На какие документы ИСПДн можно ориентироваться? - Форум по вопросам информационной безопасности

to Сергей
1. ПП РФ #1119 за 2012 г.
2. Приказ ФСТЭК России #21 за 2013 г.
3. Приказ Минздрава РФ #911н, кажись, за 2019 г. Он больше для ГИС-ИСПДн, зато профильный
4. Методч.документ ФСТЭК России за 2014 г. - меры защиты в гос.инф.системах
5. Методич.документ ФСТЭК России за 2021 г. - методика оценки угроз безопасности.

И то, на что эти документы ссылаются. Хватит для начала...

to oko
"Приказ Минздрава РФ #911н"
----
Приказ Министерства здравоохранения РФ от 24 декабря 2018 г. N 911н
"Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций"
---
Начал читать и немного прифигел от хотелок.

Требования к защите информации, содержащейся в информационных системах, и к программно-техническим средствам информационных систем

9. Программно-технические средства информационных систем должны:
г) обеспечивать хранение медицинской документации в форме электронных документов, предусматривая резервное копирование медицинской документации в форме электронных документов и метаданных, восстановление медицинской документации в форме электронных документов и метаданных из резервных копий

д) обеспечивать протоколирование и сохранение сведений о предоставлении доступа и о других операциях с документами и метаданными в автоматизированном режиме, а также автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений;

е) функционировать в бесперебойном круглосуточном режиме, за исключением установленных периодов проведения работ по обслуживанию информационных систем и устранению неисправностей в работе, суммарная длительность которых не должна превышать 4 часов в месяц (за исключением перерывов, связанных с обстоятельствами непреодолимой силы);

----

г) Я не припомню опции резервного копирования ни в ОС Windows, ни в любой СЗИ. Где искать такую сертифицированную ФСТЭК программу непонятно (бесплатных полно). Требование странное. По моему опыту нигде и ни у кого не реализованное. Но ведь закон требует.

д) Протоколирование и журналы доступа к данным. Вроде в большинстве СЗИ такое есть. Но вот в каком объеме...

е) функционировать в бесперебойном круглосуточном режиме? В современных реалиях бюджетных учреждений где всё разваливается?

Что то жестко.

to Сергей
<г.> - если про Win Srv, то плохо помните - начиная с DFS (при нескольких серверах), заканчивая ролью WinBackup. А так свободных и открытых утилит море. Да и никто не мешает копировать на сетевое хранилище хардкорно по SMB через соответствующий скрипт в планировщике. И главное, с чего вы взяли, что это должно быть сертиф.средство? Вы боитесь НДВ (отсутствие доверия, ага) в софте для резервного копирования? Так юзайте приведенный хардкорный метод или означенные выше службы - ОС-то все равно "недоверенная". Прикройте это все СЗИ НСД (если так нужно) + отделите от остальной сети через МЭ = и в путь...
<д.> - любое СЗИ НСД, "навешенное" на ОС, решит задачу протоколирования доступа к ОС и файловой системе. В случае с СУБД сложнее, но можно либо сертиф. СУБД, либо вообще без подобных СЗИ средствами самой ОС и СУБД. Можно и ППО сертифицировать. Можно... да масса вариантов, исходя из актуальных угроз и оценки "доверия", ага...
<е.> - извиняюсь, кто мешает сделать так, чтобы не разваливалось? Кто мешает вообще подтянуть и функционирование, и безопасность совместно и в рамках параллельных работ? Только не надо про отсутствие финансирования, ветхое железо и каналы связи и загруженность ответственных лиц. При том потоке бабла, что выделяется на здравоохранение в последние годы, можно и отдел сформировать, и для проектирования и внедрения нанять профессиональную организацию "под ключ", ага...
Грамотно выстроенная и поддерживаемая инфраструктура, как показывает практика, требует минимальных внедрений сторонних СЗИ. Если, конечно, массовое распихивание СЗИ не связано с "безголовыми хотелками сверху", "ретивым регулятором" или "отмыванием". Тогда на выходе, конечно, получим вагон железа, дистрибутивов и лицензий СЗИ, которые мало того, что нахрен не нужны, так и в принципе неприменимы к защищаемой ИС. Но это уже в другую степь разговор...

to oko
<г.> "ОС-то все равно "недоверенная"
По сути - да. По закону - нет. Windows имеет сертификат ФСТЭК.

<д.> - "любое СЗИ НСД, "навешенное" на ОС, решит задачу протоколирования доступа к ОС и файловой системе. " - верно. Но закон требует немного другое:
и фактов размещения, изменения и удаления информации, содержания вносимых изменений

Создание/изменение/удаление файла - отслеживание данных событий наверно есть в СЗИ.
Но вот "содержания вносимых изменений" - это ближе к Git. Не думаю, что СЗИ отслеживает именно содержание изменений. Факт - да, но вот что там конкретно изменили - нет.

<е.> Я не знаю куда идет этот поток бабла. Я его не вижу. Мы его не видим.
Работал в крупных мед организациях, городах миллионниках. Там где по 3 аппарата МРТ, целые больничные комплексы. Зарплаты копеечные. Компьютерная техника - старье. Почему - понятия не имею.

to Сергей
Primo, windows с сертификатом ФСТЭК и windows, покупаемая и используемая в общем случае - это две разные ОС (не столько технически, сколько организационно). И да, ФСТЭК на win никогда не выдавала сертификата по достаточному "доверию" (ндв, оуд) для использования в мед.ИС. Разве что в тех, где штампуют справки и заключения без анализов, анамнеза и прочей мед.специфики...
Secundo, вы смотрите на вещи по-старинке - "все функции должны быть реализованы исключительно применением сертиф.сзи и точка". Не надо так. Времена меняются, правила игры тоже. И достаточность реализации меры по протоколированию изменений в конкретных полях баз данных (или документов) средствами разработанных для этого механизмов пусть и без сертификата - вполне возможна...
imho, старое железо, левый софт-by-hattab и копеечные зарплаты - это не проблема дотаций из бюджета или глупости реализаторов, а, зачастую, вопрос злого умысла тех, кто находится в разрезе потока денег + нежелания оконечных эксплуатантов (до которых поток не доходит) менять устоявшееся положение вещей. И не только в сфере здравоохранения, увы. Только это все не означает принципиальную невозможность изменить ситуацию к лучшему, ага...

ЗЫ реально советую сходить на курсы повышения квалификации. Или хотя бы вживую пообщаться с нормальной конторой-лицензиатом. Чтобы не в форумном режиме основы текущей ситуации по ЗИ в стране узнавать, да и оперативность получения информации будет несравнимо выше...