Методические рекомендации Минздрава по защите персональных данных

персональные данные медицинаБолее вдумчиво прочитал Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Теперь для меня стала очевидной недооценка этих документов.

Все материалы есть на сайте Минздравсоцразвития в открытом доступе. Чтобы оценить качество и содержание, необходимо, конечно, потратить довольно много времени, но вот всеобъемлемость можно оценить беглым взглядом по содержанию. Предлагаю вниманию существенные разделы содержания документов.

Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости

1 Общие положения
2 Методология формирования модели угроз
3 Описание ИСПДн
3.1 Определение условий создания и использования персональных данных
3.2 Описание форм представления персональных данных
3.3 Описание структуры ИСПДн
3.4 Определение характеристик безопасности
4 Пользователи ИСПДн
5 Типы ИСПДн
5.1 Характеристики ИСПДн
5.2 Типизация ИСПДн
6 Уровень исходной защищенности
7 Вероятность реализации угроз безопасности
7.1 Классификация угроз безопасности
7.2 Классификация нарушителей
7.3 Классификация уязвимостей ИСПДн
7.4 Перечень возможных УБПДн
7.5 Определение вероятности реализации УБПДн
8 Реализуемость угроз
9 Оценка опасности угроз
10 Определение актуальности угроз в ИСПДн
Приложение 1 Обобщенная модель угроз для Автономной ИС I типа
Приложение 2 Обобщенная модель угроз для Автономной ИС II типа
Приложение 3 Обобщенная модель угроз для Автономной ИС III типа
Приложение 4 Обобщенная модель угроз для Автономной ИС IV типа
Приложение 5 Обобщенная модель угроз для Автономной ИС V типа
Приложение 6 Обобщенная модель угроз для Автономной ИС VI типа
Приложение 7 Обобщенная модель угроз для ЛИС I типа
Приложение 8 Обобщенная модель угроз для ЛИС II типа
Приложение 9 Обобщенная модель угроз для Распределенной ИС I типа
Приложение 10 Обобщенная модель угроз для Распределенной ИС II типа

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

1 Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн
2 Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 «О персональных данных»
3 Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений
4 Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя
5 Рекомендации по выполнению организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
5.1 Рекомендации по разработке Положения о защите персональных данных
5.2 Рекомендации по разработке Положения о подразделении по защите информации
5.3 Рекомендации по разработке Приказ о назначении ответственных лиц за обработку ПДн
5.4 Рекомендации по разработке Концепции информационной безопасности
5.5 Рекомендации по разработке Политики информационной безопасности
5.6 Рекомендации по разработке Перечня персональных данных, подлежащих защите
5.7 Рекомендации по разработке Приказа о проведении внутренней проверки
5.8 Рекомендации по разработке Отчета о результатах проведения внутренней проверки
5.9 Рекомендации по разработке Акта классификации информационной системы персональных данных
5.10 Рекомендации по разработке Положения о разграничении прав доступа к обрабатываемым персональным данным
5.11 Рекомендации по разработке Модели угроз безопасности персональных данных
5.12 Рекомендации по разработке Плана мероприятий по обеспечению защиты ПДн
5.13 Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
5.14 Рекомендации по разработке Плана внутренних проверок
5.15 Рекомендации по разработке Журнала по учету мероприятий по контролю состояния защиты ПДн
5.16 Рекомендации по разработке Журнала учета обращений субъектов ПДн о выполнении их законных прав 63
5.17 Рекомендации по разработке Инструкции администратора ИСПДн
5.18 Рекомендации по разработке Инструкции пользователя ИСПДн
5.19 Рекомендации по разработке Инструкции администратора безопасности ИСПДн
5.20 Рекомендации по разработке Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
5.21 Рекомендации по разработке Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
5.22 Рекомендации по разработке Технического задания на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения
5.23 Рекомендации по разработке Эскизного проекта на создание системы обеспечения безопасности информации объекта
5.24 Рекомендации по разработке Положения об Электронном журнале обращений пользователей информационной системы к ПДн
5.25 Рекомендации по разработке уведомления в территориальный орган Россвязькомнадзора
6 Рекомендации по выполнению технических мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
6.1 Обязательные технические мероприятия
6.2 Технические мероприятия, выполняемые, при выделении дополнительного финансирования
7 Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений
7.1 Рекомендации по применению программно- аппаратных средств для подсистемы управления доступом
7.2 Рекомендации по применению программно- аппаратных средств для подсистемы защиты от программно математических воздействий (ПМВ)
7.3 Рекомендации по применению программно- аппаратных средств для подсистемы регистрации и учета
7.4 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения целостности
7.5 Рекомендации по применению программно- аппаратных средств для подсистемы контроля отсутствия недекларированных возможностей (НДВ)
7.6 Рекомендации по применению программно- аппаратных средств для подсистемы антивирусной защиты
7.7 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения безопасного межсетевого взаимодействия ИСПДн
7.8 Рекомендации по применению программно- аппаратных средств для подсистемы анализа защищенности
7.9 Рекомендации по применению программно- аппаратных средств для подсистемы обнаружения вторжений
8 Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений

Ну и пакет с приложениями:

  • Положение о защите персональных данных в информационных системах персональных данных  (проект приказа)
  • Положение о подразделении по защите персональных данных в информационных системах персональных данных (проект приказа)
  • Приказ о назначении ответственных за обработку персональных данных в информационных системах персональных данных (проект приказа)
  • Концепция информационной безопасности информационных систем персональных данных
  • Политика информационной безопасности информационных систем персональных данных
  • Перечень персональных данных, подлежащих защите в информационных системах персональных данных
  • Приказ о проведении внутренней проверки информационных систем персональных данных  (проект приказа)
  • Отчет о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных
  • Акт классификации информационной системы персональных данных
  • Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных
  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
  • План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных
  • Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных
  • План внутренних проверок режима защиты персональных данных в ИСПД
  • Журнал по учету мероприятий по контролю обеспечения защиты персональных данных в ИСПД
  • Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД
  • Инструкция администратора ИСПД
  • Инструкция пользователя информационной системы персональных данных
  • Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
  • Инструкция администратора безопасности при использовании ресурсов объекта вычислительной техники
  • Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
  • Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
  • Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники
  • Типовой Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники
  • Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа)
  • Уведомление об обработке персональных данных
  • Рекомендации по заполнению Уведомления об обработке

Вывод

В заключение этого длинного поста, хочется напомнить, что цель методических документов ФСТЭК заключалась в разъяснении как нужно защищать персональные данные. На этом фоне Методические рекомендации Минздрава можно классифицировать как «разъяснения на разъяснения ФСТЭК». После прочтения этих документов должно стать понятнее, что же написано в документах ФСТЭК России.

Ох уж это письмо президенту

Довольно странный ажиотаж наблюдает вокруг письма президенту. Суть его проста. К президенту обращаются уже использующие свободное ПО граждане, пыраясь обратить внимание президента на возможность использования свободного ПО в качестве гарантии информационной безопасности страны. Письмо кажется странным по двум причинам:

1) Президент уже давно высказал свою позицию по этому вопросу. Он согласен с содержанием открытого письма. А раз так, тогда в чем его смысл?

2) Сначала в письме пишут «Просим Вас…» и уже в следующей строке «хотим ещё раз повторить наши основные требования». Нужно как-то определиться требуем или просим?

Посещение конференции «Россия и мир: Вызовы нового десятилетия»

В субботу был на конференции «Россия и мир: Вызовы нового десятилетия». Проходила она с 21-23 января в уважаемой и почти любимой Академии Народного Хозяйства при Правительстве РФ. Конференция была очень представительная. Докладчиками были (без фамилий): Министр финансов, Первый зампред ЦБ, Зампред Правительства РФ, несколько Губернаторов, Руководитель администрации президента и многие другие. За три дня была целая масса хороших и интересных докладов, поэтому жаль, что удалось посетить только последнюю сессию. Короткий репортаж можно посмотреть здесь.

Последняя сессия называлась:

ВРЕМЯ ИННОВАЦИЙ

Закономерно, что ведущими были:

Генеральный директор «РОСНАНО» Анатолий Чубайс и Ректор АНХ Владимир Мау.

Первое выступление, почти на час, было от главы РОСНАНО. Сразу скажу, что отношение к этому человеку у меня положительное, в отличие от большинства граждан РФ, о причинах говорить не буду. Что касается сути доклада, то message простой – строить инновационную экономику можно, нужно и даже необходимо. Скепсис имеет место быть, т.к. перейти на инновационные рельсы нашей стране не удавалось уже как минимум, дважды. В целом доклад сдержанно-позитивный и открытый. Особенно всем понравилось завершение доклада, за точность передачи слов не ручаюсь, но смысл следующий: «Ребят, дайте ответ. Только не в режиме почем ваучер за две Волги, а нормальный ответ на простой и понятный вопрос: Что делать? Тем более, что ответ на вопрос, кто виноват, уже дан».

Много говорили о законах и вообще, о юридическом обеспечении инновационной деятельности. Классный доклад на эту тему был от Директора Института законодательства и сравнительного правоведения при правительстве РФ Талии Хабриевой. Особенно запомнились слова, сказанные в конце: «Нужно остерегаться законов, которые порождены логикой, а не реальной жизнью». Не правда ли справедливо по отношению к закону, который мы столько времени обсуждаем?

Принципиально важную мысль высказал американец Джек Голдстоун. Он высказался за невозможность сравнения России с остальными странами БРИК (Бразилия, Индия и Китай), т.к. в отличие от остальных Россия уже прошла индустриализацию и застряла на этом месте, тогда как остальные пытаются сделать то, что мы завершили еще пол века назад.

Очень классными были и другие доклады.

Одним словом 4 часа не пропали зря.