Обеспечение выполнения требований Федерального закона
от 27 июля 2006 года N 152-ФЗ «О персональных данных»
В целях организации работы по обеспечению защиты персональных данных планируется на базе государственного учреждения здравоохранения Архангельской области «Медицинский информационно-аналитический центр» (ГУЗ «МИАЦ») развернуть удостоверяющий центр для организации защищенной корпоративной сети передачи данных, а также организации взаимодействия с защищенными сетями других ведомств (Пенсионный фонд Российской Федерации, Территориальный фонд медицинского страхования Архангельской области, Архангельский областной фонд социального страхования и др.). В связи с этим к концу 2012 года планируется подключить 70 учреждений здравоохранения, или 90 процентов, в механизм информационного взаимодействия с использованием электронной подписи. Кроме того, создание корпоративной сети создаст предпосылки по дальнейшему внедрению системы электронного документооборота здравоохранения Архангельской области.
(абзац в редакции постановления Правительства Архангельской области от 24 апреля 2012 года N 155-пп - см. предыдущую редакцию)
Исполнение требований Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» предполагает приведение информационных систем министерства и подведомственных учреждений в соответствие с требованиями руководящих документов контролирующих органов в области обеспечения защиты персональных данных (ФСТЭК России, ФСБ России).
Приведение систем к требованиям закона «О персональных данных» является обязательным и в соответствии с приказом ФСТЭК России от 05 февраля 2010 года N 58 информационные системы персональных данных должны оснащаться подсистемами защиты от несанкционированного доступа.
Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также где хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными выше основными методами и способами защиты информации от несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
В рамках Программы планируется обеспечить все учреждения здравоохранения, входящие в систему ОМС:
системами защиты от несанкционированного доступа;
защищенными каналами связи, межсетевыми экранами;