Требования по ЗИ от Минздрава

Требования по ЗИ от Минздрава




      Ранее я уже рассматривал требования по защите информации от Минздрава и указал, что «предстоит выпуск аналогичного документа по ГИС в сфере здравоохранения. Это прописано в п.4 ст.91 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»:
«Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций устанавливаются уполномоченным федеральным органом исполнительной власти.»
name='more'>
      И вот 24 декабря 2018 г. Минздравом утвержден приказ №911н «Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций», который в настоящее время находится на регистрации в Минюсте. Пока опубликован только проект приказа.
      Вопрос: А где 187-ФЗ? Почему только 149-ФЗ и 152-ФЗ указаны? Минздрав до сих пор не в курсе, что уже как полтора года ГИС, функционирующие в сфере здравоохранения, относятся к объектам КИИ?
      Важное:
1. Требования распространяются не только на ГИС, но и на все ИС. У любых медицинских и фармацевтических организаций.
    Напомню, что по Федеральному закону от 21.11.2011 N 323-ФЗ
    Медицинская организация - юридическое лицо независимо от организационно-правовой формы, осуществляющее в качестве основного (уставного) вида деятельности медицинскую деятельность на основании лицензии, выданной в порядке, установленном законодательством Российской Федерации о лицензировании отдельных видов деятельности. Положения настоящего Федерального закона, регулирующие деятельность медицинских организаций, распространяются на иные юридические лица независимо от организационно-правовой формы, осуществляющие наряду с основной (уставной) деятельностью медицинскую деятельность, и применяются к таким организациям в части, касающейся медицинской деятельности. В целях настоящего Федерального закона к медицинским организациям приравниваются индивидуальные предприниматели, осуществляющие медицинскую деятельность;
    Фармацевтическая организация - юридическое лицо независимо от организационно-правовой формы, осуществляющее фармацевтическую деятельность (организация оптовой торговли лекарственными средствами, аптечная организация). В целях настоящего Федерального закона к фармацевтическим организациям приравниваются индивидуальные предприниматели, осуществляющие фармацевтическую деятельность.
2. Требования Минздрава ужесточают нормы 17 и 21 Приказов ФСТЭК.
3. Обязательное наличие сертифицированных СЗИ. Никаких иных форм подтверждения соответствия не предусмотрено.
4. Все "железо" таких ИС обязано находится на территории РФ. Международным и фармацевтическим компаниям на территории РФ предстоит сложный этап ИТ-жизни.

    Собственно, сами требования:
1. Настоящие Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций (далее соответственно - Требования, информационные системы) устанавливают:
требования к защите информации, содержащейся в информационных системах, и программно-техническим средствам этих систем;
2. Медицинские информационные системы медицинских организаций (далее - МИС МО) являются информационными системами, содержащими данные о пациентах, об оказываемой им медицинской помощи, о медицинской деятельности медицинских организаций и иную информацию, необходимую для автоматизации процессов оказания медицинской помощи и информационной поддержки медицинских работников.
3. Информационные системы фармацевтических организаций (далее - ИС ФК) являются информационными системами, содержащими данные о фармацевтических организациях и об осуществлении фармацевтической и иной деятельности в сфере охраны здоровья, и иную информацию, необходимую для автоматизации процессов оказания фармацевтической деятельности и информационной поддержки фармацевтических работников.
4. Государственные информационные системы в сфере здравоохранения субъектов Российской Федерации (далее - ГИС субъектов Российской Федерации) являются информационными системами, обеспечивающими сбор, хранение, обработку и предоставление информации о медицинских и фармацевтических организациях и об осуществлении медицинской, фармацевтической и иной деятельности в сфере охраны здоровья, с целью информационной поддержки процессов управления системой здравоохранения субъекта Российской Федерации.
5. Функции медицинских информационных систем государственной и муниципальной систем здравоохранения могут быть реализованы с использованием государственных информационных систем субъектов Российской Федерации в сфере здравоохранения.
     В случае если с использованием ГИС субъекта Российской Федерации реализованы функции МИС МО, то к такой ГИС субъекта Российской Федерации применяются требования, установленные для МИС МО.

II. Требования к защите информации, содержащейся информационных системах, и программно-техническим средствам этих систем

7. Информация, содержащаяся в информационной системе, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством Российской Федерации о персональных данных.
8. Защита информации, содержащейся в информационной системе, обеспечивается посредством применения организационных и технических мер защиты информации, а также осуществления контроля за эксплуатацией информационной системы.
9. Для обеспечения защиты информации в ходе создания, эксплуатации и развития информационной системы оператором информационной системы осуществляются:
а) формирование требований к защите информации, содержащейся в информационной системе;
б) разработка и внедрение системы (подсистемы) защиты информации информационной системы;
в) применение сертифицированных в соответствии с требованиями безопасности информации средств защиты информации, в случае, когда применение указанных средств необходимо для нейтрализации актуальных угроз;
г) защита информации при ее передаче по информационно-телекоммуникационным сетям;
д) обеспечение защиты информации в ходе эксплуатации информационной системы.
10. Программно-технические средства информационных систем должны отвечать следующим требованиям:
а) располагаются на территории Российской Федерации;
б) для ГИС субъектов Российской Федерации, а также для МИС МО и информационных систем фармацевтических организаций, принадлежащих указанным государственным или муниципальным организациям (предприятиям, учреждениям), обязательно соответствие нормам постановления Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд", для остальных информационных систем указанное соответствие является рекомендуемым;
в) обеспечивают размещение информации на государственном языке Российской Федерации;
г) имеют действующие сертификаты, выданные Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);
д) обеспечивает контроль доступа к документам, протоколируя и сохраняя в составе контрольной информации сведения о предоставлении доступа и о других операциях с документами и метаданными;
е) программное и аппаратное обеспечение информационной системы гарантирует соблюдение установленных нормативными правовыми актами Российской Федерации сроков хранения медицинской документации в форме электронных документов, предусматривая резервное копирование медицинской документации в форме электронных документов и метаданных, восстановление медицинской документации в форме электронных документов и метаданных из резервных копий, а также своевременное удаление документов с истекшим сроком хранения;
ж) обеспечивают автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений, информации об участниках (поставщиках, пользователях) информационных систем, осуществивших указанные действия;
з) обеспечивают бесперебойное ведение баз данных и защиту содержащейся в информационной системе информации от несанкционированного доступа (суммарная длительность перерывов в работе не должна превышать 4 часов в месяц, за исключением перерывов, связанных с обстоятельствами непреодолимой силы; при необходимости проведения плановых технических работ, в ходе которых доступ пользователей к информации, размещенной в информационной системе, будет невозможен, уведомление об этом должно быть размещено не менее чем за сутки до начала работ);
и) обеспечивают защищенный канал связи между информационной системой и защищенной сетью передачи данных единой государственной информационной системы в сфере здравоохранения (далее - Единая система), другой информационной системой, с которой осуществляется информационное взаимодействие;
к) обеспечивают возможность информационного взаимодействия информационной системы с информационными системами в сфере здравоохранения;
л) обеспечивают взаимодействие с другими информационными системами путем обмена информационными сообщениям в синхронном и асинхронном режиме посредством технологии очередей режимов, посредством формирования, отправки, получения, обработки запросов и ответов, форматы которых разрабатываются операторами информационных систем в сфере здравоохранения с использованием языка описания схем данных XML Schema Definition на основе справочников и классификаторов, содержащихся в федеральном реестре нормативно-справочной информации Единой системы;
м) обеспечивают включение в информационные сообщения и проверку содержащихся в информационных сообщениях электронных подписей организаций и (или) их должностных лиц, организаций, являющейся оператором информационной системы, участвующей в информационном взаимодействии, автоматически формируемых электронных подписей в интеграционных подсистемах Единой системы от имени юридического лица (индивидуального предпринимателя), выполняющего функции оператора Единой системы;
н) обеспечивают разработку интерфейсов информационного взаимодействия, тестирование информационного взаимодействия с другими информационными системами;
о) при обработке сведений о медицинских организациях и медицинских работниках обеспечивают проверку достоверности и актуальности сведений посредством взаимодействия с Единой системой;
п) обеспечивают получение и передачу сведений, предусмотренных Положением о Единой системе в части сведений поставщиком и пользователем которых является оператор информационной системы;
р) обеспечивают возможность ведения медицинской документации в электронном виде в соответствии с порядком организации системы документооборота в сфере охраны здоровья в электронном виде, утверждаемым приказом федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере здравоохранения.

      Более того, 13.02.2019 вступило в силу ПП № 555 от 05.05.2018 «О единой государственной информационной системе в сфере здравоохранения». И там все то же самое - никакого упоминания о КИИ.
IX. Защита информации, содержащейся в единой системе
56. Информация, содержащаяся в единой системе, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также в соответствии с законодательством Российской Федерации о персональных данных.
57. Защита информации, содержащейся в единой системе, обеспечивается посредством применения организационных и технических мер защиты информации, а также осуществления контроля за эксплуатацией единой системы.
58. Для обеспечения защиты информации в ходе создания, эксплуатации и развития единой системы осуществляются:
а) формирование требований к защите информации, содержащейся в единой системе;
б) реализация функции защиты информации в составе интеграционных подсистем единой системы;
в) применение сертифицированных средств защиты информации, а также аттестация единой системы на соответствие требованиям к защите информации;
г) защита информации при ее передаче по информационно-телекоммуникационным сетям;
д) обеспечение защиты информации в ходе эксплуатации единой системы.
59. В целях защиты информации, содержащейся в единой системе, оператор единой системы обеспечивает:
а) предотвращение несанкционированного доступа к информации, содержащейся в единой системе, и (или) передачи такой информации лицам, не имеющим права на доступ к этой информации;
б) незамедлительное обнаружение фактов несанкционированного доступа к информации, содержащейся в единой системе;
в) недопущение несанкционированного воздействия, нарушающего функционирование входящих в состав единой системы технических и программных средств обработки информации;
г) возможность незамедлительного выявления фактов модификации, уничтожения или блокирования информации, содержащейся в единой системе, вследствие несанкционированного доступа и восстановления такой информации;
д) обеспечение осуществления непрерывного контроля за уровнем защищенности информации, содержащейся в единой системе.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности