Пояснительная записка (ПЗ) (1209928), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

23, 24(неприкосновенность частной жизни, личная и семейная тайна), ст.41, 42 (недопустимость сокрытия информации, связанной с угрозойжизни и здоровью); “основызаконодательства Российской Федерации об охранездоровья граждан”, ... закон РФ № 5487-1 от 22.07.1993 (далее Основы); в ст. 61 дано определение врачебной тайны как12“информации о факте обращения за медицинской помощью,состоянии здоровья гражданина, диагнозе его заболевания и иныхсведений, полученных при его обследовании и лечении”; Федеральныйзакон“Обинформации,информационныхтехнологиях и защите информации” № 149-ФЗ от 27.07.2006, вкотором даны определения таких понятий, как информация,документирование информации, защита информации, обладательинформации, конфиденциальность информации, предоставление ираспространение информации, электронное сообщение; Федеральный закон “О персональных данных” № 152-ФЗ от27.07.2006 (далее - Закон), которым регулируются отношения,связанные с обработкой персональных данных с использованиемсредств автоматизации; указПрезидентаРФ“Обутвержденииперечнясведенийконфиденциального характера” № 188 от 06.03.1997 (в редакцииуказа Президента РФ от 23.09.2005 № 1111) в котором к указаннойкатегории сведений отнесены персональные данные и сведения,содержащие врачебную тайну; указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечениюинформационнойбезопасностиРоссийскойФедерацииприиспользовании информационно - телекоммуникационных сетеймеждународного информационного обмена”; постановлениелицензированииПравительства РФ № 504 от 15.08.2006 “Одеятельностипотехническойзащитеинформации”; постановление Правительства РФ № 957 от 29.12.2007 “Обутверждении положений о лицензировании отдельных видовдеятельности, связанных с шифровальными (криптографическими)средствами”;13 постановление Правительства РФ № 781 от 17.11.2007 “ОбутвержденииПоложенияобобеспечениибезопасностиперсональных данных при их обработке в информационныхсистемах персональных данных” (далее - Положение), в которомопределены основные требования к указанным информационнымсистемам (ИС); постановление Правительства РФ № 512 от 06.07.2008 “Обутверждениитребованийкматериальнымносителямбиометрических персональных данных и технологиям хранениятаких данных вне информационных систем персональных данных”; постановление Правительства РФ № 687 от 15.09.2008 “Обутверждении положения об особенностях обработки персональныхданных,осуществляемойбезиспользованиясредствавтоматизации”; совместный приказ ФСТЭК России, ФСБ России, МининформсвязиРоссии № 55/86/20 от 13.02.2008 “Об утверждении Порядкапроведения классификации информационных систем персональныхданных”.2.2 Параметры информационной системы медицинского учрежденияВ информационной системе медицинского учреждения обрабатываютсяперсональные данные различных категорий нескольких видов субъектовПДн, а именно иные и специальные категории персональных данных.Персональные данные обрабатываются на 31 АРМ.Персональные данные хранятся распределено, на серверах БД и нажёстких дисках АРМ пользователей, к которым имеют доступ ограниченныйперечень лиц.Параметрыинформационнойсистемымедицинскогоучрежденияпредставлены в таблице 2.1.14Таблица 2.1 – Параметры информационной системы медицинскогоучрежденияНаименование параметраЗначениеСтруктура информационной системыРаспределеннаяВзаимодействие с иными информационнымисистемамиИмеетсяПодключение информационной системы к сетямобщегопользованияи(или)сетям Имеетсямеждународного информационного обменаРазмещение технических средствТСрасположенывпределахнескольких контролируемых зонРежим обработки персональных данныхМногопользовательскийРежим разграничения прав доступа пользователей СистемасразграничениемправдоступаРазделениефункцийпоуправлениюинформационной системойСегментирование информационной системыМестонахождениетехническихБез разделенияСистема c сегментированиемсредств Все технические средства находятся винформационной системыпределах Российской ФедерацииОбъем обрабатываемых персональных данныхМенее100тысячсубъектовперсональных данныхКатегорииобрабатываемыхперсональных Иные и специальные (информация оданныхсостоянии здоровья) категории ПДнВ этой таблице представлена информация на основе которой вдальнейшембудемопределятьактуальныеугрозыдляданнойинформационной системы.В ходе обследования был определен перечень субъектов, персональныеданные которых обрабатываются в медицинском учреждении: сотрудники медицинского учреждения; пациенты - физические лица, состоящие в договорных и иныхгражданско-правовых отношениях с медицинским учреждением.Медицинское учреждение в своей деятельности обрабатывает следующийперечень персональных данных:15а) персональные данные работников медицинского учреждения:1) фамилия;2) имя;3) отчество;4) пол;5) дата рождения;6) место регистрации и фактического проживания;7) место рождения;8) сведения об образовании;9) сведения о неоконченном образовании;10)сведения о состоянии в браке;11)сведения о воинском учете;12)дата прохождения аттестации;13)решение комиссии об аттестации;14)даты начала и окончания обучения;15)вид повышения квалификации;16)наименование учебного заведения;17)вид документа о повышении квалификации;18)данные об отпусках;19)гражданство;20)данные о детях;21)сведения о знании языков;22)расчетный счет;23)номер страхового свидетельства государственного пенсионногострахования;24)СНИЛС;25)ИНН;26)реквизитыдокументаоприсвоенииквалификационнойкатегории;27)профессия по штатному расписанию;1628)табельный номер;29)должность;30)объем работы по занимаемой должности;31)подразделение;32)разряд;33)характер работы;34)вид работы;35)стаж работы;36)основание исчисления стажа;37)ставка;38)тип документа, удостоверяющего личность;39)реквизиты документа, удостоверяющего личность;40)расчетный счет;41)место работы;42)страховой стаж;43)оклад;44)начисления;45)средний заработок;46)дата приема на работу;47)дата увольнения;48)дата выхода на пенсию;49)льготы;50)пособия;17б) персональные данные пациента, состоящих в договорных и иныхгражданско-правовых отношениях с медицинским учреждением:1) фамилия;2) имя;3) отчество;4) дата и место рождения;5) пол;6) возраст;7) адрес места жительства;8) контактный телефон;9) реквизиты полиса ОМС (ДМС);10) страховой номер индивидуального лицевого счета в Пенсионномфонде России (СНИЛС);11) данные о состоянии здоровья;12) данные о заболеваниях.2.3 Классификация информационной системы персональных данныхВ ходе обследования было выявлено, что информационная системамедицинского учреждения разделена на сегменты.

В каждом сегментеобрабатывается разная информация и разные категории ПДн.Сегмент «Бухгалтерия и Кадры»В ходе обследования было выявлено: в сегменте обрабатываются иные категории персональных данныхне только сотрудников оператора; длясегмента актуальны угрозы, не связанные с наличиемнедокументированных (не декларированных) возможностей в18системном и прикладном программном обеспечении, используемомв информационной системе, то есть актуальны угрозы 3 типа; в сегменте обрабатываются данные менее 100 тысяч субъектовперсональных данных.Исходя из категорий и объема ПДн, одновременно обрабатываемых всегменте «Бухгалтерия и Кадры» и типа угроз на основании пункта 12подпункта «б» «Требований к защите персональных данных при ихобработке в информационных системах персональных данных» необходимообеспечить 4 уровень защищенности персональных данных.Сегмент «Работа с пациентами»В ходе обследования было выявлено: всегменте обрабатываются иные и специальные категорииперсональных данных не только сотрудников оператора; длясегмента актуальны угрозы, не связанные с наличиемнедокументированных (не декларированных) возможностей всистемном и прикладном программном обеспечении, используемомв информационной системе, то есть актуальны угрозы 3 типа.

Всегменте обрабатываются данные менее 100 тысяч субъектовперсональных данных;Исходя из категорий и объема ПДн, одновременно обрабатываемых всегменте «Регистрация пациентов» и типа угроз на основании пункта 11подпункта «в» «Требований к защите персональных данных при ихобработке в информационных системах персональных данных» необходимообеспечить 3 уровень защищенности персональных данных. Таким образом,системе нужно необходимо обеспечить 3 уровень защищенности.Неполный перечень угроз безопасности в информационной системемедицинского учреждения представлен в приложении Б. Полный переченьнаходится в медицинском учреждении.192.4 Каналы утечки информацииКаналы утечки информации представлены в таблице 2.2.Таблица 2.2 – Каналы утечки информации№п/пНазвание угрозыКанал утечки1ТА.001 Угроза утечки информации заКАНАЛЫ УТЕЧКИсчет распространения информативногоАКУСТИЧЕСКОЙакустического сигнала в воздушной среде.

(РЕЧЕВОЙ)ИНФОРМАЦИИ2ТА.002 Угроза утечки информации поКАНАЛЫ УТЕЧКИвиброакустическому каналу за счетАКУСТИЧЕСКОЙраспространения информа-тивного(РЕЧЕВОЙ)сигнала в инженерных коммуникацияхИНФОРМАЦИИ(трубы водоснабжения, отопления,вентиляции и т.д) и ограждающихстроительных конструкциях (стены,потолки, полы).ВероятностьМаловероятноМаловероятно3ТА.003 Угроза утечки информации повиброакустическому каналу за счетперехвата информативного сигнала сиспользованием закладных устройств.КАНАЛЫ УТЕЧКИАКУСТИЧЕСКОЙ(РЕЧЕВОЙ)ИНФОРМАЦИИМаловероятно4ТА.004 Угроза утечки информации поакустоэлектрическому каналу,возникающему за счетакустоэлектрических преобразований(«микрофонного эффекта») элементовВТСС.КАНАЛЫ УТЕЧКИАКУСТИЧЕСКОЙ(РЕЧЕВОЙ)ИНФОРМАЦИИМаловероятно5ТА.005 Угроза утечки информации черезВТСС по акустоэлектрическому каналу,осуществляемомупутем «высокочастотного навязывания».КАНАЛЫ УТЕЧКИАКУСТИЧЕСКОЙ(РЕЧЕВОЙ)ИНФОРМАЦИИМаловероятно20Продолжение таблицы 2.2ТП.001 Угроза утечки информацииза счет побочныхэлектромагнитных излучений(ПЭМИ) ТСПИ, возникающих припрохождении тока по ихтоковедущим элементам ТСПИ.7 ТП.002 Угроза утечки информацииза счет побочныхэлектромагнитных излучений(ПЭМИ), возникающих на частотахработы высокочастотныхгенераторов ТСПИ.8 ТП.003 Угроза утечки информацииза счет побочных электромагнитных излучений (ПЭМИ) на частотахсамовозбуждения усилителейнизкой частоты ТСПИ.9 ТП.004 Угроза утечки информацииза счет наводок электромагнитныхизлучений (ЭМИ) ТСПИ насоединительные линии ВТСС ипосторонние проводники,выходящие за пределы КЗ.10 ТП.005 Угроза утечкиинформативных сигналов за счет ихпросачивания в линииэлектропитания и цепи заземленияТСПИ.11 ТП.006 Угроза утечки информацииза счет съема информации,обрабатываемой ТСПИ, путемиспользования закладныхустройств.12 ТП.007 Угроза утечки информацииза счет перехвата информативногосигнала путем «высокочастотногооблучения» ТСПИ.6КАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятноКАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятноКАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятноКАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятноКАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятноКАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятноКАНАЛЫ ПОБОЧНЫХЭЛЕКТРОМАГНИТНЫХИЗЛУЧЕНИЙ И НАВОДОКМаловероятно21Окончание таблицы 2.213 ТА.007 Угроза утечкиакустической информации попараметрическому каналу,образованному за счет«высокочастотного облучения»помещения, где установленызакладные устройства,имеющие элементы, параметрыкоторых изменяются поддействием акустическогосигнала.14 ТА.008 Угроза перехватаакустической информации попараметриче-скому каналупутем приема модулированныхинформативных сигналовпобочных электромаг-нитныхизлучений (ПЭМИ) ТСПИ иВТСС.15 ТА.006 Угроза утечкиакустической ин-формации пооптико-электронному каналу засчет об-лучения лазернымлучом отражающихповерхностей (оконные стекла,зеркала и т.д), вибрирующихпод действиеминформативного акустическогосигнала.КАНАЛЫ УТЕЧКИАКУСТИЧЕСКОЙ(РЕЧЕВОЙ)ИНФОРМАЦИИМаловероятноКАНАЛЫ УТЕЧКИАКУСТИЧЕСКОЙ(РЕЧЕВОЙ)ИНФОРМАЦИИМаловероятноКАНАЛЫ УТЕЧКИАКУСТИЧЕСКОЙ(РЕЧЕВОЙ)ИНФОРМАЦИИМаловероятно2.5 Технологическая информацияАвтоматизированные рабочие места пользователей ИСПДнВ таблице 2.3 представлены характеристики ОТСС, используемых вИСПДн медицинского учреждения.

Характеристики

Список файлов ВКР