1. Порядок реализации мер защиты информации в информационных системах в сфере здравоохранения
В таблице приведены порядок реализации мер защиты информации в информационных системах в сфере здравоохранения и результаты на каждом этапе реализации.
|
Принятие решения о необходимости защиты информации, содержащейся в информационной системе в сфере здравоохранения |
Концепция создания системы <48> |
|||
|
Приказ о создании системы защиты информации информационной системы |
||||
|
Назначение лица, ответственного за организацию и контроль обеспечения ИБ в информационной системе в сфере здравоохранения |
Приказ о назначении лица, ответственного за организацию обеспечения ИБ в информационной системе в сфере здравоохранения на уровне не ниже заместителя руководителя |
|||
|
Назначение структурного подразделения либо должностного лица, ответственного за обеспечение ИБ в информационной системе в сфере здравоохранения |
Приказ о создании структурного подразделения либо о назначении должностного лица, ответственного за обеспечение ИБ в информационной системе в сфере здравоохранения Положение о структурном подразделении (инструкция) ответственного за обеспечение ИБ |
|||
|
Проведение классификации информационной системы Проведение категорирования объектов КИИ Определение уровня защищенности персональных данных при их обработке в информационной системе |
Акт классификации информационной системы по требованиям защиты информации |
Акт определения уровня защищенности персональных данных при их обработке в информационной системе |
Приказ о создании постоянно действующей комиссии по категорированию объектов КИИ Положение о постоянно действующей комиссии по категорированию объектов КИИ Письмо во ФСТЭК России о направлении перечня объектов критической информационной инфраструктуры, подлежащих категорированию Перечень объектов критической информационной инфраструктуры, подлежащих категорированию Акт категорирования объекта КИИ Письмо во ФСТЭК России о направлении сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий |
|
|
Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработка на их основе модели угроз безопасности информации |
Модель угроз безопасности информации информационной системы, согласованная со ФСТЭК России и ФСБ России в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации (в случае, если реализация мероприятий по созданию информационной системы или системы защиты осуществляется федеральным органом исполнительной власти или органом исполнительной власти субъекта Российской Федерации <49>) |
|||
|
Определение (формирование) требований по защите информации в информационной системе в сфере здравоохранения |
Техническое задание на создание системы защиты информации информационной системы в сфере здравоохранения, согласованное со ФСТЭК России и ФСБ России в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации (в случае, если реализация мероприятий по созданию информационной системы или системы защиты осуществляется федеральным органом исполнительной власти или органом исполнительной власти субъекта Российской Федерации <49>) |
Техническое задание на создание системы защиты информации информационной системы в сфере здравоохранения |
Техническое задание на создание системы защиты информации информационной системы в сфере здравоохранения |
|
|
Разработка системы защиты информации информационной системы в сфере здравоохранения |
Проектная документация (эскизный (технический) проект и рабочая документация) на информационную систему (систему защиты информации информационной системы), разрабатываемая с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" Эксплуатационная документация на систему защиты информации информационной системы |
|||
|
Внедрение системы защиты информации информационной системы в сфере здравоохранения |
Акты и протоколы установки и настройки средств защиты информации в информационной системе Организационно-распорядительные документы по защите информации Программа и методика предварительных испытаний Протокол предварительных испытаний Акт приемки информационной системы (системы защиты информации) в опытную эксплуатацию Программа опытной эксплуатации Протокол проведения анализа уязвимостей информационной системы Программа и методика приемочных испытаний Протокол приемочных испытаний |
|||
|
Программа и методики аттестационных испытаний <50> Аттестат соответствия Заключение Протоколы испытаний |
||||
|
Ввод в эксплуатацию системы защиты информационной системы в сфере здравоохранения |
||||
|
Обеспечение защиты информации в ходе эксплуатации информационной системы в сфере здравоохранения |
В соответствии перечнем организационных мероприятий по обеспечению информационной безопасности (п. 2 Приложения II) |
|||
|
Обеспечение защиты информации при выводе из эксплуатации информационной системы в сфере здравоохранения или после принятия решения об окончании обработки информации |
Акт о выводе системы из эксплуатации Документы (акты, протоколы), подтверждающие архивирование информации ИС и (или) уничтожение информации в ИС Документы (акты, протоколы), подтверждающие уничтожение носителей информации в ИС |
Акт о выводе системы из эксплуатации Документы (акты, протоколы), подтверждающие архивирование ПДн в ИС и (или) уничтожение ПДн в ИС Документы (акты, протоколы), подтверждающие уничтожение носителей ПДн в ИС |
Акт о выводе системы из эксплуатации Документы (акты, протоколы), подтверждающие архивирование информации ИС и (или) уничтожение информации в ИС Документы (акты, протоколы), подтверждающие уничтожение носителей информации в ИС |
|
--------------------------------
<48> В соответствии с Постановлением Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
<49> В соответствии с Постановлением Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
<50> См. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 N 77.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей