Аттестация школьного мед. кабинета - Форум по вопросам информационной безопасности

Здравствуйте. Вопрос такой: мы медицинское гос. учреждение, начали оказывать мед. услуги в школьных мед. кабинетах. Помещение предоставляется школой больнице безвозмездно по договору аренды, компьютерной техникой и выходом в интернет оснащается за счет школы. Работник будет работать из данного кабинета в государственной информационной системе по защищенному каналу Vipnet. Правильно ли я понимаю, что каждый мед. кабинет в каждой школе необходимо отдельно аттестовать, и заниматься этим должно наше мед. учреждение? Необходимо ли для каждого кабинета отдельно готовить комплект документации(регламенты, политики и т.д.) или можно на них распространить действие документации для уже аттестованных ИС(сегментов ГИС) самой больницы?

Если все АРМы в школе входят в один ГИС , у них одиннаковый класс защищенности , актуальные угрозы, то можно на все выдать 1 аттестат. Внутренние документы (регламенты, политики) распространяются на организацию, а не на АС

Прошу прощения, не уточнил: ГИС, в которой будет работать врач, является медицинской и самой школе не имеет отношения. Работает в ней только врач из нашей организации в помещении и на оборудовании, предоставляемом школой.

Я не имел ввиду все компьютеры школы) А все компьютеры которые находятся в помещениях где необходима аттестация, если они все в одной ГИС и ... (смотреть первый пост)

КЗ у вас долдна быть значит ограждающие конструкции помещений, где находятся аттестуемые АРМы

Не забудьте, что у вас СКЗИ, и для них тоже необходимо выполнить все требования, по учёту, хранению и т.п. и про нужность/ненужность лицензии не забыть...

Спасибо большое за ответы!

2 Андрей Николаевич, ГБУЗ

Напоминаю, что если медицинская ГИС минздрава, то они вам обязаны представить технические условия. Лучше свяжитесь неофициально сейчас, любят они за неделю до контрольного срока ставить ультиматумы (типа выполнить для комиссионной приёмки, иначе отложим на год). ТУ обычно открытые, должны дать.
Практически наверняка там будут и организационные, и технические меры прописаны, т.к. Випнет у них чаще свой, а может и УЦ ЭП свой. И принимать в эксплуатацию будут по своим требованиям - у них ГИС обычно уже аттестованная, и, кроме общих, подчиняется ведомственным приказам.

to Андрей Николаевич
Докину свои 5 копеек, ага...
Аттестация ПОМЕЩЕНИЙ в большинстве случаев не требуется (исключение - обсуждение информации ограниченного доступа в пределах данных помещений в речевом/акустическом варианте)...
Схема следующая (упрощенно):
1. школа предоставляет вам кабинеты. Вы размещаете в этих кабинетах технические средства своей информационной системы (ИС) + бумажные документы, если обработка информации ограниченного доступа проводится не только с применением средств автоматизации (тут смотрите постановление правительства, касающееся персональных данных без автоматизированной обработки).
2. разрабатываете (оптимизируете) меры безопасности для своей ИС, исходя из требований, предписанных Минздравом (например, есть соответствующий приказ 911н), + модели угроз, выданной Минздравом (желательно, не федерального уровня, а вашего местного)
3. реализуете эти меры безопасности для своей ИС. Там, где технические или организационные меры пересекаются со сферой школы (например, подключение к их коммутационному оборудованию связи с ИТКС Интернет, обеспечение охраны помещений и т.п.) - накладываете на школу соответствующие обязательства. Тут можно крутить по-разному, все зависит от выводов вашей Модели угроз и требований к созданию ИС.
4. вы подписываете со школой доп. соглашение о конфиденциальности и соблюдении мер безопасности, где в явном виде прописываете права и ответственность сторон, а также те меры безопасности, реализация которых относится к сфере школы (например, все та же охрана помещений в рамках охраны всего здания).
5. после реализации проводите аттестационные испытания этой ИС (если имеется обязательное требование аттестации, например, в приказах Минздрава или ТЗ на создание ИС или "приказ сверху" и т.п.), либо самостоятельно или с привлечением лицензиата ФСТЭК/ФСБ проводите оценку эффективности реализованных мер безопасности.
6. получаете на руки документацию, которую необходимо соблюдать, вести и модернизировать (в случае изменений).
7. с течением времени проводите периодические испытания контроля эффективности реализованных мер безопасности (период устанавливается опять-таки соответствующим приказами или иными решениями) и либо подтверждаете защищенность, либо модернизируете систему. Школа в этом случае выступает как арендатор + реализатор части мер безопасности в рамках своих полномочий.