Минздравсоцразвития РФ согласовал типовую модель угроз для ЛПУ с ФСТЭК - Форум по вопросам информационной безопасности
Минздравсоцразвития РФ согласовал типовую модель угроз для ЛПУ с ФСТЭК - Форум по вопросам информационной безопасности
| Автор: Alekzanderr | 16259 | 18.01.2010 15:06 |
|
Может я чего не понимаю, но в файле Metodicheskie_rekomendatcii.doc описаны только общие рекомендации по защите ПДн и они согласованы с ФСТЭК. Но там нет про К3. Про К3 специальная написано в Модель угроз типовой медицинской информационной системы - но в этом документе нет согласовывающих подписей.
|
|
| Автор: perro | 16263 | 18.01.2010 17:54 |
|
Ну да, формально подписи на типовой модели нет. Зато в методических указаниях есть пример, чтобы все долго не думали :-) (Пример присвоения класса:
На основании полученных данных и в соответствии с моделью угроз персональных данных (для специальных информационных систем) информационной системе персональных данных «АИС Регистратура» присвоен класс К3.) И сравните Приложение 11 с типовой моделью.. Кстати, там похоже вообще никто не читал подробно, что внутри этих документов. Например в том же приложении 11 есть строки 1.8.2.4 Угрозы преднамеренных действий внутренних нарушителей Доступ к информации, модификация, уничтожение <b>лиц</b>, не допущенных к ее обработке Угроза осуществляется путем НСД внешних нарушителей в помещения, где расположены элементы ИСПДн и средства защиты, а так же происходит работа пользователей.... Еще на эту тему есть обсуждение на банкире и вот здесь заметка и наверное еще много других перлов |
|
| Автор: Alekzanderr | 16269 | 19.01.2010 08:29 |
|
Интересно, а могут-ли другие бюджетные организации, например учебные заведения, воспользоваться вышеприведенной типовой моделью, классифицироваться К3 спец и прочее?
|
|
| Автор: alex_b | 16284 | 19.01.2010 15:11 |
|
Как бы то ни было, учитывая указанный разработчиками модели угроз функционал, не могу согласиться, что если у инсулинозависимого диабетика или пациента с кардиостимулятором в истории болезни убрать указания на его "состояние здоровья", то это повлечет "незначительный негативный ущерб" субъекту ПДн. С религиозными или политическими убеждениями - куда ни шло, но не в отношении состояния здоровья.
|
|
| Автор: Alekzanderr | 16299 | 20.01.2010 09:53 |
|
убрать указания на его "состояние здоровья", то это повлечет "незначительный негативный ущерб" субъекту ПДн.
Они же пишут, что решения принимаются на основании "бумажных" историй болезней. Поэтому хоть что убирай из ИСПДн - это не повлечет негативных последствий для субъекта. |
|
| Автор: Кошка | 16304 | 20.01.2010 11:31 |
|
А зачем тогда нужна такая _медицинская_ ИСПДн? Разве что только для регистратуры - посмотреть на какой полочке карточка лежит? Тогда я вообще не понимаю, в чем проблема для такой ИСПДн - там изначально медицинских сведений ноль.
|
|
| Автор: Сергей | 16321 | 20.01.2010 15:59 |
|
Пугает то, что класс ИСПДн со сведениями категории 1 (состояние здоровья) не может быть ниже К1, хоть по трех-главому (таблица классификации Типовых ИСПДн), хоть по обновленным " Рекомендациям..." ФСТЭК (Класс любой информационной системы определяется в соответствии с Таблицей), т.к. согласно трехглавому - "По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Рекомендации ФСТЭК),
согласно ФСТЭК - "Применительно к специальным информационным системам после определения класса системы" (в соответствии с таблицей) "оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических...." Вот только если после классификации ее (классификацию) пересмотреть на основе модели угроз, то класс можно изменить согласно все тех же "Рекомендаций..." ФСТЭК, разработанных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" |
|
| Автор: SMak | 16331 | 21.01.2010 07:09 |
|
Что "главнее" треглавый или рекомендации...
|
|
| Автор: Alekzanderr | 16334 | 21.01.2010 07:44 |
|
Однако, это прецедент. Я думаю, многие бюджетные организации пойдут по этому пути. Ну не сворачивать же автоматизацию, раз денег на К2 или тем более К1 нет ;-)
|
|
Страницы: < 1 2
Просмотров темы: 18609
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"