Автор: oko | 109522 | 11.09.2021 13:17 |
to Сергей
1. ПП РФ #1119 за 2012 г. 2. Приказ ФСТЭК России #21 за 2013 г. 3. Приказ Минздрава РФ #911н, кажись, за 2019 г. Он больше для ГИС-ИСПДн, зато профильный 4. Методч.документ ФСТЭК России за 2014 г. - меры защиты в гос.инф.системах 5. Методич.документ ФСТЭК России за 2021 г. - методика оценки угроз безопасности. И то, на что эти документы ссылаются. Хватит для начала... |
Автор: Сергей | 109537 | 17.09.2021 05:01 |
to oko
"Приказ Минздрава РФ #911н" ---- Приказ Министерства здравоохранения РФ от 24 декабря 2018 г. N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций" --- Начал читать и немного прифигел от хотелок. Требования к защите информации, содержащейся в информационных системах, и к программно-техническим средствам информационных систем 9. Программно-технические средства информационных систем должны: г) обеспечивать хранение медицинской документации в форме электронных документов, предусматривая резервное копирование медицинской документации в форме электронных документов и метаданных, восстановление медицинской документации в форме электронных документов и метаданных из резервных копий д) обеспечивать протоколирование и сохранение сведений о предоставлении доступа и о других операциях с документами и метаданными в автоматизированном режиме, а также автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений; е) функционировать в бесперебойном круглосуточном режиме, за исключением установленных периодов проведения работ по обслуживанию информационных систем и устранению неисправностей в работе, суммарная длительность которых не должна превышать 4 часов в месяц (за исключением перерывов, связанных с обстоятельствами непреодолимой силы); ---- г) Я не припомню опции резервного копирования ни в ОС Windows, ни в любой СЗИ. Где искать такую сертифицированную ФСТЭК программу непонятно (бесплатных полно). Требование странное. По моему опыту нигде и ни у кого не реализованное. Но ведь закон требует. д) Протоколирование и журналы доступа к данным. Вроде в большинстве СЗИ такое есть. Но вот в каком объеме... е) функционировать в бесперебойном круглосуточном режиме? В современных реалиях бюджетных учреждений где всё разваливается? Что то жестко. |
Автор: oko | 109541 | 17.09.2021 15:55 |
to Сергей
<г.> - если про Win Srv, то плохо помните - начиная с DFS (при нескольких серверах), заканчивая ролью WinBackup. А так свободных и открытых утилит море. Да и никто не мешает копировать на сетевое хранилище хардкорно по SMB через соответствующий скрипт в планировщике. И главное, с чего вы взяли, что это должно быть сертиф.средство? Вы боитесь НДВ (отсутствие доверия, ага) в софте для резервного копирования? Так юзайте приведенный хардкорный метод или означенные выше службы - ОС-то все равно "недоверенная". Прикройте это все СЗИ НСД (если так нужно) + отделите от остальной сети через МЭ = и в путь... <д.> - любое СЗИ НСД, "навешенное" на ОС, решит задачу протоколирования доступа к ОС и файловой системе. В случае с СУБД сложнее, но можно либо сертиф. СУБД, либо вообще без подобных СЗИ средствами самой ОС и СУБД. Можно и ППО сертифицировать. Можно... да масса вариантов, исходя из актуальных угроз и оценки "доверия", ага... <е.> - извиняюсь, кто мешает сделать так, чтобы не разваливалось? Кто мешает вообще подтянуть и функционирование, и безопасность совместно и в рамках параллельных работ? Только не надо про отсутствие финансирования, ветхое железо и каналы связи и загруженность ответственных лиц. При том потоке бабла, что выделяется на здравоохранение в последние годы, можно и отдел сформировать, и для проектирования и внедрения нанять профессиональную организацию "под ключ", ага... Грамотно выстроенная и поддерживаемая инфраструктура, как показывает практика, требует минимальных внедрений сторонних СЗИ. Если, конечно, массовое распихивание СЗИ не связано с "безголовыми хотелками сверху", "ретивым регулятором" или "отмыванием". Тогда на выходе, конечно, получим вагон железа, дистрибутивов и лицензий СЗИ, которые мало того, что нахрен не нужны, так и в принципе неприменимы к защищаемой ИС. Но это уже в другую степь разговор... |
Автор: Сергей | 109543 | 17.09.2021 23:38 |
to oko
<г.> "ОС-то все равно "недоверенная" По сути - да. По закону - нет. Windows имеет сертификат ФСТЭК. <д.> - "любое СЗИ НСД, "навешенное" на ОС, решит задачу протоколирования доступа к ОС и файловой системе. " - верно. Но закон требует немного другое: и фактов размещения, изменения и удаления информации, содержания вносимых изменений Создание/изменение/удаление файла - отслеживание данных событий наверно есть в СЗИ. Но вот "содержания вносимых изменений" - это ближе к Git. Не думаю, что СЗИ отслеживает именно содержание изменений. Факт - да, но вот что там конкретно изменили - нет. <е.> Я не знаю куда идет этот поток бабла. Я его не вижу. Мы его не видим. Работал в крупных мед организациях, городах миллионниках. Там где по 3 аппарата МРТ, целые больничные комплексы. Зарплаты копеечные. Компьютерная техника - старье. Почему - понятия не имею. |
Автор: oko | 109544 | 18.09.2021 02:12 |
to Сергей
Primo, windows с сертификатом ФСТЭК и windows, покупаемая и используемая в общем случае - это две разные ОС (не столько технически, сколько организационно). И да, ФСТЭК на win никогда не выдавала сертификата по достаточному "доверию" (ндв, оуд) для использования в мед.ИС. Разве что в тех, где штампуют справки и заключения без анализов, анамнеза и прочей мед.специфики... Secundo, вы смотрите на вещи по-старинке - "все функции должны быть реализованы исключительно применением сертиф.сзи и точка". Не надо так. Времена меняются, правила игры тоже. И достаточность реализации меры по протоколированию изменений в конкретных полях баз данных (или документов) средствами разработанных для этого механизмов пусть и без сертификата - вполне возможна... imho, старое железо, левый софт-by-hattab и копеечные зарплаты - это не проблема дотаций из бюджета или глупости реализаторов, а, зачастую, вопрос злого умысла тех, кто находится в разрезе потока денег + нежелания оконечных эксплуатантов (до которых поток не доходит) менять устоявшееся положение вещей. И не только в сфере здравоохранения, увы. Только это все не означает принципиальную невозможность изменить ситуацию к лучшему, ага... ЗЫ реально советую сходить на курсы повышения квалификации. Или хотя бы вживую пообщаться с нормальной конторой-лицензиатом. Чтобы не в форумном режиме основы текущей ситуации по ЗИ в стране узнавать, да и оперативность получения информации будет несравнимо выше... |
Просмотров темы: 887