Содержание работ. Планирование работ по защите информации в ТФОМС, предусматривающее формулировку задач по решению конкретных вопросов по защите информации, организацию их выполнения. Анализ и оценка эффективности проводимых мероприятий по защите информации, подготовка предложений руководству ТФОМС по совершенствованию системы защиты. Определение (уточнение) перечня защищаемых информационных ресурсов, разработка (уточнение) матриц разграничения доступа пользователей к ним с указанием разрешенных режимов работы и уровней доступа, согласно функциональных и должностных обязанностей пользователей. Контроль установки и плановой замены кодов (имен) и паролей пользователей на доступ к информационным ресурсам ТФОМС, ведения парольной документации, контроль за соблюдением пользователями парольной защиты и своих полномочий доступа к информационным ресурсам. Контроль за применением средств защиты информации от несанкционированного доступа, средств криптографической защиты информации (СКЗИ), программ антивирусной защиты, контроль за соблюдением правил хранения и использования ключевых носителей СКЗИ, ведение документации по СКЗИ. Контроль за соблюдением порядка работы с документированной информацией ограниченного доступа, в том числе с машинными носителями и электронными документами, содержащими информацию ограниченного доступа. Периодический контроль за проведением опечатывания, сдачей под охрану защищаемых помещений ТФОМС. Оказание помощи сотрудникам ТФОМС по порядку обращения с информацией ограниченного доступа и средствами ее защиты. Контроль электронных журналов регистрации обращений пользователей информационных систем персональных данных (ИСПД) на получение персональных данных (ПД), а также фактов предоставления ПД по этим запросам. Контроль за возможностью подключения неучтенных (нелегитимных) технических средств к средствам информатизации ТФОМС. Участие в подготовке ТФОМС к аттестации объектов информатизации на право проведения работ с использованием информации ограниченного доступа. Организация разработки нормативно-распорядительных документов ТФОМС по защите информации. Определение: 1) демаскирующих признаков ТФОМС; 2) технических каналов утечки информации; 3) возможности несанкционированного доступа к информации ТФОМС, ее разрушения (уничтожения), или искажения и разработка соответствующих мер по защите информации. Проведение периодического контроля эффективности мер защиты информации в ТФОМС. Учет и анализ результатов контроля. Участие в расследовании нарушений в области защиты информации в ТФОМС и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений. Организация и проведение занятий с руководящим составом и специалистами ТФОМС по вопросам защиты информации.
Для выполнения вышеперечисленных работ требуется создание самостоятельного подразделения численностью 3-5 человек:
- руководитель;
- администратор сетей ViPNet (осуществление контроля за применением средств защиты информации от несанкционированного доступа, средств криптографической защиты информации (СКЗИ), программ антивирусной защиты, соблюдением правил хранения и использования ключевых носителей СКЗИ, ведение документации по СКЗИ);
- оператор УЦ ЭЦП единого информационного пространства системы ОМС (взаимодействие с УЦ ЭЦП, осуществление контроля за применением средств защиты информации от несанкционированного доступа, средств криптографической защиты информации (СКЗИ), программ антивирусной защиты, соблюдением правил хранения и использования ключевых носителей СКЗИ, ведение документации по СКЗИ);
- специалист (разработка нормативных документов, осуществление контроля за осуществлением делопроизводства и документооборота документов, содержащих информацию ограниченного доступа, организация и ведение договорной работы);
- администратор информационной безопасности (выполнение функций по контролю средств защиты информации, анализу электронных журналов событий, участие в расследовании нарушений в области защиты информации).
Электронный текст документа
подготовлен ЗАО "Кодекс" и сверен по:
рассылка