционирования. Вводится четыре значения этого показателя, обозначаемого как Y2: – маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся); – низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации); – средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны; – высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты. Данный показатель принимает следующие значения: – – – – 0 – для маловероятной угрозы; 2 – для низкой вероятности угрозы; 5 – для средней вероятности угрозы; 10 – для высокой вероятности угрозы. 90 Результаты определения вероятности реализации персональных данных ИСПДн приведены в таблице 5. угроз безопасности Таблица 5 – Вероятность реализации угроз безопасности персональных данных Угроза безопасности персональных данных Вероятность угрозы безопасности персональных данных нарушителем КI КII КIII КIV Внеш. Итог (Y2) Угрозы, осуществляемые при непосредственном физическом доступе к техническим средствам ИСПДн кража ПЭВМ 2 5 5 2 0 5 кража (утеря) носителей информации 2 5 5 2 0 5 несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования) 2 5 5 2 2 5 восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации 2 5 5 5 5 5 нарушение работоспособности АРМ из состава ИСПДн 2 5 5 2 2 5 нарушение работоспособности коммутационного оборудования, каналов связи ИСПДн 2 5 5 2 2 5 несанкционированное (в том числе непреднамеренное) отключение средств защиты информации 2 5 5 2 0 5 внедрение вредоносного ПО 2 5 5 2 0 5 проведение атак, основанных на использовании уязвимостей и недекларированных возможностей средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование 2 5 2 2 2 5 установка ПО, не предназначенного для исполнения служебных обязанностей 2 5 2 2 0 5 установка аппаратных закладок в приобретаемые ПЭВМ 2 2 2 2 0 2 внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн 2 2 2 2 0 2 подбор аутентифицирующей информации пользователей (администраторов) 2 5 5 5 2 5 вывод информации на неучтенные носители (в том числе вывод на печать) 2 5 5 2 0 5 модификация технических средств ИСПДн, внесение неисправностей в технические средства 2 5 5 5 2 5 модификация программных средств ИСПДн 2 5 5 2 2 5 модификация программных средств защиты, изменение их настроек 2 5 5 5 0 5 модификация ведущихся в электронном виде регистрационных протоколов 2 5 5 5 0 5 2 5 5 5 5 5 Угрозы, осуществляемые через проходящие вне контролируемой зоны каналы связи, не защищенные от НСД организационно-техническими мерами, с использованием протоколов межсетевого взаимодействия анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации 91 модификация защищаемой информации при ее передаче по каналам связи 2 5 5 5 5 5 получение сведений об программно-аппаратных средствах ИСПДн путем прослушивания каналов связи 2 5 5 5 5 5 внедрение по сети вредоносных программ 2 5 5 5 5 5 создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации 2 5 5 5 5 5 отказ в обслуживании 2 5 5 5 5 5 навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных во внешних сетях 2 5 5 5 5 5 сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. 2 5 5 5 5 5 внедрение ложного объекта во внешних сетях 2 5 5 5 5 5 подмена доверенного объекта 2 5 5 5 5 5 просмотр защищаемой информации на экранах мониторов, печатных материалах, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн 2 0 5 5 5 5 просмотр защищаемой информации на экранах мониторов, печатных материалах, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств 2 0 5 5 5 5 угрозы утечки информации по каналам ПЭМИН 0 0 0 0 0 0 Угрозы утечки по техническим каналам утечки информации Определение возможности реализации угроз безопасности персональных данных Для определения возможности реализации угроз безопасности персональных данных в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 14 февраля 2008 г., использованы следующие показатели: – уровень исходной защищенности ИСПДн (см. подраздел 0 настоящей модели угроз); – вероятность реализации угроз безопасности персональных данных (см. подраздел 0 настоящей модели угроз). Используя значения приведенных выше показателей Y1 и Y2, вычисляется коэффициент реализуемости угрозы Y, определяемый соотношением Y = (Y1 + Y2) / 20. В зависимости от своего значения этот коэффициент принимает значения: – 0 <= Y <= 0,3 – реализуемость угрозы признается низкой; 92 – 0,3 < Y <= 0,6 – реализуемость угрозы признается средней; – 0,6 < Y <= 0,8 – реализуемость угрозы признается высокой; – Y > 0,8 – реализуемость угрозы признается очень высокой. Результаты определения возможности реализации угроз приведены в таблице 6. Таблица 6 - Возможность реализации угроз безопасности персональных данных Угроза безопасности персональных данных Вероятность (Y2) Y=(Y1+Y2)/20 Возможность реализации Угрозы, осуществляемые при непосредственном физическом доступе к техническим средствам ИСПДн кража ПЭВМ 5 0,5 Средняя кража (утеря) носителей информации 5 0,5 Средняя несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования) 5 0,5 Средняя восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации 5 0,5 Средняя нарушение работоспособности АРМ из состава ИСПДн 5 0,5 Средняя нарушение работоспособности коммутационного оборудования, каналов связи ИСПДН 5 0,5 Средняя несанкционированное (в том числе непреднамеренное) отключение средств защиты информации 5 0,5 Средняя внедрение вредоносного ПО 5 0,5 Средняя проведение атак, основанных на использовании уязвимостей и недекларированных возможностей средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование 5 0,5 Средняя установка ПО, не предназначенного для исполнения служебных обязанностей 5 0,5 Средняя установка аппаратных закладок в приобретаемые ПЭВМ 2 0,35 Средняя внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн 2 0,35 Средняя подбор аутентифицирующей информации пользователей (администраторов) 5 0,5 Средняя вывод информации на неучтенные носители (в том числе вывод на печать) 5 0,5 Средняя модификация технических средств ИСПДн, внесение неисправностей в технические средства 5 0,5 Средняя модификация программных средств ИСПДн 5 0,5 Средняя модификация программных средств защиты, изменение их настроек 5 0,5 Средняя модификация ведущихся в электронном виде 5 0,5 Средняя 93 регистрационных протоколов Угрозы, осуществляемые через проходящие вне контролируемой зоны каналы связи, не защищенные от НСД организационнотехническими мерами, с использованием протоколов межсетевого взаимодействия анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации 5 0,5 Средняя модификация защищаемой информации при ее передаче по каналам связи 5 0,5 Средняя получение сведений об программно-аппаратных средствах ИСПДн путем прослушивания каналов связи 5 0,5 Средняя внедрение по сети вредоносных программ 5 0,5 Средняя создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации 5 0,5 Средняя отказ в обслуживании 5 0,5 Средняя навязывание ложного маршрута путем несанкционированного изменения маршрутноадресных данных внутри сети и во внешних сетях 5 0,5 Средняя сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. 5 0,5 Средняя внедрение ложного объекта как в ИСПДн, так и во внешних сетях 5 0,5 Средняя подмена доверенного объекта 5 0,5 Средняя просмотр защищаемой информации на экранах мониторов, печатных материалах, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн 5 0,5 Средняя просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств 5 0,5 Средняя угрозы утечки информации по каналам ПЭМИН 0 0,25 Низкая Угрозы утечки по техническим каналам утечки информации Определение опасности угроз безопасности персональных данных Оценка опасности производится на основе экспертного метода и определяется вербальным показателем опасности, который имеет три значения: 94 – низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; – средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; – высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. Результаты определения опасности угроз приведены в таблице 7. Таблица 7 - Опасность реализации угроз безопасности персональных данных Угроза безопасности персональных данных Опасность (ущерб) Угрозы, осуществляемые при непосредственном физическом доступе к техническим средствам ИСПДн кража ПЭВМ Высокая кража (утеря) носителей информации Высокая несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования) Высокая восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации Высокая нарушение работоспособности АРМ из состава ИСПДн Низкая нарушение работоспособности коммутационного оборудования, каналов связи ИСПДН Средняя несанкционированное (в том числе непреднамеренное) отключение средств защиты информации Высокая внедрение вредоносного ПО Высокая проведение атак, основанных на использовании уязвимостей и недекларированных возможностей средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование Высокая установка ПО, не предназначенного для исполнения служебных обязанностей Средняя установка аппаратных закладок в приобретаемые ПЭВМ Высокая внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн Высокая подбор аутентифицирующей информации пользователей (администраторов) Высокая вывод информации на неучтенные носители (в том числе вывод на печать) Высокая модификация технических средств ИСПДн, внесение неисправностей в технические средства Высокая модификация программных средств ИСПДн Высокая модификация программных средств защиты, изменение их настроек Высокая модификация ведущихся в электронном виде регистрационных протоколов Высокая Угрозы, осуществляемые через проходящие вне контролируемой зоны каналы связи, не защищенные от НСД организационно-техническими мерами, с использованием протоколов межсетевого взаимодействия анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации Средняя модификация защищаемой информации при ее передаче по каналам связи Средняя получение сведений об программно-аппаратных средствах ИСПДн путем Средняя 95 прослушивания каналов связи внедрение по сети вредоносных программ Высокая создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации Средняя отказ в обслуживании Средняя навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных внутри сети и во внешних сетях Средняя сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. Средняя внедрение ложного объекта как в ИСПДн, так и во внешних сетях Средняя подмена доверенного объекта Средняя Угрозы утечки по техническим каналам утечки информации просмотр защищаемой информации на экранах мониторов, печатных материалах, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн Высокая просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств Высокая угрозы утечки информации по каналам ПЭМИН Средняя Определение актуальных угроз безопасности персональных данных Определение актуальных угроз безопасности персональных данных проведено экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной Заместителем директора ФСТЭК России 14 февраля 2008 г. В соответствии с правилами отнесения угрозы безопасности к актуальной, приведенными в таблице 8, для ИСПДн определяются актуальные и неактуальные угрозы. Таблица 8 – Правила отнесения угрозы безопасности ПДн к актуальной Возможность реализации угрозы Низкая Средняя Высокая Очень высокая Показатель опасности угрозы Низкая неактуальная неактуальная актуальная актуальная Средняя неактуальная актуальная актуальная актуальная Высокая актуальная актуальная актуальная актуальная Результаты приведены в таблице 9. Таблица 9 – Актуальность угроз безопасности персональных данных Угроза безопасности персональных данных Возможность реализации Угрозы, осуществляемые при непосредственном физическом доступе к 96 Опасность (ущерб) Актуальность техническим средствам ИСПДн кража ПЭВМ Средняя Высокая Актуальная кража (утеря) носителей информации Средняя Высокая Актуальная несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования) Средняя Высокая Актуальная восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации Средняя Высокая Актуальная нарушение работоспособности АРМ из состава ИСПДн Средняя Низкая Неактуальная нарушение работоспособности коммутационного оборудования, каналов связи ИСПДН Средняя Средняя Актуальная несанкционированное (в том числе непреднамеренное) отключение средств защиты информации Средняя Высокая Актуальная внедрение вредоносного ПО Средняя Высокая Актуальная проведение атак, основанных на использовании уязвимостей и недекларированных возможностей средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование Средняя Высокая Актуальная установка ПО, не предназначенного для исполнения служебных обязанностей Средняя Средняя Актуальная установка аппаратных закладок в приобретаемые ПЭВМ Средняя Высокая Актуальная внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн Средняя Высокая Актуальная подбор аутентифицирующей информации пользователей (администраторов) Средняя Высокая Актуальная вывод информации на неучтенные носители (в том числе вывод на печать) Средняя Высокая Актуальная модификация технических средств ИСПДн, внесение неисправностей в технические средства Средняя Высокая Актуальная модификация программных средств ИСПДн Средняя Высокая Актуальная модификация программных средств защиты, изменение их настроек Средняя Высокая Актуальная модификация ведущихся в электронном виде регистрационных протоколов Средняя Высокая Актуальная анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации Средняя Средняя Актуальная модификация защищаемой информации при ее передаче по каналам связи Средняя Средняя Актуальная получение сведений об программноаппаратных средствах ИСПДн путем прослушивания каналов связи Средняя Средняя Актуальная внедрение по сети вредоносных программ Средняя Высокая Актуальная создание нештатных режимов работы Средняя Высокая Актуальная Угрозы, осуществляемые через проходящие внутри и вне контролируемой зоны каналы связи 97 программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации отказ в обслуживании Средняя Высокая Актуальная навязывание ложного маршрута путем несанкционированного изменения маршрутноадресных данных внутри сети и во внешних сетях Средняя Высокая Актуальная сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. Средняя Высокая Актуальная внедрение ложного объекта как в ИСПДн, так и во внешних сетях Средняя Высокая Актуальная подмена доверенного объекта Средняя Высокая Актуальная просмотр защищаемой информации на экранах мониторов, печатных материалах, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн Средняя Высокая Актуальная просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств Средняя Высокая Актуальная угрозы утечки информации по каналам ПЭМИН Низкая Средняя Неактуальная Угрозы утечки по техническим каналам утечки информации Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн актуальными являются следующие угрозы: – кража ПЭВМ; – кража (утеря) носителей информации; – несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования); – восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации; – нарушение работоспособности коммутационного оборудования, каналов связи ИСПДн; – несанкционированное (в том числе непреднамеренное) отключение средств защиты информации; – внедрение вредоносного ПО; – проведение атак, основанных на использовании уязвимостей и недекларированных возможностей средств, взаимодействующих со 98 средствами защиты информации и способных повлиять на их функционирование; – установка ПО, не предназначенного для исполнения служебных обязанностей; – установка аппаратных закладок в приобретаемые ПЭВМ; – внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн; – подбор аутентифицирующей информации пользователей (администраторов); – вывод информации на неучтенные носители (в том числе вывод на печать); – модификация технических средств ИСПДн, внесение неисправностей в технические средства; – модификация программных средств ИСПДн; – модификация программных средств защиты, изменение их настроек; – модификация ведущихся в электронном виде регистрационных протоколов; – анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации; – модификация защищаемой информации при ее передаче по каналам связи; – получение сведений об программно-аппаратных средствах ИСПДн путем прослушивания каналов связи; – внедрение по сети вредоносных программ; – создание нештатных режимов работы программных (программноаппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации; – отказ в обслуживании; – навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных внутри сети и во внешних сетях; – сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.; – внедрение ложного объекта как в ИСПДн, так и во внешних сетях; – подмена доверенного объекта; – просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн; 99 – просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств. 100 Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных Угроза безопасности персональных данных Вероят ность (Y2) Y=(Y1+ Y2)/20 Возможно сть реализац ии Опасность (ущерб) Актуальност ь Меры по защите Угрозы, осуществляемые при непосредственном физическом доступе к техническим средствам ИСПДн кража ПЭВМ 5 0,5 Средняя Высокая Актуальная Реализуется контроль доступа в помещения, в которых размещаются ТС ИСПДн кража (утеря) носителей информации 5 0,5 Средняя Высокая Актуальная Реализуется: - порядок использования (в т. ч. передачи) и хранения съемных носителей, препятствующий их краже или утере; - контроль доступа в помещения, в которых размещаются ТС ИСПДн и хранятся съемные носители несанкционированный доступ к защищаемой информации, хранящейся на бумажных и съемных носителях (в том числе оказавшихся за пределами контролируемой зоны в связи с их ремонтом, обслуживанием или передачей для использования) 5 0,5 Средняя Высокая Актуальная Реализуется порядок учета, использования и хранения съемных носителей информации, препятствующий несанкционированному доступу к ним восстановление защищаемой информации и информации об ИСПДн путем анализа выведенных из употребления носителей информации 5 0,5 Средняя Высокая Актуальная Осуществляется уничтожение выведенных из употребления носителей нарушение работоспособности АРМ из состава ИСПДн 5 0,5 Средняя Низкая Неактуальная Предусматриваются организационные меры, препятствующие несанкционированному доступу к АРМ (режим доступа в помещения, порядок допуска к работе с АРМ) нарушение работоспособности коммутационного оборудования, каналов связи ИСПДН 5 0,5 Средняя Средняя Актуальная Реализуются организационные меры, препятствующие несанкционированному доступу к техническим средствам ИСПДн (режим доступа в помещения, порядок допуска к работе с ТС) 101 несанкционированное (в том числе непреднамеренное) отключение средств защиты информации 5 0,5 Средняя Высокая Актуальная Реализуются организационные меры, препятствующие несанкционированному отключению средств защиты (определен порядок допуска к работе со средствами защиты информации, определен порядок их эксплуатации). Осуществляется регистрация действий пользователей ИСПДн. Осуществляется контроль целостности программных средств защиты информации при входе в систему и в процессе работы. Используются средства восстановления средств защиты информации (в том числе средства восстановления настроек средств защиты, соответствующих политике безопасности) внедрение вредоносного ПО 5 0,5 Средняя Высокая Актуальная Используются антивирусные средства, обеспечивающие: - непрерывный контроль вирусной ситуации; - проверку файлов по требованию; - проактивную защиту от неизвестных угроз; - самозащиту от попыток выключения со стороны вредоносного ПО или пользователя; - регулярные и экстренные обновления; - проверку оперативной памяти и всех файлов автозапуска на предмет наличия компьютерных вирусов; - обеспечение целостности передаваемой информации между компонентами антивирусных средств посредством механизма контрольных сумм; - нейтрализацию (или удаление) программного кода компьютерного вируса в зараженных объектах; - блокирование компьютерных вирусов; - централизованное управление проведение атак, основанных на использовании уязвимостей и недекларированных возможностей 5 0,5 Средняя Высокая Актуальная Проводится контроль соответствия состояния узлов, ОС и приложений 102 средств, взаимодействующих со средствами защиты информации и способных повлиять на их функционирование политике безопасности установка ПО, не предназначенного для исполнения служебных обязанностей 5 0,5 Средняя Средняя Актуальная Реализуются организационные меры препятствующие установке пользователями ПО, не связанного с исполнением их служебных обязанностей. Права на установку программного обеспечения предоставляются только администратору системы. Применяются средства реализации замкнутой программной среды установка аппаратных закладок в приобретаемые ПЭВМ 2 0,35 Средняя Высокая Актуальная Принимаются организационнотехнические меры, затрудняющие активацию потенциально внедренных закладных устройств, используются сертифицированные средства защиты информации внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн 2 0,35 Средняя Высокая Актуальная Реализуются организационные меры, регламентирующие доступ к ТС, корпуса ТС опечатываются подбор аутентифицирующей информации пользователей (администраторов) 5 0,5 Средняя Высокая Актуальная Используются средства надежной аутентификации (двухфакторной аутентификации с использованием отчуждаемых носителей). Осуществляется регистрация попыток входа в систему с указанием результата и идентификатора, предъявленного при попытке доступа вывод информации на неучтенные носители (в том числе вывод на печать) 5 0,5 Средняя Высокая Актуальная Реализуются меры по учету носителей информации и твердых копий, а также по контролю использования съемных носителей информации. Осуществляется регистрация отправки документов на печать модификация технических средств ИСПДн, внесение неисправностей в технические средства 5 0,5 Средняя Высокая Актуальная Предусматриваются организационные меры, препятствующие несанкционированному доступу к ТС (определены режим доступа в помещения, порядок допуска к работе с ТС, порядок эксплуатации ТС) модификация программных средств ИСПДн 5 0,5 Средняя Высокая Актуальная Реализуется контроль целостности 103 программных средств ИСПДн. Обеспечивается регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. Осуществляется дискреционное разграничение доступа к ресурсам ИСПДн. Осуществляется контроль информационных потоков ИСПДн модификация программных средств защиты, изменение их настроек 5 0,5 Средняя Высокая Актуальная Реализуeтся разграничение доступа, идентификация и аутентификация администраторов при их локальных или удаленных обращениях к средствам защиты. Реализуется контроль целостности программных средств защиты информации. Осуществляется регистрация доступа к файлам настроек средств защиты информации. Используются средства восстановления средств защиты информации (в том числе средства восстановления настроек средств защиты информации, соответствующих политике безопасности) модификация ведущихся в электронном виде регистрационных протоколов 5 0,5 Средняя Высокая Актуальная Реализуется разграничение доступа к файлам регистрационных протоколов. Осуществляется регистрация доступа к файлам регистрационных протоколов 5 0,5 Средняя Средняя Актуальная Организуется контролируемое и безопасное подключения внешних пользователей для защищенного обмена информацией. Реализуется технология виртуальной частной сети. Осуществляться шифрование IP-трафика с использованием сертифицированных Угрозы, осуществляемые через проходящие внутри и вне контролируемой зоны каналы связи анализ сетевого трафика с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации 104 средств криптографической защиты информации модификация защищаемой информации при ее передаче по каналам связи 5 0,5 Средняя Средняя Актуальная Используются сертифицированные средства криптографической защиты информации, реализующие функции имитовставки получение сведений об программно-аппаратных средствах ИСПДн путем прослушивания каналов связи 5 0,5 Средняя Средняя Актуальная Реализуется шифрование IP-трафика обеспечивающее защиту (конфиденциальность и целостность) любого вида трафика, передаваемого между компьютерами пользователей и сервером внедрение по сети вредоносных программ 5 0,5 Средняя Высокая Актуальная Используются сертифицированные средства защиты информации (антивирусные средства, межсетевые экраны) создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных и за счет преднамеренных изменений передаваемой информации 5 0,5 Средняя Высокая Актуальная отказ в обслуживании 5 0,5 Средняя Высокая Актуальная навязывание ложного маршрута путем несанкционированного изменения маршрутноадресных данных внутри сети и во внешних сетях 5 0,5 Средняя Высокая Актуальная сканирование, направленное на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. 5 0,5 Средняя Высокая Актуальная внедрение ложного объекта как в ИСПДн, так и во внешних сетях 5 0,5 Средняя Высокая Актуальная подмена доверенного объекта 5 0,5 Средняя Высокая Актуальная Используются сертифицированные межсетевые экраны, обеспечивающие: - фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов; - фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя; - фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя; - фильтрацию с учетом даты и времени. Применяются организационные меры, направленные на предотвращение реализации угроз, осуществляемых через проходящие вне контролируемой зоны каналы связи, не защищенные от НСД организационно-техническими мерами, с использованием протоколов межсетевого взаимодействия Угрозы утечки по техническим каналам утечки информации 105 просмотр защищаемой информации на экранах мониторов, печатных материалах, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн 5 0,5 Средняя Высокая Актуальная Размещение ТС и порядок использования печатных материалов должны препятствовать несанкционированному просмотру информации. Реализуется блокирование ТС в периоды неиспользования просмотр защищаемой информации на экранах мониторов, печатных материалов, содержащих защищаемую информацию, лицами, не допущенными к обработке ПДн с использованием технических (в том числе оптических) средств 5 0,5 Средняя Высокая Актуальная Размещение ТС и порядок использования печатных материалов должны препятствовать несанкционированному просмотру информации (в частности, из окон помещений с размещаемым ТС) угрозы утечки информации по каналам ПЭМИН 0 0,25 Низкая Средняя Неактуальная 106 Перечень принятых сокращений АРМ ИБ ИС ИСПДн КЗ ЛВС ЛПУ МИАС МИС МУ НСД ОМС ОНЛС (ДЛО) ОС ПДн ПО ПЭМИН СВТ СУБД ТС ТФОМС УБПДн ФЗ ФК ФСБ России ФСТЭК России ЦОД Автоматизированное рабочее место Информационная безопасность Информационная система Информационная система персональных данных Контролируемая зона Локальная вычислительная сеть Лечебно-профилактическое учреждение Медицинская информационно-аналитическая система Медицинская информационная система Медицинское учреждение Несанкционированный доступ Обязательное медицинское страхование Обеспечение необходимыми лекарственными средствами (дополнительное лекарственное обеспечение) Операционная система Персональные данные Программное обеспечение Побочные электромагнитные излучения и наводки Средства вычислительной техники Система управления базами данных Техническое средство Территориальный фонд обязательного медицинского страхования Угрозы безопасности персональных данных Федеральный закон Функциональный компонент Федеральная служба безопасности России Федеральная служба по техническому и экспортному контролю России Центр обработки данных Термины и определения Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Доступ к информации – возможность получения информации и ее использования. Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно. Защищаемая информация – информация, для которой обладателем информации определены характеристики ее безопасности. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 107 Контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Локальная информационная система – комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа. Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении. Специальная информационная система – информационная система, в которой вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 108 Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации. Угроза безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. 109 110 111