Информационная безопасность и защита информации в медицинском учреждении

О персональных данных Федеральный Закон 152-ФЗ от 27 июля 2006 года Об информации, информационных технологиях и о защите информации Федеральный Закон 149-ФЗ от 27 июля 2006 года Об электронной подписи Федеральный Закон 63-ФЗ от 6 апреля 2011 года Основные законы:

Информация - сведения (сообщения, данные) независимо от формы их представления Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники Об информации, информационных технологиях и о защите информации Федеральный Закон 149-ФЗ от 27 июля 2006 года

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных Об информации, информационных технологиях и о защите информации Федеральный Закон 149-ФЗ от 27 июля 2006 года

Информация в зависимости от порядка ее предоставления или распространения подразделяется на: 1)информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается. Об информации, информационных технологиях и о защите информации Федеральный Закон 149-ФЗ от 27 июля 2006 года

Общедоступная информация Не может быть ограничен доступ к: нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина; к информации о правовом положении, полномочиях и деятельности государственных органов, органов местного самоуправления и организаций; об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); информации о состоянии окружающей среды; информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией. Об информации, информационных технологиях и о защите информации Федеральный Закон 149-ФЗ от 27 июля 2006 года

Сведения, составляющие государственную тайну Персональные данные Сведения, составляющие коммерческую тайну Сведения, связанные с профессиональной деятельностью Конфиденциальная информация Информация ограниченного доступа

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации Перечень сведений, составляющих государственную тайну, - совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. ЗАКОН РФ «О Государственной тайне» N от 21 июля 1993 года

Конфиденциальная информация Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные) Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее) Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна) Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 188 от 6 марта 1997 г.

Конфиденциальная информация Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от г. 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами РФ. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна). Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 188 от 6 марта 1997 г.

Федеральный Закон «О персональных данных» 152-ФЗ от 27 июля 2006 года Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Статья 6. Условия обработки персональных данных 1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных Федеральный Закон «О персональных данных» 152-ФЗ от 27 июля 2006 года Статья 10. Специальные категории персональных данных 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных 1. Субъект персональных данных… дает согласие на их обработку… за исключением случаев, предусмотренных частью 2 настоящей статьи… 2. Настоящим Федеральным законом… предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 4. …обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 5) перечень действий с персональными данными, на совершение которых дается согласие…; 6) срок, в течение которого действует согласие, а также порядок его отзыва. Федеральный Закон «О персональных данных» 152-ФЗ от 27 июля 2006 года

СОГЛАСИЕ на обработку персональных данных Я, нижеподписавшийся _Ф.И.О. полностью_, проживающий по адресу _по месту регистрации_, паспорт _серия и номер_, выдан _дата_ _название выдавшего органа_, в соответствии с требованиями статьи 9 федерального закона от г. «О персональных данных» 152-ФЗ, подтверждаю свое согласие на обработку _название и адрес медицинского учреждения_ (далее – Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, – в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией _название_ [и территориальным фондом ОМС] с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет (для стационара, пять лет – для поликлиники). Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной _дата_ и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи. Контактный телефон(ы) _________ и почтовый адрес _________ Подпись субъекта персональных данных __________

Статья 16. Защита информации 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) контроль за обеспечением уровня защищенности информации. «Об информации, информационных технологиях и о защите информации» Федеральный Закон 149-ФЗ от 27 июля 2006 года

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации 1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ. 2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться… за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. «Об информации, информационных технологиях и о защите информации» Федеральный Закон 149-ФЗ от 27 июля 2006 года

«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждено Постановлением Правительства РФ 781 от 17 ноября 2007 г. Под информационными системами персональных данных понимается совокупность: персональных данных, содержащихся в базах данных; информационных технологий; технических средств, позволяющих осуществлять обработку таких персональных данных: средства вычислительной техники; информационно-вычислительные комплексы и сети; средства и системы передачи, приема и обработки персональных данных: o средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства; o средства изготовления, тиражирования документов; o другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации; программные средства: o операционные системы, o системы управления базами данных и т.п.; o средства защиты информации, применяемые в информационных системах.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных…; 4) являющихся общедоступными персональными данными;… 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;… 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Федеральный Закон «О персональных данных» 152-ФЗ от 27 июля 2006 года

УВЕДОМЛЕНИЕ об обработке (о намерении осуществлять обработку) персональных данных ___________________________________________________________________ (наименование (фамилия, имя, отчество), адрес оператора) руководствуясь ____________________________________________________________ (правовое основание обработки персональных данных) с целью ___________________________________________________________________ (цель обработки персональных данных) осуществляет обработку: ___________________________________________________ (категории персональных данных) ___________________________________________________________________________ принадлежащих: ____________________________________________________________ (категории субъектов, персональные данные которых ___________________________________________________________________________ обрабатываются) Обработка вышеуказанных персональных данных будет осуществляться путем ___________________________________________________________________________ (перечень действий с персональными данными, общее описание ___________________________________________________________________________ используемых оператором способов обработки персональных данных) ___________________________________________________________________________ (описание мер, которые оператор обязуется осуществлять при обработке ___________________________________________________________________________ персональных данных, по обеспечению безопасности персональных данных при их обработке) Дата начала обработки персональных данных: ____________________________ Срок или условие прекращения обработки персональных данных: ___________ ___________________________________________________________________________ _______________ ___________________________ (должность) (подпись) расшифровка подписи "__" _____________ 200_ г. Приказ Россвязькомнадзора «Об утверждении образца формы уведомления об обработке персональных данных» от 17 июля 2008 г. 08

Приказ Россвязьохранкультуры «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных» от N 154 Реестр - перечень, список операторов, осуществляющих обработку персональных данных; Ведение реестра операторов - деятельность Службы, включающая сбор, фиксацию, обработку, хранение и предоставление данных, составляющих систему ведения реестра операторов, осуществляющих обработку персональных данных; Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

О персональных данных Федеральный Закон 152-ФЗ от 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. Фатальная дата:

О персональных данных Федеральный Закон 152-ФЗ от 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года. Фатальная дата: (в ред. Федеральных законов 266-ФЗ от и 363-ФЗ от )

О персональных данных Федеральный Закон 152-ФЗ от 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года. Фатальная дата: (в ред. Федерального закона 359-ФЗ от )

О персональных данных Федеральный Закон 152-ФЗ от 27 июля 2006 года Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ Статья 25. Заключительные положения 3. Утратил силу. - Федеральный закон от N 261-ФЗ. Фатальная дата:

утрату, блокирование, искажение, подделку, несанкционированный доступ (не связанный с выполнением функциональных обязанностей и не оформленный документально); хищение (несанкционированное копирование) информации. Информационная безопасность должна обеспечивать сохранность информации и предотвращать:

Как будем защищать ?

Что где «протекает» Утечка базы Госкомстата, содержащая результаты всероссийской переписи населения 2002 года Утечка данных из Центробанка РФ о платежах через расчетно- кассовые центры ЦБ за второй и третий кварталы 2004 года. Утечка данных из Центробанка РФ о платежах через расчетно- кассовые центры ЦБ за четвертый квартал 2004 года. Утечка 40 млн. записей о владельцах кредитных карт в 2004 году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover. Утеря компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов В ноябре 2005 года в продаже появилась база с налоговыми декларациями почти 10 млн. москвичей за 2004 год. Весной 2006 года в Интернете принимались заказы на базу данных московской паспортно-визовой службы с паспортными данными 16,5 млн. бывших и нынешних жителей столицы

Департамент образования Вирджинии потерял флэшку с данными 100 тыс. студентов Как стало известно Washington Post, свыше 100 тыс. джентльмен находятся под угрозой кражи личности. Причиной инцидента стала утрата 2-гигабайтной флэшки с базой данных Департамента образования Вирджинии 20 октября Число пострадавших могло быть ещё больше, при всем при том выборка ограничивалась, преимущественно, студентами-выпускниками штата за гг., говорится в сообщении компании Perimetrix. Данные на флэшке планировалось передать родственной организации для проведения исследований по федеральному заказу. Как заявил агент Департамента образования Чарльз Пайл (Charles B. Pyle), передача незашифрованных данных на флэш-накопителе противоречит политике организации. Ему вторит и начальник Департамента образования Патрисия Райт. По ее словам, в организации вопросам конфиденциальности уделяют самое пристальное внимание, разработаны соответствующие политики, и все-таки никакая политика не поможет в случае человеческой ошибки.

В США украдены данные студентов-заемщиков Некоммерческая организация ECMC, помогающая студентам обслуживать кредиты на образование, сообщила о краже из ее штаб- квартиры сведений о 3,3 миллиона заемщиков. Информация, находившаяся на съемном носителе, была украдена в промежуток с 20 по 21 марта. ECMC берет на себя обслуживание долгов студентов в том случае, когда они признаются банкротами. Эта организация является официальным гарантом займов подобного рода в штатах Виржиния, Орегон и Коннектикут. По официальным данным, украденный накопитель содержал сведения об именах, местах проживания, датах рождения и номерах социальных карт студентов-заемщиков. В ближайшее время всем потенциальным жертвам утечки будут разосланы соответствующие уведомления, помимо этого им предложат бесплатно воспользоваться услугами агентства Experian по финансовому мониторингу.

Важнейший принцип обеспечения информационной безопасности: «Принцип враждебности окружения»

Защищенная система отличается от всех прочих в первую очередь тем, что рассматривает проблему обеспечения безопасности информационных систем как лежащую на стыке двух направлений: общей безопасности и автоматизации обработки информации. Въезд на территорию Вход в здание Внутренняя система разграничения доступа и слежения Вход в компьютер и в ЛВС Вход в информационную систему Система разграничения доступа и слежения

Государственная техническая комиссия при Президенте Российской Федерации создана Указом Президента Российской Федерации от 5 января 1992 года 9 с задачами проведения единой технической политики, организации и контроля работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности. Гостехкомиссия России является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию и по противодействию техническим средствам разведки на территории Российской Федерации. Указом Президента Российской Федерации от 16 августа 2004 года N 1085 Гостехкомиссия преобразована в Федеральную службу по техническому и экспортному контролю

АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ (АС) И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ Гостехкомиссия России, 1997 Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности Классы Б, А Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности Классы Б, А Классы Д, Г, В, Б, А

ИС здравоохранения должны иметь средства защиты информации от несанкционированного доступа в соответствии с руководящим документом (РД) Гостехкомиссии при Президенте РФ «Классификация автоматизированных систем и требования по защите информации», 1997 г. В зависимости от уровня конфиденциальности информации, подлежащей защите от несанкционированного доступа, класс ИС должен быть выбран из 1Д, 1Г, 1В, 1Б, 1А указанного РД Гостехкомиссии. Стандарт организации СТО МОСЗ «Информационные системы в здравоохранении. Общие требования» (Дата введения – 1 июля 2004 г.)

Информационные системы, в которых решаются задачи ОМС, включая персонифицированный учет застрахованных и учет данных о медицинской помощи, должны соответствовать требованиям по защите информации уровня 1Д; При передаче конфиденциальной (персонифицированной) информации по открытым каналам связи надлежит использовать средства маскирования данных, на основе методов шифрования. «Положение по обеспечению безопасности и защиты информации в системе ОМС»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных). Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). По характеристикам безопасности персональных данных, обрабатываемых в информационной системе, они подразделяются на:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. К специальным информационным системам относятся: Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

Класс типовой ИСПДн определяется на основе категории (Х пдн ) и объема (Х нпд ) обрабатываемых ПДн

категория 1 персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 обезличенные и (или) общедоступные персональные данные. Категория ПДн, подлежащих защите (X нпд ) определяется из числа следующих: Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

категория 4 обезличенные и (или) общедоступные персональные данные. категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 2 персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 1 персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; Категория ПДн, подлежащих защите (X нпд ) определяется из числа следующих: Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

категория 4 Фамилия, Имя, Отчество категория 3 адрес места жительства (прописки), сведения о месте работы или учебы категория 2 табельный номер, ИНН, СНИЛС категория 1 медицинские данные

По объему обрабатываемых ПДн (X пд ) различают: 1. в информационной системе одновременно обрабатываются персональные данные более чем субъектов ПДн или ПДн субъектов персональных данных в пределах субъекта РФ или РФ; 2. в информационной системе одновременно обрабатываются ПДн от 1000 до субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; 3. в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн пределах конкретной организации. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

На основе категории (Х пдн ) и объема (Х нпд ) обрабатываемых ПДн класс типовой ИСПДн определяется в соответствии со следующей таблицей: Категория ПДн (Х пдн ) Объем обрабатываемых ПДн (Х нпд ) 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20

Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Руководящие документы ФСТЭК России: Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г).

Руководящие документы ФСТЭК России: Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). ДСП

Руководящие документы ФСТЭК России: Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). ДСП СНЯТ СНЯТ ЧАСТИЧНО СНЯТ

Руководящие документы ФСТЭК России: Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (14 февраля 2008 г). Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). ДСП Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных (15 февраля 2008 г). ДСП СНЯТ Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (15 февраля 2008 г). ДСП СНЯТ СНЯТ ЧАСТИЧНО СНЯТ Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено Приказом ФСТЭК России 58 от 5 февраля 2010 г.)

Учитывая особенности функционирования, небольшое количество актуальных угроз и незначительность опасности их реализации, МИС определяется как специальная ИСПДн с требованиями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в основном, соответствующими 3-му классу. Модель угроз типовой медицинской информационной системы типового лечебно профилактического учреждения Минзравсоцразвитие, 2009

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 1. Приказы 1.1. О назначении комиссии для проведения обследования и классификации информационной системы обработки персональных данных в учреждении 1.2. Об организации автоматизированной обработки и защиты персональных данных в учреждении 1.3. О проведении (приемочных) испытаний системы защиты информации в учреждении 1.4. О вводе в эксплуатацию системы защиты информации в учреждении О проведении (утверждении плана) проверки выполнения мероприятий по обеспечению безопасности информации в учреждении

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 2.1. Отчет (акт) о результатах обследования информационной системы учреждения 2.2. Перечень сведений конфиденциального характера, обрабатываемых в учреждении 2.3. Акт классификации информационной системы персональных данных учреждения 2.4. Модель угроз безопасности персональных данных и иной конфиденциальной информации в учреждении 2.5. Требования по обеспечению безопасности информации (персональных данных) 2.6. Матрица доступа к ресурсам информационной системы учреждения 2.7. Акт(ы) установки сертифицированных средств защиты информации 2.8. Протокол (акт) приемочных испытаний системы защиты информации 2.9. Технический паспорт на аттестуемую автоматизированную систему Аттестат соответствия информационной (автоматизированной) системы требованиям по безопасности информации Декларация подтверждения соответствия информационной системы учреждения требованиям по безопасности информации Акт (отчет) по результатам внутренней проверки (внешнего аудита) выполнения мероприятий по обеспечению безопасности информации 2. Отчеты, акты, перечни

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ Акт(ы) выполнения работ по техническому обслуживанию средств защиты информации Акт(ы) об уничтожении персональных данных Копия "Уведомления об обработке персональных данных", направленного учреждением (оператором) в территориальный орган Роскомнадзора Выписка из реестра операторов персональных данных Лицензия на техническую защиту информации 3. Положения, инструкции, регламенты 3.1. Положение об (политика) информационной безопасности в учреждении 3.2. Положение о защите персональных данных пациентов и работников учреждения 3.3. Положение о подразделении по защите информации в учреждении 3.4. Инструкция администратору безопасности информации 3.5. Инструкция пользователю информационной системы по защите информации

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 3.6. Положение (инструкция) по организации пропускного режима и порядке допуска в служебные помещения в учреждении 3.7. Порядок оформления, учета и хранения письменного согласия пациента на обработку его персональных данных в медицинском учреждении 3.8. Порядок информирования пациентов об обработке их персональных данных в медицинском учреждении 3.9. Инструкция по использованию электронной почты общего пользования в учреждении Инструкция по использованию защищенной (корпоративной) сети передачи данных Инструкция по работе с Интернет в учреждении Инструкция по использованию средств антивирусной защиты Инструкция по организации парольной защиты в информационной системе учреждения Инструкция по учету, хранению и использованию машинных носителей данных, содержащих сведения конфиденциального характера

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ Инструкция по резервному копированию и восстановлению данных в информационной системе учреждения Положение (инструкция) о порядке работы с электронным журналом регистрации и учета обращений (запросов) пользователей информационной системы учреждения к персональным данным Регламент (инструкция) учета записи на внешние носители информации и печати документов, содержащих персональные данные Инструкция по действиям в нештатных ситуациях, связанных с нарушениями функционирования системы безопасности информации Инструкция по использованию средств криптографической защиты информации Программа и методика испытаний информационной системы учреждения по требованиям безопасности информации

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 4. Журналы, ведомости 4.1. Электронный журнал учета обращений (запросов) пользователей ИС учреждения к персональным данным 4.2. Журнал учета мероприятий по обеспечению безопасности информации в учреждении 4.3. Журнал учета инструктажа сотрудников учреждения по обеспечению режима защиты информации 4.4. Журнал(ы) учета сдачи под охрану и вскрытия служебных помещений 4.5. Ведомость учета пациентов, давших и отозвавших согласие на обработку их персональных данных 4.6. Журнал учета обращений и информирования пациентов об обработке их персональных данных в учреждении 4.7. Журнал учета обмена электронными сообщениями (документами) по защищенной сети передачи данных

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 4.8. Журнал учета записи (копирования) персональных данных на внешние машинные носители 4.9. Журнал учета печати документов, содержащих персональные данные Журнал учета случаев нарушения режима (инцидентов) безопасности информации в учреждении Журнал учета внешних машинных носителей информации Журнал учета резервного копирования и восстановления данных на программно-аппаратном комплексе ИС учреждения Журнал учета антивирусных проверок на программно-аппаратном комплексе ИС учреждения Журнал учетных записей пользователей ИС учреждения Журнал учета мероприятий по техническому обслуживанию программно-технических средств ИС учреждения Журнал(ы) учета настроек средств(а) защиты информации

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ Журнал учета заявок пользователей ИС на техническое обслуживание компьютеров Журнал учета криптографических средств Технический (аппаратный) журнал криптографического средства Ведомость нормативно-методических, распорядительных и учетных документов по обеспечению безопасности информации в учреждении Ведомость учета средств защиты информации, технической эксплуатационной документации системы защиты информации

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 5. Техническая документация 5.1. план-схема контролируемой зоны 5.2. план-схема инженерных коммуникаций, электроснабжения и заземления, с привязкой к границам контролируемой зоны (для систем классов К1, К2) 5.3. план-схема размещения основных технических средств связи и вспомогательных технических средств и систем (ВТСС), и их кабельных линий 5.4. план-схему размещения технических средств информационной системы учреждения, с привязкой к границам контролируемой зоны 5.5. перечень и спецификации используемых: а) средств вычислительной техники, б) общесистемного и прикладного программного обеспечения (с указанием их размещения (установки) на каждом компьютере / сервере)

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ 5.6. спецификации средств защиты информации (СЗИ) с указанием серийных (заводских) номеров изделий, реквизитов лицензий и сертификатов соответствия, а также перечней (реквизитов) эксплуатационной (технической) документации а СЗИ; 5.7. инструкции по использованию аппаратных и программных СЗИ (в инструкции администратору ОБИ и пользователям ИС могут включаться ссылки на эти инструкции, их отдельные разделы и пункты); 5.8. иная техническая документациюяСЗИ (ведомость ЭД, описания, инструкции по установке, настройке и обслуживанию и т.д.); 5.9. учетные эксплуатационные документы СЗИ (журналы учета настроек СЗИ, учета мероприятий по техническому обслуживанию СЗИ и др.); лицензии и копии сертификатов на используемые СЗИ, акты об их установке и вводе в действие

ПЕРЕЧЕНЬ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОМ УЧРЕЖДЕНИИ ИТОГО 74 ГРУППЫ ДОКУМЕНТОВ

Красноярский краевой фонд обязательного медицинского страхования Клиническая больница 42 Федерального медико- биологического агентства Городская станция скорой медицинской помощи Большемуртинская центральная районная больница Бородинская центральная городская больница Емельяновская центральная районная больница Иланская центральная районная больница Козульская центральная районная больница Саянская центральная районная больница Центральная городская больница г. Сосновоборска Нижнеингашская центральная районная больница Медицинский центр гинекологической эндокринологии и репродукции План проведения плановых проверок юридических лиц и индивидуальных предпринимателей на 2011 год Роскомсвязьнадзора

64. В ходе проведения проверки Служба или ее территориальный орган осуществляет следующие мероприятия по контролю: Рассмотрение документов Оператора, в том числе: Уведомления об обработке персональных данных Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан, и информации, поступившей в Службу или ее территориальный орган Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных Письменного согласия субъекта персональных данных на обработку его персональных данных Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных Исследование (обследование) информационной системы персональных данных в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Приказ от 1 декабря 2009 г. 630 «Об утверждении административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»

Фундаментальная проблема Защищенность Удобство Дешевизна

1.Идентификация, проверка подлинности и контроль доступа субъектов (пользователей) в систему по идентификатору (коду) и паролю, длиной не менее шести буквенно-цифровых символов. 2.Регистрация и учет входа (выхода) субъектов доступа в (из) системы (узел сети), включающая: дату и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа. 3.Физическая охрана средств вычислительной техники и носителей информации, предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС. 4.Учет носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку компьютера). 5.Обеспечение целостности программных средств и обрабатываемой информации. 6.Периодическое тестирование средств защиты информации от несанкционированного доступа. 7.Наличие средств восстановления средств защиты информации от несанкционированного доступа. Общие требования к информационным системам

В медицинской организации, использующей электронные медицинские архивы, должен существовать документ "Политика безопасности" в отношении электронных персональных медицинских записей. В открытой части документа должно быть отражено: сведения об ЭМА, существующих в данной организации (включая их идентификаторы); сведения о типах ЭПМЗ, содержащихся в этих архивах; сведения о мерах безопасности, использующихся для обеспечения сохранности, неизменности и достоверности ЭПМЗ; сведения о лицах, имеющих права на создание, ведение, подписание, доступ, просмотр, распечатку, копирование и передачу ЭПМЗ по электронным каналам связи, с указанием способов обеспечения этих прав в конкретных ситуациях; сведения о лицах, ответственных за обеспечение безопасности и прав доступа в системе; сведения о лицах, имеющих особые права в данной системе (администрирование архива, выполнение особо ответственных и нештатных процедур), с указанием меры их ответственности. Закрытая часть ПБ должна содержать описание технических методов и средств обеспечения безопасности ЭМА и предоставляться только органам по сертификации или иным компетентным органам по решению суда. Национальный стандарт РФ ГОСТ Р «Электронная история болезни. Общие положения» (Дата введения - 1 января 2008 года)

Идентификация (лат. Identifico отождествлять) в компьютерной безопасности процесс сообщения субъектом своего имени или номера, с целью получения определённых полномочий (прав доступа) на выполнение некоторых (разрешенных ему) действий в системах с ограниченным доступом. Аутентификация (англ. Authentication) или подтверждение подлинности процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации. Авторизация (англ. Authorization) процесс, а также результат процесса проверки (через идентификацию или аутентификацию) некоторых обязательных параметров пользователя и, при успешности, предоставление ему определённых полномочий (прав доступа) на выполнение некоторых (разрешенных ему) действий в системах с ограниченным доступом.

Парольная защита Доступ пользователя к информационным ресурсам компьютера и / или локальной вычислительной сети предприятия должен разрешаться только после его идентификации и аутентификации по псевдониму (логину) и паролю. В качестве пароля должна выбираться последовательность символов, обеспечивающая малую вероятность её угадывания. Пароль должен легко запоминаться. Запрещается использовать в качестве пароля «пустой» пароль, имя входа в систему, простые пароли типа «123», «111», «qwerty» и им подобные, а так же имена и даты рождения своей личности и своих родственников, клички домашних животных, номера автомобилей, телефонов и другие пароли, которые можно угадать, основываясь на информации о пользователе. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации, в том числе на предметах. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем

Парольная защита Выдачу пользователем паролей должен производить администратор информационной системы, который ведет "Журнал смены личных паролей". Внеплановая смена (удаление) личного пароля любого пользователя автоматизированной системы должна производиться в случае прекращения его полномочий (увольнение, либо переход на другую работу) немедленно после окончания последнего сеанса работы данного пользователя системы. Внеплановая полная смена всех паролей должна производится в случае прекращения полномочий администраторов информационной безопасности и других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению автоматизированной системой в целом, либо полномочия по управлению подсистемой защиты информации данной автоматизированной системы, а значит, кроме личного пароля им могут быть известны пароли других пользователей системы. Для организации своевременной и эффективной парольной защиты необходимо внесение записи – отметки о блокировании (удалении) пароля в обходной лист увольняемого сотрудника.

Двухфакторная защита Контактный считыватель смарт-карт, подключаемые через порт USB Смарт-карты врача и пациента, используемые в системе здравоохранения Германии и Франции Социальная карта жителя Красноярского края

Двухфакторная защита Программно – аппаратные средства защиты информации, сертифицированные Гостехкомиссией России («Аккорд - АМДЗ», «Криптон - замок/PCI», электронные замки «Соболь»). iButton семейство микроэлектронных устройств фирмы Dallas Semiconductor (USA)

Биометрическая аутентификация личности Отпечатки пальцев

Биометрическая аутентификация личности Сканирование радужной оболочки или глазного дна Аутентификации личности с помощью биометрического считывателя HandKey

Биометрическая аутентификация личности Оценка индивидуальных черт лица

Федеральный Закон «Об электронной подписи» 63-ФЗ от 6 апреля 2011 года

Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи

Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года Простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом Усиленная электронная подпись Неквалифицированная электронная подпись 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи Квалифицированная электронная подпись 5) Имеет ключ проверки электронной подписи указан в квалифицированном сертификате; 6) Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия

Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи Владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи

Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом Участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане

информационной системе общего пользования - ее участником или по его обращению удостоверяющим центром; корпоративной информационной системе - в порядке, установленном в этой системе. Участник системы ЭДО Закрытый ключ Открытый ключ СертификатЭЦП Создание ключей электронных цифровых подписей осуществляется для использования в: Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года

Схема электронного документооборота Автор документа – владелец ЭЦП Закрытый ключ Получатель документа Открытый ключ Только при ЭДО !

ПЛАТЕЖНОЕ ПОРУЧЕНИЕ Схема электронного документооборота Автор документа – владелец ЭЦП 1 этап. Создание документа

ПЛАТЕЖНОЕ ПОРУЧЕНИЕ Схема электронного документооборота Автор документа – владелец ЭЦП 2 этап. Шифрование документа

ПЛАТЕЖНОЕ ПОРУЧЕНИЕ Схема электронного документооборота Автор документа – владелец ЭЦП ЖНТАЕПЛЕО ЧЕНУПЕРОЕ 2 этап. Шифрование документа

Схема электронного документооборота Автор документа – владелец ЭЦП ЖНТАЕПЛЕО ЧЕНУПЕРОЕ 2 этап. Шифрование документа

ЖНТАЕПЛЕО ЧЕНУПЕРОЕ Схема электронного документооборота Автор документа – владелец ЭЦП Открытый ключ После подписания документ изменить НЕВОЗМОЖНО! 3 этап. Подписание документа Хэш-функция

Схема электронного документооборота 4 этап. Пересылка документа Кому: Банк Москвы Автор документа – владелец ЭЦП

Схема электронного документооборота Получатель документа 5 этап. Получение документа Кому: Банк Москвы

Схема электронного документооборота Получатель документа 6 этап. Проверка ЭЦП Кому: Банк Москвы Подпись есть! Хэш-функция совпадает!

ЖНТАЕПЛЕО ЧЕНУПЕРОЕ Схема электронного документооборота Получатель документа 7 этап. Чтение документа Кому: Банк Москвы

ЖНТАЕПЛЕО ЧЕНУПЕРОЕ Схема электронного документооборота Получатель документа 7 этап. Чтение документа Кому: Банк Москвы ПЛАТЕЖНОЕ ПОРУЧЕНИЕ

Хеширование – вычисление контрольной суммы бит электронного документа (дайджеста) с целью проверки наличия или отсутствия его искажений после электронного подписания (умышленного или вызванного ошибками при передаче по каналам связи).

Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью 1.Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами… установлено требование о необходимости составления документа исключительно на бумажном носителе. 2.Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года

Простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом Федеральный Закон «Об электронной цифровой подписи» 63-ФЗ от 6 апреля 2011 года

Необходимость криптографической защиты конфиденциальной информации (как подлежащей обязательной защите, так и не подлежащей обязательной защите) при ее обработке, хранении и передаче по каналам связи в случае отсутствия обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы, и выбор типа СКЗИ определяются ее пользователем (в случае, если собственником информационных ресурсов или уполномоченным им лицом предварительно не определена необходимость криптографической защиты конфиденциальной информации и не выбран требуемый тип СКЗИ). Положение «ПКЗ-99» Утверждено Приказом ФАПСИ при Президенте РФ от

Права доступа к информации совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации. Права доступа определяют набор действий (чтение, запись, выполнение), разрешённых для выполнения субъектам (пользователям системы) над объектами данных. Система разграничения доступа (СРД) субъектов к объектам рассматривается в качестве главного средства защиты от НСД к информации по РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

-персональными, то есть предоставленными сотруднику лично; -должностными, то есть предоставленными сотруднику в соответствии с занимаемой им должностью (лечащий врач, зав. отделением, нач.мед. и др.); -ситуационными (ролевыми), то есть отвечающими той ситуации (роли), в которой сотрудник исполняет свои обязанности (например, дежурный врач на время дежурства должен иметь больше прав, чем врач отделения; врач-консультант только при проведении консультации или врач-лаборант при выполнении исследования может получать полный доступ ко всем ЭПМЗ пациента); - административными, то есть расширенными правами доступа, предоставленными специальному персоналу, осуществляющему администрирование медицинских архивов и ЭПМЗ, обеспечивающему безопасность и разрешение нештатных ситуаций. Права доступа могут быть:

Сохранность данных Резервирование Резервное копирование Архивирование

Резервирование: RAID как обязательный атрибут сервера RAID (Redundant Array of Independent Disks) избыточный массив независимых дисков A-1 A-2 A-3 A-4 A-1 A-2 A-3 A-4 RAID-1

Обеспечение сохранности возможно более свежих рабочих данных при утрате или повреждении основных носителей рабочей информации. Обеспечение заданной регулярности создания резервных копий. Обеспечение заданного времени восстановления рабочей информации из резервной копии Задачи резервного копирования:

Обеспечение возможности просмотра старых версий файлов, в том числе файлов, уже удаленных с серверов локальной сети. Обеспечение надежного хранение архивных данных в течение установленного периода времени. Обеспечение заданного времени доступа к запрошенной архивной или рабочей информации. Задачи архивирования:

Схема архивирования и резервного копирования пользователь Сервер 1Сервер 2Удаленный сервер Устройство архивирования

Запуск мастера архивации и восстановления Пуск > Программы > Стандартные > Служебные > Архивация данных

Настройка архивации данных Шаг 1

Настройка архивации данных Шаг 2

Настройка архивации данных Шаг 3

Настройка архивации данных Шаг 4

Настройка архивации данных Шаг 5

Настройка архивации данных Шаг 6

Настройка архивации данных Шаг 7

Настройка архивации данных Шаг 8

Настройка архивации данных Шаг 9

Настройка архивации данных Шаг 10

Настройка архивации данных Шаг 11

Настройка архивации данных Шаг 12

Active Directory Federation Services (ADFS) Управление удостоверениями Защита информации Шифрованная файловая система (EFS) BitLocker Защита доступа к сети (NAP) Клиентская и серверная ОС Серверные приложения Периметр Службы Управление системой Руководство Средства для разработчиков Компоненты системы безопасности семейства Windows

Надежность информационной системы Готовность к использованию (система доступна для взаимодействия и применения); Безопасность (система имеет средства защиты от несанкционированного физического и логического доступа); Целостность (функционирование системы характеризуется полнотой, точностью, своевременностью и санкционированностью); Сопровождаемость (при необходимости система может подвергаться модернизации таким образом, что при последующем использовании она продолжает обладать тремя предыдущими свойствами). Доверие к системам. Принципы и критерии надежности систем. Версия 2.0 (SysTrust (SM/TM). Principes and Criteria for Systems Reliability. Version 2.0).

Информационная безопасность и локальные вычислительные сети Использование ЛВС с контроллером домена, управляющим всей работой сети, сертифицированным Гостехкомиссией Установка и настройка операционных систем на компьютерах пользователей сетевым администратором или его помощником Запрещение внесения каких-либо изменений в сетевые настройки со стороны пользователей Запрещение разрешения общего доступа к дискам и папкам компьютера Доступ к ресурсам компьютера должен разрешаться лишь конкретным пользователям Запрещение пользователям самостоятельной установки какого – либо программного обеспечения Все рабочие станции должны иметь резидентные антивирусные программы

Защита информации от пользователя Несоблюдение процедуры выхода из системы (выключения компьютера) Подключение компьютера к электрической сети, параллельно с бытовыми приборами (холодильниками, электрическими нагревателями и пр.), являющимися причиной бросков напряжения и выхода компьютера из строя; отсутствие сетевых фильтров и источников бесперебойного питания Несвоевременное обнаружение отказа вентиляторов источника питания, процессора, видеокарты Невыполнение проверок жесткого диска на наличие логических и физических ошибок, удаления временных файлов и дефрагментации Игнорирование системных сообщений об обнаруженных ошибках Неиспользование антивирусных программ или несвоевременное обновление их баз данных

Защита информации от пользователя Обучение пользователей; Разработка четких инструкций и требований по работе с программно – аппаратными средствами с указанием мер ответственности за их нарушение; Контроль за их исполнением и применение к нарушителям реальных и ощутимых санкций.

Опасности «глобализации»

2 ноября 1988 года выпускник Корнельского университета Роберт Таппан Моррис запустил свою программу, которая вышла из-под контроля автора и начала быстро перемещаться по сети. Червь Морриса инфицировал 6200 компьютеров. К прямым потерям были отнесены: остановка, тестирование и перезагрузка машин; идентификация червя, удаление, чистка памяти и восстановление работоспособности 6200 машин; анализ кода червя, дизассемблирование и документирование; исправление UNIX систем и тестирование. Прямые потери были оценены более чем в долларов. К косвенным потерям были отнесены: потери машинного времени в результате отсутствия доступа к сети; потери доступа пользователей к сети. Косвенные потери были оценены более чем в долларов. Общие затраты были оценены на сумму в долларов

Системы групповой работы и обмена сообщения являются легкой добычей для вредоносного кода и распространения нежелательного содержимого: Вирусы Вирусы-черви Программы «Троянские кони» Root-kits, bot-nets Нежелательные сообщения Фишинг Оскорбления и унижения

Опасности «глобализации» В августе 1996 года атакован сервер департамента юстиции США. В течение нескольких часов страницы сервера были заполнены фашистской атрибутикой и содержали пародию на Билль о телекоммуникациях. 6 сентября 1996 года атаке подвергся сервер компании PANIX, являющейся одним из крупнейших провайдеров Internet. В результате атаки компания несколько дней не могла предоставлять услуги своим абонентам. В октябре 1996 года на сервере ЦРУ вместо "Welcome to the Central Intelligent Agency" появился заголовок "Welcome to the Central Stupidity Agency" и непристойные тексты. 5 ноября 1996 года был атакован WWW-сервер газеты Нью-Йорк Таймс, в результате чего было практически невозможно следить за ходом президентских выборов. В ноябре 1996 года румынские кракеры заменили на WWW-сервере правительства портрет президента Илиеску на портрет его соперника Константинеску. 5 марта 1997 года взломан сервер NASA в Центре управления космическими полетами Годдарда. Кракеры разместили на страницах сервера свое обращение, в котором осуждалась коммерциализация Internet и выражался протест против судебного преследования знаменитых взломщиков Кевина Митника и Эда Каммингса.. 20 марта был вскрыт сервер Сэнфорда Уоллейса – президента рекламной фирмы Cyber Promotions. Кракеры поместили в UseNet копию похищенного файла паролей, содержащего зашифрованные пароли, имена и телефоны клиентов фирмы.

Число компьютерных вирусов за последние 15 лет

Антивирусная защита Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам от сторонних лиц и организаций; При возникновении подозрения на наличие компьютерного вируса пользователь должен провести внеочередной антивирусный контроль, или при необходимости привлечь специалистов информационного подразделения для определения факта наличия или отсутствия компьютерного вируса; При обнаружении компьютерного вируса пользователь или сетевой администратор обязан приостановить работу, провести лечение заражённых вирусом файлов штатными антивирусными средствами, а при невозможности или неэффективности лечения уничтожить заражённые вирусом файлы способом, исключающим их восстановление.

Ядра, разработанные различными лабораториями, имеют различный уровень эвристики У каждой лаборатории свой цикл выпуска обновлений вирусных сигнатур Количество обновлений в день Kaspersky20 Panda7 F-Secure6 - 7 Dr. Web6 AntiVir, H+BEDV5 - 6 eSafe5 Computer Associates F-Prot4 - 5 Sophos4 – 5 Trend Micro2 – 3 Symantec1 - 2 AV-Test.org

Опасности «глобализации» Все программы, используемые для доступа в Интернет, должны быть утверждены сетевым администратором и на них должны быть установлены все доработки производителя (patch), связанные с безопасностью. Во всех браузерах должно быть запрещена обработка Java, JavaScript и ActiveX из-за небезопасности данных технологий. Все браузеры должны быть сконфигурированы так, чтобы для доступа в Интернет использовался прокси-сервер из состава брандмауэра. Действия любого пользователя, подозреваемого в нарушении правил пользования Интернетом, должны быть запротоколированы, и использоваться для принятия решения о применении к нему санкций административного характера.

Опасности «глобализации» Пересылка сообщений, содержащих конфиденциальную информацию, допускается лишь при использовании лицензированных средств криптографической защиты. Для пересылки служебной информации запрещается использовать свои и чужие почтовые ящики, открытые на общедоступных почтовых серверах (Mail.ru, Rambler.ru и пр.).

VPN (Virtual Private Networks, виртуальная частная сеть) - технология безопасной передачи данных по каналам Интернет Internet

VPN (Virtual Private Networks, виртуальная частная сеть) - технология безопасной передачи данных по каналам Интернет Защищенные каналы – шифруется весь передаваемый и расшифровывает весь принимаемый трафик. Частные каналы – трафик шифруется так же, как и для защищенного канала, но соединение требует аутентификации отправителя. Промежуточные каналы – используются для промежуточной передачи зашифрованного трафика между двумя VPN.

Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ. Об информации, информационных технологиях и о защите информации Федеральный Закон 149-ФЗ от 27 июля 2006 года Статья 17. п. 1

Информация имеет действительную или потенциальную коммерческую ценность, Учреждение принимает определенные меры по охране конфиденциальности, Все сотрудники, знакомые с этими сведениями, должны быть официально предупреждены об их конфиденциальности. Применение санкций за несоблюдение требований информационной безопасности возможно, если: статья 139 Гражданского кодекса Российской Федерации

Дисциплинарные взыскания За совершение дисциплинарного проступка, т.е. неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям. Федеральными законами, уставами и положениями о дисциплине для отдельных категорий работников могут быть предусмотрены также и другие дисциплинарные взыскания. Порядок их применения сформулирован в ст. 193 Трудового кодекса РФ. Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения проступка, не считая времени болезни работника, пребывания его в отпуске, а также времени, необходимого на учет мнения представительного органа работников. определены Трудовым кодексом РФ от 30 декабря 2001 г. 197-ФЗ.

Дисциплинарные взыскания определены Трудовым кодексом РФ от 30 декабря 2001 г. 197-ФЗ. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Приказ (распоряжение) работодателя о его применении объявляется работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим его. Работодатель до истечения года со дня применения дисциплинарного взыскания имеет право снять его с работника по собственной инициативе, просьбе самого работника, ходатайству его непосредственного руководителя или представительного органа работников.

Административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое Кодексом или законами субъектов РФ об административных правонарушениях установлена административная ответственность в виде штрафа, который является денежным взысканием и может выражаться в величине, кратной: минимальному размеру оплаты труда (без учета районных коэффициентов), установленному федеральным законом на момент окончания или пресечения административного правонарушения; стоимости предмета административного правонарушения на момент окончания или пресечения административного правонарушения. Размер административного штрафа, налагаемого на граждан, не может превышать двадцать пять минимальных размеров оплаты труда (МРОТ), на должностных лиц – пятьдесят МРОТ, на юридических лиц – одну тысячу МРОТ.

Кодекс РФ об административных правонарушениях устанавливает меру ответственности за нарушения законодательства в области связи и информации. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати МРОТ; на юридических лиц - от ста до двухсот МРОТ с конфискацией несертифицированных средств защиты информации или без таковой.

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ 1.Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно- вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. Статья 272. Неправомерный доступ к компьютерной информации 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ 1.Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. 2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.

УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 1.Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. 2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.

ПРО ЭТО НУЖНО ПОМНИТЬ !

Ваши вопросы ? Сергей Дмитриевич Гусев, доцент кафедры медицинской информатики и инновационных технологий