2.1.4. Типовые подходы и эскизные решения реализации систем защиты информации в информационных системах в сфере здравоохранения
Фактическое состояние информационных систем в сфере здравоохранения является следствием исторически сложившегося децентрализованного подхода к созданию и развитию информационных систем в сфере здравоохранения, реализуемого в условиях ограниченности ресурсов. На современном этапе в рамках цифровизации государственного управления усилилась тенденция, направленная на создание и развитие централизованных платформенных решений, создание механизмов взаимодействия медицинских организаций на основе единой государственной системы в сфере здравоохранения и размещение технических средств информационной системы преимущественно на территории Российской Федерации. Примером реализации такого подхода в сфере здравоохранения является создание механизмов взаимодействия медицинских организаций на основе единой государственной системы в сфере здравоохранения.
Результаты анализа текущего состояния защиты информации в отрасли показали необходимость разработки типовых подходов и эскизных решений реализации систем защиты информации в информационных системах в сфере здравоохранения. Набор эскизных решений <22>, определенных в настоящей Концепции, создан на основе совокупности требований правовых актов ФСТЭК России в следующих областях:
--------------------------------
<22> Приложение II к настоящей Концепции.
- защита информации в государственных информационных системах;
- обеспечение безопасности персональных данных;
- обеспечение безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
Выбор эскизного решения осуществляется на основе использования двух принципов:
- построение архитектуры информационной системы, основанной на модели распределения границ при оценке угроз безопасности информации между оператором и поставщиком облачных услуг;
- определение категории значимости информационной системы как объекта критической информационной инфраструктуры; уровня защищенности персональных данных при их обработке в информационных системах в сфере здравоохранения; класса защищенности государственной информационной системы (для государственных информационных систем в сфере здравоохранения).
Построение архитектуры информационной системы и информационно-телекоммуникационной инфраструктуры с учетом распределения границ при оценке угроз безопасности информации между оператором и поставщиком облачных услуг основывается на следующих моделях:
- использование только программных и аппаратных средств, принадлежащих оператору информационной системы на праве собственности или ином законном основании;
- использование облачных услуг по модели "инфраструктура как услуга", при которой оператор информационной системы получает и использует вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы, предоставляемые поставщиком облачных услуг;
- использование облачных услуг по модели "платформа как услуга", при которой оператор информационной системы устанавливает, управляет и запускает прикладное программное обеспечение, используя вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы и среду исполнения, предоставляемые поставщиком облачных услуг;
- использование облачных услуг по модели "программное обеспечение как услуга", при которой оператор информационной системы использует прикладное программное обеспечение, вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы и среду исполнения, предоставляемые поставщиком облачных услуг.
Рисунок 1. Распределение границ при оценке угроз
безопасности информации между оператором и поставщиком
облачных услуг
Для выбора эскизного решения используется наивысшее значение из следующих возможных характеристик информационной системы:
- класс защищенности (для государственных информационных систем);
- уровень защищенности персональных данных (для информационных систем персональных данных);
- категория значимости (для значимых объектов критической информационной инфраструктуры).
Для информационных систем, не обладающих ни одной из перечисленных характеристик, рекомендуется применять эскизное решение, соответствующее третьей категории значимости объектов критической информационной инфраструктуры.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей