Акт классификации ИСПДн

Информационные системы персональных данных в медицинских организациях

Акт классификации ИСПДн

Сообщение Denis » 25 сен 2014, 12:50

Задался целью составить акт классификации ИСПДн для МИС Самсон и Парус.

Разобраться бы для начала с уровнями угроз.
1-й уровень актуальных угроз (для системного ПО) - актуален для Парус, насколько понимаю. Т.к. базируется на линейке ОС майкрософт. При этом для Самсон, как базирующейся на юникс-подобной платформе она не актуальна.
следовательно для Парус уровень актуальных угроз 2 (уровень прикладного ПО).

Пункт "подключение ИС к сетям общего пользования". VPN сети относятся к сетям общего пользования или это условно локальная сеть?
Т.е. по этому пункту и Самсон и Парус "подключения не имеет".

Если честно, пока тёмный лес с этой классификацией, кто-нибудь имел опыт в подобном?
МБУЗ г. Сочи "Стоматологическая поликлиника №2"
Denis
 
Сообщений: 31
Зарегистрирован: 20 авг 2014, 09:20
Регион: Краснодарский Край
Муниципальное образование: г. Сочи
Наименование организации: МБУЗ г. Сочи "Стоматологическая поликлиника №2"
Рабочий телефон: 89002786009

Re: Акт классификации ИСПДн

Сообщение Administrator » 29 сен 2014, 08:35

Denis писал(а):Задался целью составить акт классификации ИСПДн для МИС Самсон и Парус.

В соответствии с положениями (п. 9-12) постановления правительства РФ от 01.11.2012 № 1119 оператору ПДн необходимо провести процедуру установления уровня защищенности персональных данных при их обработке в информационных системах. Таким образом, перед Вами стоит задача не классификации ИСПДн, а определения уровня защищенности персональных данных в конкретных ИСПДн.

Denis писал(а):Разобраться бы для начала с уровнями угроз.

Во-1, скорее всего Вы имели ввиду не "уровни угроз", а "типы угроз". Их, действительно, предусматривается три, и зависят они от актуальности угроз недокументированных (недекларированных) возможностей в ПО.
Во-2, читаем п.7 того же постановления правительства РФ от 01.11.2012 № 1119:
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

В-3, принимаем во внимание мнение экспертов, там же ссылка на презентацию.
Denis писал(а):Пункт "подключение ИС к сетям общего пользования". VPN сети относятся к сетям общего пользования или это условно локальная сеть?

Вопрос подключения к Интернету стоит рассматривать на физическом уровне, если кабель с Интернетом подключён, то подключение к сетям общего пользования есть. Вне зависимости от того осуществлен ли обмен данными через VPN или нет. VPN стоит рассматривать уже как средство защиты информации.

Рекомендую просмотреть полностью приведенное видео и презентацию, рассматриваются очень многие вопросы. Надеюсь, что прояснил ситуацию по процедуре установления уровня защищенности персональных данных в ИС.
Administrator
Администратор
 
Сообщений: 139
Зарегистрирован: 06 авг 2014, 10:44
Регион: Краснодарский край
Муниципальное образование: Краснодар
Наименование организации: ГБУЗ МИАЦ министерства здравоохранения Краснодарского края
Рабочий телефон: 88612797078

Акт классификации ИСПДн

Сообщение Aleksander » 20 окт 2014, 15:47

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

А как оператор может просчитать возможный вред?
МБУЗ г. Сочи "Стоматологическая поликлиника №2"
Aleksander
 
Сообщений: 4
Зарегистрирован: 03 окт 2014, 14:40
Регион: Краснодарский край
Муниципальное образование: г. Сочи
Наименование организации: МБУЗ г. Сочи "Стоматологическая поликлиника №2"
Рабочий телефон: 88622400657

Акт классификации ИСПДн

Сообщение Administrator » 21 окт 2014, 08:04

Рекомендаций регуляторов пока нет, но есть мнение экспертов.
Administrator
Администратор
 
Сообщений: 139
Зарегистрирован: 06 авг 2014, 10:44
Регион: Краснодарский край
Муниципальное образование: Краснодар
Наименование организации: ГБУЗ МИАЦ министерства здравоохранения Краснодарского края
Рабочий телефон: 88612797078

Акт классификации ИСПДн

Сообщение Administrator » 30 окт 2014, 16:07

Думаю, данная статья поможет при классификации систем.
Administrator
Администратор
 
Сообщений: 139
Зарегистрирован: 06 авг 2014, 10:44
Регион: Краснодарский край
Муниципальное образование: Краснодар
Наименование организации: ГБУЗ МИАЦ министерства здравоохранения Краснодарского края
Рабочий телефон: 88612797078


Вернуться в ИСПДн в МО



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2