ГИС ИСПдн Больница (глубинка) - Форум по вопросам информационной безопасности

Добрый день. Разъясните пожалуйста, работаю ИТ-сотрудником больницы в глубинке, просят подготовить документы по 152 фз.

Не могу понять следующие моменты. Область предоставляет нам доступы в ГИС "кадры медицинских учреждений" и в прочие ГИСы где мы вносим информацию о сотрудниках по веб доступу, нужно ли нам подготавливать документы по 17 пункту? Или же мы просто должно грубо говоря подготовить компы поставить антивирус и издать приказ о сотрудниках которые имею доступ туда??

Так же прошу дать разъяснение по Автоматизированным Системам (АС) (АС Смертность), сервера тоже в области стоят, правильно ли я понимаю что это не ГИС? Стоит ли их добавлять в перечень ИСПДн?

Так же у нас есть областная МИС (ЕМИАС), по факту сервера находятся в областном городе и курируются МЗ, нам предоставлен доступ по веб для внесения данных о пациенте, что нужно подготовить для данной системы?

Вопрос по матрице доступа. Обязательно ли нужно указывать ФИО сотрудников которым разрешен доступ в ИСПДн? Просто сотрудники приходят и уходят, не хотелось бы перепечатывать каждый раз приказ...

ИСПДн которые я выявил в своем МО: 1с зарплата и кадры, excel, word, DICOM, документооборот - все сервера находятся локально в МО

P.S Прощу прощения за глупые вопросы, человек я уже в годах, а на курсы по ИБ отправлять не хотят ибо нет денег, прошу посодействовать. Заранее спасибо

По всем информационным системам, владельцами которых ваша больница не является (не было ни распоряжений о создании их у вас, ни фактически это не ваша инициатива, оборудование и программные средства) - запрашивайте разъяснений у их владельца/оператора или в вышестоящей организации, которая указала на необходимость эксплуатации таких систем. Причем запрашивайте официально письмом, а не на словах. В разъяснениях запрашивайте статус этих систем (ГИС, ГИС-ИСПДн, просто ИСПДн, объект КИИ и т.п.), перечень актуальных угроз безопасности, требования безопасности к таким системам и, главное, перечень требований безопасности, которые вы должны выполнять со своей стороны. И дальше действуйте сообразно ответу. Плохому учить не хочу, но, если ответа нет - ничего не делайте. Но экземпляр запроса обязательно сохраните у себя - пригодится, если начнется разбор полетов и попытка наказать виновников (коими в большинстве своем являются абы кем сделанные и абы кем защищаемые региональные и иные системы, ага)...
По части своих систем вопрос не только в размещении серверов - важно, кто на бумаге является их владельцем и оператором. Далее разбирайтесь с их статусом, классификацией и общими порядками защиты и эксплуатации (это все можно по открытым источникам собрать). Но защиту организовывать и тем более все положения 152-ФЗ и подзаконных документов выполнять с 0, без квалификации будет крайне сложно. Там вообще стык ИТ, ИБ, юристов и кадровиков в большинстве своем требуется. Поэтому для однозначно своих систем настоятельно рекомендую найти вменяемого (с этим тоже далеко не всегда легко, ага) лицензиата ФСТЭК России и запросить у него консультацию...

При предоставлении вам доступа к ИС, её оператор (условно, облздрав) обязан оговорить условия подключения и эксплуатации. Начиная с элементарного, ТУ на ПК и связь, и заканчивая подписываемыми согласиями, инструкциями и пр. Это ИХ ИС!
Если по разгильдяйству это упущено, дайте запрос за подписью заведующего (главврача) о порядке работы и оформления В ИНФОРМАЦИОННОЙ СИСТЕМЕ ОБЛАСТИ (или Минздрава России, если на заставке так).
Не изобретайте велосипед из железной руды, это их обязанности. Вы должны обеспечить выполнение (установить, ознакомить под роспись, обучить, контролировать выполнение)

Для Городской больницы:

> ... просят подготовить документы по 152 фз
Если задача не конкретизирована, то она потенциальна не выполнима. Сначала лучше определить состав документов по видам и комплектам.

> Область предоставляет нам доступы в ГИС "кадры медицинских учреждений" и в прочие ГИСы где мы вносим информацию о сотрудниках по веб доступу, нужно ли нам подготавливать документы по 17 пункту?
Посмотрите документы, которые определяют условия предоставленного областью доступа в ГИС (соглашения / регламенты информационного взаимодействия, подключения или др.). Если условия доступа определяют у вас обязанности готовить какое-то документы, то увы. Делать придётся. По неясным вопросам по обеспечению ИБ в конкретных ГИС рекомендую у владельцев этих ГИС запрашивать официально разъяснения, рекомендации, формы документов. Это поможет "синхронизовать" работу по защите информации на рабочих местах с мерами в ГИСах.
Не очень понятно документы по пункту 17 чего?

> Или же мы просто должно грубо говоря подготовить компы поставить антивирус и издать приказ о сотрудниках которые имею доступ туда??
Это вопрос выбора орг-тех мер защиты. Если документами (соглашения / регламенты информационного взаимодействия, подключения или др) не определены требования к рабочим местам, на которых ведется работа с данными в ГИС, то выбор мер будет зависеть от уровня уровня защищенности ПДн (Состав и содержание мер, утв. приказом ФСТЭК от 18.02.2013 № 21). Это если речь идет только о защите персональных данных. Плюс меры по работе с СКЗИ, если такие имеются (Состав и содержание мер, утв. приказом ФСБ от 10.07.2014 № 378, Инструкция, утв. приказом ФАПСИ от 13.06.2001 № 152).

> Так же прошу дать разъяснение по Автоматизированным Системам (АС) (АС Смертность), сервера тоже в области стоят, правильно ли я понимаю что это не ГИС? Стоит ли их добавлять в перечень ИСПДн?
Поскольку со структурой АС Смертность, то сказать что-то определенное сложно. Но "чужое" оборудование добавлять в состав своей системы не корректно. Его стоит рассматривать как внешнее оборудование.

> Так же у нас есть областная МИС (ЕМИАС), по факту сервера находятся в областном городе и курируются МЗ, нам предоставлен доступ по веб для внесения данных о пациенте, что нужно подготовить для данной системы?
С учетом вышесказанного, если обязанности по разработке документации не определены, то можете установить самостоятельно или посредством запроса уточнить у владельца / оператора МИС.

> Вопрос по матрице доступа. Обязательно ли нужно указывать ФИО сотрудников которым разрешен доступ в ИСПДн? Просто сотрудники приходят и уходят, не хотелось бы перепечатывать каждый раз приказ...
Это вопрос актуализации ОРД. На практике часть ОРД привязывают к ролям сотрудников (администраторы ИБ, операторы и др.), чтобы вносить правки в весь комплект ОРД.

> ИСПДн которые я выявил в своем МО: 1с зарплата и кадры, excel, word, DICOM, документооборот - все сервера находятся локально в МО
Обратите внимание, что понятие ИСПДн определено в п. 10 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Это совокупность персональных данных + информационные технологии их обрабатывающие (ПО) + технические средства ("железо"). Средства защиты тоже входят в состав ИСПДн. Названия системы могут использовать наименования ПО. Но ИСПДн состоять только из ПО без "железа" (АРМы, сервера, сетевое оборудование, средства защиты) не могут. Контролеры / регуляторы признают это ошибкой.

Спасибо за ответы! Буду работать

"ИСПДн которые я выявил в своем МО: 1с зарплата и кадры, excel, word, DICOM, документооборот - все сервера находятся локально в МО"

Смотрите, по факту у Вас можно выделить 2 ИСПДН (в зависимости от целей обработки ПДН): 1. бухгалтерия и кадры 2. медицинская деятельность.
Соответственно, выделить, какое ПО и железо входит в каждую ИСПДн и уже тогда разрабатывать все остальные документы. Хотя по факту, поскольку больница, у Вас не ниже третьего уровня УЗ будет.
Кроме того, имейте в виду, что область деятельности относится к КИИ со всеми вытекающими