МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ КАРЕЛИЯ

ПРИКАЗ

от 26 января 2022 года N 120

Об утверждении регламента работы в государственной информационной системе в сфере здравоохранения Республики Карелия "Медицинские информационные системы"

В соответствии с пунктом 8 Положения, утвержденного постановлением Правительства Республики Карелия от 22 ноября 2021 года N 527-П "О государственной информационной системе в сфере здравоохранения Республики Карелия "Медицинские информационные системы",

приказываю:

1. Утвердить прилагаемый Регламент работы в государственной информационной системе в сфере здравоохранения Республики Карелия "Медицинские информационные системы".

2. Контроль за исполнением настоящего приказа оставляю за собой.

Министр
М.Е.Охлопков

Утверждаю
приказом
Министерства здравоохранения
Республики Карелия
от 26 января 2022 года N 120

Регламент работы в государственной информационной системе в сфере здравоохранения Республики Карелия "Медицинские информационные системы"

ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ И СОКРАЩЕНИЙ

АИС - автоматизированная информационная система

ИС - информационная система

АПМДЗ - аппаратно-программный модуль доверенной загрузки

АРМ - автоматизированное рабочее место

ГИС - государственная информационная система

ГИСЗ "МИС" - Государственная информационная система в сфере здравоохранения Республики Карелия "Медицинские информационные системы"

ГБУЗ "РМИАЦ" - Государственное бюджетное учреждение здравоохранения Республики Карелия "Республиканский медицинский информационно-аналитический центр"

Обладатель информации, содержащейся в ГИСЗ "МИС" - Министерство здравоохранения Республики Карелия

Оператор ГИСЗ "МИС" - ГБУЗ "РМИАЦ"

Администраторы ГИСЗ "МИС" - сотрудники оператора ГИСЗ "МИС", обеспечивающие ее функционирование

Поставщики информации в ГИСЗ "МИС", Поставщики информации - Министерство здравоохранения Республики Карелия, медицинские организации на территории Республики Карелия с действующей лицензией на осуществление медицинской деятельности, страховые медицинские организации, осуществляющие деятельность в системе обязательного медицинского страхования Республики Карелия, фармацевтические организации, осуществляющие деятельность в системе льготного лекарственного обеспечения Республики Карелия, государственное учреждение "Территориальный фонд обязательного медицинского страхования Республики Карелия".

ИС Поставщика информации - ИС, принадлежащая Поставщику информации по праву собственности или на любом другом основании (исключая компоненты ГИСЗ "МИС")

Внешний объект - сегмент сети, АРМ, подключаемые (имеющие подключения) к ГИСЗ "МИС", а также ИС Поставщиков информации, подключаемых к ГИСЗ "МИС" с помощью модулей (систем) интеграции

ЗПС - замкнутая программная среда, механизм которой позволяет определить для любого пользователя компьютера перечень программного обеспечения, разрешенного для использования

Инцидент (информационной безопасности), инцидент ИБ - непредвиденное или нежелательное событие (группа событий) безопасности, которое (которые) привело (привели) к негативным последствиям для актива организации

Компьютерный инцидент - факт нарушения и (или) прекращения функционирования информационного ресурса и (или) нарушения безопасности, обрабатываемой таким информационным ресурсом информации, в том числе произошедший в результате компьютерной атаки

Компрометация учетной записи в информационном ресурсе (как тип компьютерного инцидента) - факт проведения компьютерной атаки, в ходе которой нарушитель (злоумышленник) получил идентификационные и/или аутентификационные данные пользователя информационного ресурса

ЗСПД - защищенная сеть передачи данных

ИСПДн - информационная система персональных данных

МЭ - межсетевой экран

МО - медицинская организация

ПАК - программно-аппаратный комплекс

РД - Руководящий документ

Репозиторий (репозиторий программных пакетов) - замкнутая совокупность программных пакетов и метаинформации о них. Репозиторий называется замкнутым, если для каждого бинарного пакета можно вычислить его замыкание, т.е. можно установить пакет в систему с соблюдением всех его зависимостей (ГОСТ Р 54593-2011 Информационные технологии (ИТ). Свободное программное обеспечение. Общие положения.)

СДЗ - средство доверенной загрузки

СЗИ - средство защиты информации

СКЗИ - средство криптографической защиты информации

СОВ - средство обнаружения вторжений

ТУ - Технические условия

ФСБ России - Федеральная служба безопасности Российской Федерации

ФСТЭК России - Федеральная служба по техническому и экспортному контролю

ЭД - эксплуатационная документация

Введение

Государственная информационная система в сфере здравоохранения Республики Карелия "Медицинские информационные системы" (ГИСЗ "МИС") осуществляет информационное и процессное взаимодействие со следующими информационными системами:

- Единой государственной информационной системой в сфере здравоохранения;

- автоматизированной информационной системой государственного учреждения "Территориальный фонд обязательного медицинского страхования Республики Карелия";

- информационными системами медицинских организаций Республики Карелия;

- иными информационными системами в случаях, предусмотренных законодательством Российской Федерации.

В состав ГИСЗ "МИС" входят следующие информационные системы:

- информационная система "ПроМед";

- информационная система "Портал самозаписи на прием к врачу";

- информационная система "Центры здоровья";

- информационная система "ТМ:ЦОД".

Функционирование ГИСЗ "МИС" осуществляется на базе телекоммуникационной сети (в том числе защищенной сети передачи данных с использованием средств криптографической защиты информации VipNet) Оператора ГИСЗ "МИС" - ГБУЗ "РМИАЦ".

ГИСЗ "МИС" обеспечивает выполнение следующих функций:

1) поддержка принятия управленческих решений по вопросам развития здравоохранения в Республике Карелия;

2) управление потоками пациентов (электронная регистратура);

3) управление скорой, в том числе скорой специализированной, медицинской помощью (включая санитарно-авиационную эвакуацию);

4) ведение интегрированной электронной медицинской карты;

5) учет сведений о показателях системы здравоохранения, в том числе медико-демографических показателей здоровья населения;

6) ведение специализированных регистров пациентов по отдельным нозологиям и категориям граждан;

7) сбор, хранение и обработка информации об обеспеченности отдельных категорий граждан, в том числе граждан, имеющих право на получение государственной социальной помощи, лекарственными препаратами, специализированными продуктами лечебного питания, медицинскими изделиями;

8) обеспечение оказания медицинской помощи с применением телемедицинских технологий;

9) организация профилактики заболеваний, включая проведение диспансеризации, профилактических медицинских осмотров;

10) ведение учета иммунопрофилактики инфекционных заболеваний;

11) ведение централизованной системы (подсистемы) управления лабораторными исследованиями;

12) ведение централизованной системы (подсистемы) хранения и обработки результатов диагностических исследований (медицинских изображений);

13) обеспечение автоматизации процессов оказания медицинской помощи по отдельным нозологиям и категориям граждан;

14) учет обращения медицинской документации, организация электронного документооборота в сфере охраны здоровья;

15) ведение нормативно-справочной информации в сфере здравоохранения Республики Карелия;

16) централизованное предоставление населению государственных услуг в сфере здравоохранения.

Настоящий Регламент устанавливает порядок и условия доступа к ГИСЗ "МИС".
Требования настоящего Регламента определяют состав, содержание, порядок выполнения работ по подключению к ГИСЗ "МИС" и распространяются на сегменты сети и АРМ, подключаемые (имеющие подключения) к ГИСЗ "МИС", а также на ИС Поставщиков информации, подключаемых к ГИСЗ "МИС" с помощью модулей (систем) интеграции (далее - Внешний объект ГИСЗ "МИС").

1. Основные положения

1.1. Общее описание и участники информационного взаимодействия

Обмен информацией в ГИСЗ "МИС" осуществляется в электронном виде, в приоритетном порядке с использованием выделенных сетей связи (VLAN/IPVPN) и сетей связи общего пользования (сети Интернет).

Участники информационного взаимодействия являются: Обладатель информации, содержащейся в ГИСЗ "МИС", Оператор ГИСЗ "МИС", Поставщики информации в ГИСЗ "МИС".

Для ГИСЗ "МИС" определен 2 класс защищенности в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 года N 17.

Для персональных данных в ГИСЗ "МИС" определен второй уровень защищенности персональных данных в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119.

На основании Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" ГИСЗ "МИС" является значимым объектом критической информационной инфраструктуры Российской Федерации.

В ГИСЗ "МИС" для защиты информации конфиденциального характера используются сертифицированные шифровальные (криптографические) средства на базе продуктов семейства ViPNet (сеть N 934). Для организации защищенного взаимодействия между ГИСЗ "МИС" и Поставщиками информации по выделенным сетям и сети Интернет должна применяться технология виртуальных частных сетей - VPN, а также средство, позволяющее устанавливать защищенное TLS соединение между клиентом и сервером, реализованное с использованием сертифицированных шифровальных (криптографических) средств, совместимых с решениями семейства ViPNet. При осуществлении информационного обмена основными сетевыми телекоммуникационными протоколами являются протоколы семейства TCP/IP. Органом криптографической защиты информации в сети ViPNet N 934 является ГБУЗ "РМИАЦ". Орган криптографической защиты по заявкам медицинских организаций создает необходимые для подключения к ГИСЗ "МИС" связи с узлами ViPNet ГБУЗ "РМИАЦ", формирует и распространяет ключевую и справочную информацию для узлов ViPNet сети N 934.

Доступ к ГИСЗ "МИС" осуществляется по согласованию с Министерством здравоохранения Республики Карелия. Включение государственных учреждений здравоохранения Республики Карелия в ViPNet сеть N 934 производится по согласованию с ГБУЗ "РМИАЦ". Доступ негосударственных организаций, участвующих в реализации территориальной программы обязательного медицинского страхования и (или) оказывающих медицинские услуги гражданам на территории Республики Карелия, фармацевтических организаций к ГИСЗ "МИС" осуществляется через межсетевое взаимодействие и предварительно согласовывается с оператором ViPNet-сети, к которой подключена организация.

1.2. Общие требования по защите информации

Оператором ГИСЗ "МИС" и Поставщиками информации обязаны быть приняты меры по защите информации, содержащейся в ГИСЗ "МИС" и ИС Поставщиков информации в соответствии с требованиями законодательства РФ в сфере защиты информации.

Обмен конфиденциальной информацией осуществляется после принятия необходимых мер по защите указанной информации от повреждения, утраты или неправомерного раскрытия третьим лицам, распространения, предусмотренных нормативными правовыми актами Российской Федерации в области защиты информации.

Руководители Поставщиков информации назначают лиц, ответственных за внесение сведений в ГИСЗ "МИС", а также лиц, ответственных за обеспечение мер по защите информации, содержащейся в ИС своей организации.

Поставщики информации несут предусмотренную законодательством Российской Федерации ответственность за полноту, достоверность и актуальность сведений, внесенных ими в ГИСЗ "МИС".

1.3. Техническая поддержка при работе с информационными системами.

Функции технической поддержки при работе в ГИСЗ "МИС" выполняет Оператор ГИСЗ "МИС" ГЪУЗ "РМИАЦ".

Обращение в техническую поддержку осуществляется одним из следующих способов:

- заявка на портале http://help.zdrav10.ru:

- электронное письмо на адрес: help@zdrav10.ru;

- в случае отсутствия возможности воспользоваться первыми двумя способами, звонок на телефонные номера (с понедельника по пятницу с 8:30 до 17:00):

+7(964)318-90-96 (по вопросам предоставления доступа и техническим проблемам, возникающим при подключении к ресурсам ГИСЗ "МИС"),

+7(964)318-90-78 (по вопросам функционирования программного обеспечения ГИС "МИС").

2. Технические требования

2.1. Требования к организации подключения

Подключение Поставщиков информации к ГИСЗ "МИС" осуществляется в соответствии с:

- требованиями нормативных правовых актов Российской Федерации в сфере защиты информации;

- требованиями нормативных правовых актов, технических и методических документов уполномоченных органов исполнительной власти Российской Федерации в сфере обеспечения безопасности информации (ФСТЭК России, ФСБ России);

- Моделью угроз и нарушителя безопасности информации ГИСЗ "МИС" и техническим заданием на создание подсистемы обеспечения информационной безопасности ГИСЗ "МИС" согласованных установленным порядком с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации;

- требованиями настоящего Регламента.

До начала выполнения работ по подключению Поставщика информации к ГИСЗ "МИС" схема защищенного взаимодействия, планируемая к реализации, обязана быть согласована с Министерством здравоохранения Республики Карелия и ГБУЗ "РМИАЦ".

2.2. Требования к реализации защищенного взаимодействия

2.2.1. Общие требования

Для организации защищенного взаимодействия Поставщика информации с ГИСЗ "МИС" в указанных организациях обязаны быть выполнены организационные и технические мероприятия, подтверждающие соответствие системы защиты информации Внешнего объекта требованиям безопасности информации не ниже уровня/класса защищенности, установленного для подключаемой подсистемы ГИСЗ "МИС".

Для проведения работ по защите информации в ходе создания и эксплуатации внешнего объекта, взаимодействующего с ГИСЗ "МИС", при необходимости, могут быть привлечены сторонние организации, имеющие, в соответствии с требованиями законодательства РФ:

- лицензию ФС'ГЭК России на деятельность по технической защите конфиденциальной информации, позволяющую выполнять работы по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации, проведения аттестационных испытаний и аттестации на соответствие требованиям по защите информации, проектирования в защищенном исполнении средств и систем информатизации, установки, монтажа, средств защиты информации;

- лицензию ФСБ России на деятельность по распространению шифровальных/криптографических средств, техническому обслуживанию шифровальных/криптографических средств, а также оказанию услуг в области шифрования информации.

Для обеспечения защиты в ГИСЗ "МИС" функционирует комплекс средств защиты, определенный Техническим заданием на создание подсистемы обеспечения информационной безопасности ГИСЗ "МИС".

2.2.2. Допустимы четыре схемы реализации подключения Поставщика информации к ГИСЗ "МИС", в каждой из которых предусмотрено использование СКЗИ для защиты передаваемой информации, что является обязательным требованием к исполнению при осуществлении взаимодействия через открытые каналы связи (выделенную сеть и сеть Интернет):

Типовая схема N 1 применяется в случаях подключения к ГИСЗ "МИС" рабочих мест Поставщика информации, функционирующих в составе защищенного сегмента локально-вычислительной сети за пределами контролируемой зоны Поставщика информации. Типовая схема N 1 с указанием СЗИ, в том числе СКЗИ, представлена в приложении N 1 к настоящему Регламенту.

Типовая схема N 2 применяется в случаях подключения к ГИСЗ "МИС" рабочих мест Поставщика информации, функционирующих в составе защищенного сегмента локально-вычислительной сети в пределах контролируемой зоны Поставщика информации. Типовая схема N 2 с указанием СЗИ, в том числе СКЗИ, представлена в приложении N 2 к настоящему Регламенту.

Типовая схема N 3 применяется в случаях подключения к ГИСЗ "МИС" отдельных рабочих мест Поставщика информации, функционирующих в составе незащищенной локально-вычислительной сети. Типовая схема N 3 с указанием СЗИ, в том числе СКЗИ, представлена в приложении N 3 к настоящему Регламенту.

Типовая схема N 4 применятся в случаях подключения к ГИСЗ "МИС" мобильного АРМ Поставщика информации (планшетного компьютера, ноутбука), подключенного к незащищенным выделенным сетям связи (VLAN/IPVPN). Типовая схема N 4 с указанием СЗИ, в том числе СКЗИ, представлена в приложении N 4 к настоящему Регламенту.

2.2.3. Специальные требования

Помещения Поставщика информации ГИСЗ "МИС", в которых размещаются СЗИ и СКЗИ, должны удовлетворять требованиям ТУ, ЭД на данные средства и требованиям "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной приказом ФАПСИ от 13 июня 2001 года N 152.

Работы по установке, монтажу, запуску и первоначальной настройке СЗИ и СКЗИ должны выполняться в соответствии с требованиями ТУ и ЭД на данные средства.

Эксплуатация СЗИ и СКЗИ должна осуществляться в соответствии с организационно-технической, организационно-распорядительной и ЭД на систему защиты информации Поставщика информации ГИСЗ "МИС".

Обеспечение защиты информации в ходе эксплуатации ИС Поставщика информации ГИСЗ "МИС" осуществляется владельцем ИС в соответствии с организационно-технической, организационно-распорядительной, ЭД на систему защиты информации ИСПДн Поставщика информации и нормативно-техническими документами РФ в сфере защиты информации.

Обновления операционных систем и программного обеспечения, используемого в АРМ и любом другом сетевом узле, находящемся в защищенной сети передачи данных Поставщика информации ГИСЗ "МИС", должно осуществляться с Репозитория, расположенного в ЗСПД или локально (с диска, поставляемого с формуляром).

Не допускается:

- предоставление доступа из внешнего объекта ГИСЗ "МИС" и любого другого сетевого узла, находящегося в защищенной сети передачи данных Поставщика информации ГИСЗ "МИС", в сеть Интернет или любую другую не защищенную сеть. Например, в незащищенную локально-вычислительную сеть Поставщика информации ГИСЗ "МИС";

- предоставление доступа из незащищенных сетей к внешнему объекту ГИСЗ "МИС" и любому другому сетевому узлу, находящемуся в защищенной сети передачи данных Поставщика информации ГИСЗ "МИС";

- использование любых беспроводных устройств совместно с компонентами ИС Поставщика информации ГИСЗ "МИС", а также подключение ИС Поставщика информации ГИСЗ "МИС" к беспроводным сетям.

3. Порядок подключения

Поставщик информации ГИСЗ "МИС" предпринимает необходимые меры по обеспечению безопасности и реализации технических требований.

Поставщик информации ГИСЗ "МИС" предоставляет Оператору ГИСЗ "МИС" ГБУЗ "РМИАЦ" Список пользователей ГИСЗ "МИС" (далее - Список) по форме приложения N 7 к настоящему Регламенту. Список должен быть утвержден руководителем организации. В дальнейшем передача актуализированного Списка осуществляется в соответствии с пунктом 4.4.

Поставщик информации по каждому сотруднику, включенному в Список, подает заявку на присоединение к настоящему Регламенту и подключение к ГИСЗ "МИС" (далее - Заявка) в трех экземплярах по форме приложения N 5 к настоящему Регламенту в Министерство здравоохранения Республики Карелия. Заявка должна соответствовать требованиям настоящего Регламента. Пример заполнения Заявки представлен в приложении N 6 к настоящему Регламенту.

Министерство здравоохранения Республики Карелия рассматривает Заявку в течение 2 (двух) рабочих дней и, в случае положительного результата рассмотрения Заявки, ставит отметку об утверждении и направляет в ГБУЗ "РМИАЦ" для осуществления работ по подключению.

ГБУЗ "РМИАЦ" проводит работы по подключению сотрудника Поставщика информации к ГИСЗ "МИС" течение 3 (трех) рабочих дней.

В случае выявления несоответствия Заявки настоящему Регламенту, Министерство здравоохранения Республики Карелия, ГБУЗ "РМИАЦ" отклоняет заявку и возвращает 1 (один) экземпляр Заявки Поставщику информации с указанием выявленных недостатков. Поставщик информации имеет право подать новую заявку после устранения выявленных недостатков.

В случае повторного представления Заявки, ГБУЗ "РМИАЦ" исполняет ее в течение 10 (десяти) календарных дней.

После выполнения работ по подключению ГБУЗ "РМИАЦ" ставит на трех экземплярах Заявки отметку о выполнении работ.

Один экземпляр Заявки остается на хранении в ГБУЗ "РМИАЦ". Второй экземпляр Заявки направляется Поставщику информации, третий экземпляр направляется в Министерство здравоохранения Республики Карелия.

Далее ГБУЗ "РМИАЦ" в течение 2 (двух) рабочих дней создает идентификатор(ы) и пароль(и), необходимые для работы в подключенных подсистемах ГИСЗ "МИС". Идентификатор(ы) и пароль(и) передаются на материальных носителях или с использованием защищенных с помощью СКЗИ каналов связи, выдаются сотрудникам Поставщика информации, ответственным за внесение сведений в ГИСЗ "МИС" под личную подпись. Ответственность за сохранение реквизитов доступа в тайне возлагается на владельца реквизитов доступа.

4. Контроль реализации подключения

4.1. Ответственность за соблюдение требований настоящего Регламента, обеспечение требований защиты информации Поставщика информации ГИСЗ "МИС", а также ответственность за соблюдение требований к эксплуатации СЗИ и СКЗИ в составе системы защиты информации Поставщика информации, используемых в выбранной схеме подключения, лежит на лице, ответственном за обеспечение безопасности персональных данных (в случае его отсутствия - на руководителе) Поставщика информации.

Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Обеспечение действий в нештатных ситуациях при эксплуатации ГИСЗ "МИС" и принятие мер по недопущению их повторного возникновения осуществляются в соответствии с пунктом 13.6 приказа ФСТЭК России от 25 декабря 2017 года N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"

4.2. Оператор ГИСЗ "МИС" - ГБУЗ "РМИАЦ" имеет право проводить проверки реализации схем защищенного подключения Поставщика информации к ГИСЗ "МИС". В случае выявления нарушений требований настоящего Регламента или не допуска сотрудников ГБУЗ "РМИАЦ" на территорию Поставщика информации для осуществления проверки, ГБУЗ "РМИАЦ" направляет в Министерство здравоохранения Республики Карелия запрос с предложением о немедленном отключении сегмента сети, АРМ Поставщика информации от ГИСЗ "МИС" и блокировке выданных ему идентификаторов в связи с нарушением требований настоящего Регламента.

4.3. Оператор ГИСЗ "МИС" - ГБУЗ "РМИАЦ" имеет право инициировать и проводить проверку соответствия учетных записей, созданных администраторами Поставщика информации, Спискам, поданным Поставщиком информации в ГБУЗ "РМИАЦ". В случае наличия учетных записей, не входящих в указанные Списки, учетные записи блокируются ГБУЗ "РМИАЦ".

4.4. Для контроля подключенных к ГИСЗ "МИС" сотрудников, Поставщик информации подает актуальные списки учетных записей сотрудников по форме приложения N 7 в ГБУЗ "РМИАЦ":

- периодически 1 раз в полгода (20 ноября и 20 мая);

- в случае необходимости изменения данных;

- в случае возникновения инцидента по запросу ГБУЗ "РМИАЦ".

4.5. Не допускается:

- передача (разглашение) реквизитов доступа сотрудника Поставщика информации, подключенного к ГИСЗ "МИС", другому лицу, в том числе другому сотруднику Поставщика информации,

- использование реквизитов доступа, выданных другому сотруднику Поставщика информации.

4.6. В случае выявления любых нарушений учетные записи Поставщика информации могут быть заблокированы ГБУЗ "РМИАЦ" до момента выяснения обстоятельств, с уведомлением Поставщика информации в рамках отработки инцидента информационной безопасности.

5. Перечень нормативных правовых актов

- Федеральный закон Российской Федерации от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- Федеральный закон Российской Федерации от 21 ноября 2011 года N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Постановление Правительства Российской Федерации от 16 апреля 2012 года N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)";

- Постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановление Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации";

- Постановление Правительства РФ от 6 июля 2015 года N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";

- Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказ ФСБ от 10 июля 2014 года N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденная приказом ФАПСИ от 13 июня 2001 года N 152;

- Постановление Правительства Российской Федерации от 8 июня 2019 года N 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры";

- Постановление Правительства Российской Федерации от 5 мая 2018 года N 555 "О единой государственной информационной системе в сфере здравоохранения";

- Федеральный закон от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";

- Приказ ФСТЭК России от 25 декабря 2017 года N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";

- Приказ ФСБ России от 24 июля 2018 года N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации";

- Приказ ФСБ России от 24 июля 2018 года N 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения";

- Национальный проект "Здравоохранение", утвержденный 24 декабря 2018 года президиумом Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам;

- Приказ Минздрава России от 24 декабря 2018 года N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам и информационным системам фармацевтических организаций";

- ГОСТ Р 52636-2006 "Электронная история болезни. Общие положения";

- ГОСТ Р 51624-2000 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования";

- ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения";

- ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения";

- ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения";

- ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения";

- Национальные стандарты серии "Информатизация здоровья";

- Другие технические и методические документы ФСТЭК России и ФСБ России в области обеспечения информационной безопасности, защиты персональных данных и объектов критической информационной инфраструктуры Российской Федерации.

Типовая схема N 1

Данная схема применятся в случаях подключения к ГИСЗ "МИС" рабочих мест Поставщика информации, размещенных за пределами контролируемой зоны Поставщика информации, но функционирующих в составе защищенного сегмента локально-вычислительной сети (например: рабочие места, находятся в защищенной ЛВС, но линии связи проходят через неконтролируемую зону, т.е. необходимо шифрование трафика внутри ЛВС).

В этом случае трафик на всем протяжении подключения должен быть зашифрован (рис. 1)

СЗИ на границе сети

Для обработки персональных данных Поставщика информации при подключении к ГИСЗ "МИС" должен использоваться АРМ, функционирующий в режиме ЗПС и оснащенный СЗИ:

Приложение N 2 к Регламенту работы в ГИСЗ "МИС"

Типовая схема N 2

Данная схема применяется в случаях подключения к ГИСЗ "МИС" рабочих мест Поставщика информации, размещенных в пределах контролируемой зоны и функционирующих в составе защищенного сегмента локально-вычислительной сети Поставщика информации (например: рабочие места, находятся в защищенной ЛВС, и линии связи размещены внутри Контролируемой зоны).

В этом случае трафик должен быть зашифрован от границы контролируемой зоны Поставщика информации (рис. 2)

СЗИ на границе сети

Для обработки персональных данных Поставщика информации при подключении к ГИСЗ "МИС" должен использоваться АРМ, функционирующий в режиме ЗПС и оснащенный СЗИ:

Приложение N 3 к Регламенту работы в ГИСЗ "МИС"

Типовая схема N 3

Данная схема применяется в случаях подключения к ГИСЗ "МИС" отдельных рабочих мест Поставщика информации, функционирующих в составе незащищенной локально-вычислительной сети (Например: рабочие места, находятся в незащищенной ЛВС, а также линии связи проходят через Неконтролируемую зону).

В этом случае трафик должен быть зашифрован на всем протяжении подключения АРМ к ГИСЗ "МИС" (рис. 3)

Для обработки персональных данных Поставщика информации при подключении к ГИСЗ "МИС" должен использоваться АРМ, функционирующий в режиме ЗПС и оснащенный СЗИ:

Приложение N 4 к Регламенту работы в ГИСЗ "МИС"

Типовая схема N 4

Типовая схема N 4 применятся в случаях подключения к ГИСЗ "МИС" мобильного АРМ Поставщика информации (планшетного компьютера, ноутбука), подключенного к незащищенным выделенным сетям связи (VLAN/IPVPN).

В этом случае трафик должен быть зашифрован на всем протяжении подключения АРМ к ГИСЗ "МИС" (рис. 4)

Для обработки персональных данных Поставщика информации при подключении к ГИСЗ "МИС" должен использоваться АРМ, функционирующий в режиме ЗПС и оснащенный СЗИ:

Приложение N 5 к Регламенту работы в ГИСЗ "МИС"

Приложение N 6 к Регламенту работы в ГИСЗ "МИС"

Приложение N 7 к Регламенту работы в ГИСЗ "МИС"

Текст первоначальной редакции документа сверен по:
официальная рассылка