Министерство здравоохранения Камчатского края

Подготовка и аттестация регионального фрагмента единой информационной системы по требованиям безопасности информации

  • Заказчик:Министерство здравоохранения Камчатского края
  • Проект:Подготовка и аттестация регионального фрагмента единой информационной системы в сфере здравоохранения Камчатского края по требованиям безопасности информации

Министерство здравоохранения Камчатского края – высший орган исполнительной власти Камчатского края в сфере здравоохранения, подведомственный правительству региона. В компетенцию Министерства здравоохранения Камчатского края входит правовое регулирование в Камчатском крае сферы здравоохранения, включая организацию медицинской профилактики и медицинской помощи, фармацевтическую деятельность; обеспечение качества, эффективности и безопасности лекарственных средств; вопросы санитарно-эпидемиологического благополучия региона.

Информационные системы, сети и системы связи, используемые Министерством здравоохранения Камчатского края для выполнения своих функциональных задач, подпадают под действие обязательных требований ФСТЭК России и ФСБ России к обеспечению необходимого уровня защиты информации, обрабатываемой в государственных информационных системах (ГИС). Согласно регулирующему приказу №17 ФСТЭК для ГИС нормируется уровень обеспечения конфиденциальности, целостности и доступности информации, не составляющей государственную тайну.

С целью обеспечения требуемого уровня информационной безопасности (ИБ) Министерство здравоохранения Камчатского края провело конкурс на выполнение работ по подготовке к аттестации и аттестации регионального фрагмента единой информационной системы в сфере здравоохранения Камчатского края по требованиям безопасности информации, по результатам которого был выбран исполнитель в лице «АСТ», предложившая оптимальные условия и сроки оказания услуг.

[Подробнее][Свернуть]

Работы выполнялись в 50 лечебно-профилактических учреждениях, распределенных по всей территории Камчатского края. Многие из них, с учетом погодных и географических условий, доступны в короткий сезонный промежуток времени или только на воздушном транспорте. Общий объем работ составил около 2000 АРМ, а также всю сетевую, серверную и программную инфраструктуры, обеспечивающие функционирование ИС. Реализация была разделена на четыре этапа.

На первом этапе проведено комплексное обследование АИС Министерства здравоохранения Камчатского края:

  • Проведен сбор исходных данных по материально-техническому обеспечению информационно-вычислительной инфраструктуры Министерства здравоохранения Камчатского края, существующим и эксплуатируемым в сфере здравоохранения Камчатского края программным комплексам, оснащенности лечебно-профилактических учреждений вычислительной техникой, сетевым и компьютерным оборудованием с целью формирования технических паспортов АИС.
  • Определена информация, подлежащая обработке в АИС, изучены и описаны технологические процессы ее обработки.
  • Проведен сбор данных по персоналу, включая уровень квалификации, распределение обязанностей, уточнение степени участия персонала в обработке персональных данных, характер их взаимодействия между собой.
  • Изучены и проанализированы действующие организационно-распорядительные и нормативно-правовые акты, которым должна соответствовать АИС, и имеющиеся документы в области защиты информации, и их соответствие требованиям законодательства
  • Определены цели и задачи защиты информации в АИС, основные этапы создания системы защиты информации и функций по обеспечению защиты информации, содержащейся в АИС.
  • Проведено выявление и классификация угроз несанкционированного доступа к персональным данным.

На втором этапе выполнена разработка проекта типовых технических решений для реализации комплексной системы обеспечения информационной безопасности АИС Министерства здравоохранения Камчатского края и комплекта организационно-распорядительной документации, а также частной модели угроз безопасности персональных данных и нарушителя, которая была согласована с ФСТЭК России.

На третьем этапе выполнена реализация комплексной системы обеспечения информационной безопасности Министерства здравоохранения Камчатского края и аттестация объектов информатизации, включая:

  • Макетирование и тестирование системы защиты информации
  • Разработку эксплуатационной документации
  • Монтаж, установку и настройку средств защиты информации, технических и программных средств в защищенном исполнении, средств контроля в соответствии с требованиями по обеспечению безопасности информации ограниченного распространения и разработанной эксплуатационной документацией.

На четвертом этапе проведена аттестация по требованиям руководящих документов ФСТЭК России по безопасности информации.

Срок выполнения работ составил 11 месяцев. По результатам АИС Министерства здравоохранения Камчатского края полностью подготовлена к проведению аттестации и аттестована на соответствие требованиям нормативной документации к обеспечению защиты данных в ГИС, выдан аттестат соответствия АИС Министерства здравоохранения Камчатского края требованиям по безопасности информации.

Никита ПоповРуководитель проекта

«Работы по аттестации АИС Министерства здравоохранения Камчатского края потребовали комплексного подхода к обеспечению защиты хранимой и обрабатываемой информации. Соблюдение требований регуляторов – вовсе не формальность, а реальная методология и инструментарий, позволяющие добиться высокого уровня защищенности ИС. В процессе подготовки к аттестации и серии опытных и нагрузочных испытаний, мы выявили необходимые точки приложения усилий по защите, выполнили необходимые защитные меры технического и методологического характера. Все это позволило получить высокие реальные результаты защищенности и аттестовать АИС».

Цели проекта:

  1. Обеспечение необходимого уровня защиты информации, обрабатываемой в государственных информационных системах (ГИС)
  2. Аттестация информационной системы Министерства здравоохранения Камчатского края по требованиям безопасности

Достигнутые результаты:

  • АИС Министерства здравоохранения Камчатского края полностью подготовлена к проведению аттестации и аттестована на соответствие требованиям нормативной документации к обеспечению защиты данных в ГИС
  • Выдан аттестат соответствия АИС Министерства здравоохранения Камчатского края требованиям по безопасности информации