МОСКОВСКИЙ ГОРОДСКОЙ ФОНД
ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ

ПРИКАЗ
от 19 февраля 2015 г. N 55

ОБ УТВЕРЖДЕНИИ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ ТРЕБОВАНИЙ

Во исполнение требований Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Федерального закона от 29 ноября 2010 г. N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказываю: 1. Утвердить «Организационные и технические требования по присоединению информационных систем медицинских организаций к ресурсам автоматизированной информационной системы обязательного медицинского страхования города Москвы» (Приложение 1). 2. Считать утратившим силу приказ МГФОМС N 160 от 01.11.2013 «Об утверждении организационных и технических требований по присоединению информационных систем МО и СМО к АИС ОМС». 3. Контроль за исполнением настоящего приказа возложить на заместителя директора — начальника Управления информационного обеспечения системы ОМС Кидалова Ф.В.

Директор
В.А.ЗЕЛЕНСКИЙ

Приложение N 1
к приказу МГФОМС
от 19 февраля 2015 г. N 55

ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ ПО ПРИСОЕДИНЕНИЮ ИНФОРМАЦИОННЫХ СИСТЕМ МЕДИЦИНСКИХ ОРГАНИЗАЦИЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ ГОРОДА МОСКВЫ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. Автоматизированная информационная система обязательного медицинского страхования (АИС ОМС) — автоматизированная информационная система учета медицинской помощи, оказанной по программе ОМС, предназначенная для автоматизации обмена данными между МГФОМС, МО и СМО г. Москвы, формирования интегрированной базы данных об услугах, оказанных в МО и реализации функций аналитики и отчетности в системе ОМС и учреждениях Департамента здравоохранения города Москвы. Аппаратно-программный комплекс — набор аппаратно-программных средств, работающих совместно для выполнения одной или нескольких сходных задач. Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Доступ к информации — возможность получения информации и ее использования. Доступность информации — состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия. Защита информации от несанкционированного доступа (защита от НСД) или воздействия — деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию). Информация — сведения (сообщения, данные) независимо от формы их представления. Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации. Информационный ресурс — используемые в информационных системах документы и массивы документов, файлы и базы данных, распоряжение доступом к которым осуществляется их обладателем путем установления соответствующих правил. Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Корпоративная вычислительная сеть — совокупность взаимодействующих локальных вычислительных сетей. Локальная вычислительная сеть (ЛВС) — совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС. Московский городской фонд обязательного медицинского страхования — некоммерческая организация, созданная Правительством Москвы для реализации государственной политики в сфере обязательного медицинского страхования на территории города Москвы. Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и/или выходящей из информационной системы. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Система защиты информации от НСД (СЗИ НСД) — комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированных системах. Система защиты персональных данных (СЗПДн) — совокупность организационных мер и технических средств защиты информации, а также используемых в информационной системе информационных технологий, в рамках которых реализуются организационные и технических мероприятия, обеспечивающие безопасность персональных данных. Специальные категории персональных данных — персональные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных. Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

АИС ОМС

Автоматизированная информационная система обязательного медицинского страхования АРМ
—
Автоматизированное рабочее место
АПК
—
Аппаратно-программный комплекс
ЕРЗ
—
Единый регистр застрахованных лиц
ИСПДн
—
Информационная система персональных данных ИБ
—
Информационная безопасность
ИС
—
Информационная система
КВС
—
Корпоративная вычислительная сеть
ЛВС
—
Локальная вычислительная сеть
МГФОМС
—
Московский городской фонд обязательного медицинского страхования МО
—
Медицинская организация
ОМС
—
Обязательное медицинское страхование
ПДн
—
Персональные данные
СЗИ
—
Средства защиты информации
СКЗИ
—
Средства криптографической защиты информации СМО
—
Страховая медицинская организация
УИО
—
Управление информационного обеспечения системы ОМС ФСБ России
—
Федеральная служба безопасности Российской Федерации ФСТЭК России
—
Федеральная служба по техническому и экспортному контролю ЦАПК

Центральный программно-аппаратный комплекс

АННОТАЦИЯ

Настоящий документ представляет собой свод законодательных и организационно-технических требований, поясняющий руководителям медицинских организаций, осуществляющих или планирующих осуществлять свою деятельность в сфере обязательного медицинского страхования города Москвы, порядок подключения к Автоматизированной информационной системе обязательного медицинского страхования г. Москвы.

1. НОРМАТИВНАЯ БАЗА
   • Федеральный закон от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
   • Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
   • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
   • Федеральный закон от 19.12.2005 N 160-ФЗ «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
   • Указ Президента Российской Федерации от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»;
   • Постановление Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
   • Постановление Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
   • Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
   • Приказ Минздравсоцразвития РФ от 25.01.2011 N 29н «Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования»;
   • Приказ Минздравсоцразвития РФ от 28.02.2011 N 158н «Об утверждении Правил обязательного медицинского страхования»;
   • Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрирован в Минюсте России 31.05.2013 N 28608);
   • Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375);
   • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 14.02.2008);
   • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 15.02.2008);
   • «Методические рекомендации по обеспечению с помощью шифровальных (криптографических) средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ 21.02.2008 N 149/54-144);
   • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21.02.2008 N 149/6/6-622);
   • Руководящий документ. Специальные требования и рекомендации по технической защите конфиденциальной информации. Утвержден приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 N 282;
   • Министерство здравоохранения и социального развития РФ «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
   • Министерство здравоохранения и социального развития РФ «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных моделях персональных данных учреждений здравоохранения, социальной сферы, труда и занятости»;
   • Постановление Правительства РФ от 03.03.2012 N 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»);
   • «ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания» (утв. Постановлением Госстандарта СССР от 29.12.1990 N 3469);
   • «ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем» (утв. Постановлением Госстандарта СССР от 17.02.1992 N 161);
   • «ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (принят и введен в действие Постановлением Госстандарта России от 06.04.2000 N 95-ст);
   • «ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения» (принят и введен в действие Постановлением Госстандарта России от 30.06.2000 N 175-ст);
   • «ГОСТ Р ИСО/МЭК 13335-1-2006. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (утв. и введен в действие Приказом Ростехрегулирования от 19.12.2006 N 317-ст);
   • «Защита информации. Основные термины и определения. ГОСТ Р 50922-2006» (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст);
   • «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51275-2006» (утв. Ростехрегулирования от 27.12.2006 N 374-ст);
   • «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. ГОСТ Р ИСО/МЭК 27001-2006» (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст); «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК 15408-1-2008» (утв. Приказом Ростехрегулирования от 18.12.2008 N 519-ст); «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-2-2008» (утв. Приказом Ростехрегулирования от 18.12.2008 N 520-ст); «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408-3-2008» (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст); «ГОСТ Р ИСО 9004-2010. Национальный стандарт Российской Федерации. Менеджмент для достижения устойчивого успеха организации. Подход на основе менеджмента качества» (утв. и введен в действие Приказом Росстандарта от 23.11.2010 N 501-ст); «ГОСТ ISO 9001-2011. Межгосударственный стандарт. Системы менеджмента качества. Требования» (введен в действие Приказом Росстандарта от 22.12.2011 N 1575-ст).
2. ОБЩИЕ СВЕДЕНИЯ

Автоматизированная информационная система обязательного медицинского страхования г. Москвы (далее — АИС ОМС), созданная и введенная в промышленную эксплуатацию в соответствии с «Комплексной программой оптимизации деятельности Московской городской системы ОМС на 1998-2003 годы», предназначена для автоматизации формирования, обработки, хранения и обмена данными между участниками обязательного медицинского страхования г. Москвы, формирования базы данных об услугах, оказанных в МО по программе обязательного медицинского страхования, реализации функций аналитики и отчетности в структурах ОМС и учреждениях Департамента здравоохранения г. Москвы. АИС ОМС включает в себя центральный аппаратно-программный комплекс (далее — ЦАПК), развернутый в МГФОМС, и аппаратно-программные комплексы (далее — АПК) участников ОМС г. Москвы. ЦАПК АИС ОМС обеспечивает сбор, персонифицированный учет, обработку, и хранение сведений о застрахованных лицах и оказанной им медицинской помощи, а также информационное взаимодействие между участниками ОМС г. Москвы по цифровым каналам передачи данных корпоративной вычислительной сети АИС ОМС (КВС АИС ОМС), предусмотренное статьями 43 и 44 Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации». АПК участников ОМС г. Москвы предназначены для автоматизации процессов персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, в соответствии с требованиями Федерального закона N 326-ФЗ от 29.11.2010 «Об обязательном медицинском страховании в Российской Федерации». В состав АПК МО, как правило, входят сервер базы данных, автоматизированные рабочие места (далее — АРМ) пользователей, принтеры, а также аппаратно-программные средства, предназначенные для обеспечения информационного взаимодействия с участниками системы ОМС г. Москвы по цифровым каналам передачи данных КВС АИС ОМС. В качестве прикладного программного обеспечения АПК МО (далее — ППО ОМС), реализующего функции по ведению медицинской организацией персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам в соответствии с требованиями Федерального закона N 326-ФЗ, в большинстве МО в настоящее время используется ППО, разработчиком и правообладателем исключительных прав на которое является ЗАО «Институт информационной экономики». МГФОМС обладает неисключительным правом на использование ППО ОМС в составе АПК МО. ППО ОМС имеет клиент-серверную архитектуру и устанавливается на сервере баз данных АПК МО (серверная часть ППО ОМС) и рабочих станциях пользователей МО (клиентская часть ППО ОМС). В качестве транспортной среды КВС АИС ОМС используется Московская волоконно-оптическая сеть передачи данных, построенная по технологии SDH с наложенной сетью ATM. Обеспечение защищенного доступа пользователей АПК участников ОМС г. Москвы к ресурсам ЦАПК АИС ОМС осуществляется с использованием защищенного канала, созданного средствами криптографической защиты информации (далее — СКЗИ) ViPNet по технологии VPN, и функционирующего в рамках единой защищенной АИС ОМС.

3. ТРЕБОВАНИЯ К МО КАК К ОПЕРАТОРУ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со ст. 43 и ст. 44 Федерального закона от 29.11.2010 N 326-ФЗ в сфере обязательного медицинского страхования г. Москвы ведется персонифицированный учет сведений о застрахованных лицах и персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам. Порядок ведения персонифицированного учета утвержден Приказом Министерства здравоохранения и социального развития РФ от 25.01.2011 N 29н. Персонифицированный В соответствии с данным порядком учет сведений ведется в электронном виде медицинскими организациям и страховыми медицинскими организациями, работающими в системе обязательного медицинского страхования, и территориальными фондами ОМС. При ведении персонифицированного учета сведений о застрахованных лицах и сведений о медицинской помощи, оказанной застрахованным лицам, осуществляются сбор, обработка, передача и хранение сведений, относящихся к информации ограниченного доступа и подлежащих защите в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и защите информации», Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Таким образом, медицинские организации и страховые медицинские организации, работающие в системе обязательного медицинского страхования, и территориальные фонды ОМС, являются операторами персональных данных. В соответствии со статьей 22 Федерального закона N 152-ФЗ «О персональных данных» МО до начала обработки персональных данных, обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных субъектов персональных данных (застрахованных в системе ОМС лиц), зарегистрироваться в реестре операторов персональных данных и получить регистрационный номер. В соответствии со статьей 23 Федерального закона N 152-ФЗ «О персональных данных» уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям данного закона, является федеральный орган исполнительной власти. Постановлением Правительства от 16 марта 2009 г. N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В соответствие со статьями 18, 19 и 22 Федерального закона N 152-ФЗ «О персональных данных» оператор персональных данных обязан: 1. Определить границы информационной системы персональных данных (далее — ИСПДн); 2. Назначить ответственного за организацию обработки персональных данных; 3. Произвести обследование информационной системы организации, определить угрозы безопасности персональных данных при их обработке в информационной системе персональных данных; 4. Определить угрозы и нарушителей безопасности ПДн при их обработке в информационной системе (разработать, согласовать и утвердить Модель угроз); 5. Разработать и утвердить политику информационной безопасности, организационно-распорядительные документы по обеспечению информационной безопасности; 6. Определить приказом перечень персональных данных, обрабатываемых в информационной системе персональных данных; 7. Определить приказом лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей; 8. Установить уровень защищенности персональных данных, который необходимо обеспечивать при их обработке в информационной системе (с оформлением соответствующего акта о присвоении уровня защищенности); 9. Реализовать комплекс организационных и технических мер по защите ПДн в соответствии с перечисленными выше регламентирующими обработку ПДн федеральными законами, положениями, правовыми актами и методическими документами; 10. При реализации технических мер защиты необходимо использовать сертифицированные средства защиты информации (далее — СЗИ) и средства криптографической защиты информации (далее — СКЗИ); 11. Используемые (внедряемые) аппаратно-программные компоненты и средства, в составе информационных систем медицинских организаций, должны быть совместимы с аппаратно-программными компонентами и средствами внедренными в составе IT инфраструктуры МГФОМС; 12. Организовать учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных; 13. Провести инструктаж сотрудников, допущенных в установленном порядке к обработке ПДн, довести порядок обеспечения безопасности ПДн и правила работы со средствами защиты информации; 14. Организовать контроль над соблюдением условий использования и режимом эксплуатации комплекса технических средств и средств защиты информации, предусмотренных эксплуатационной, технической и проектной документацией (инструкция, инструктаж, комиссионная проверка за отчетный период, проект, технический паспорт); 15. Организовать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; 16. Произвести оценку соответствия информационных систем персональных данных требованиям безопасности и выполнить процедуру аттестационных мероприятий на соответствие требованиям информационной безопасности. Лица ответственные за обработку сведений конфиденциального характера, в том числе и персональных данных субъектов ПДн (застрахованных лиц), несут персональную административную и уголовную ответственность, в соответствии с действующим законодательством Российской Федерации, и нормативно-правовыми актами, в случаях: — разглашения сведений, составляющих конфиденциальную информацию, ставших ему известной в связи с исполнением должностных обязанностей; — неисполнение или ненадлежащее исполнение своих обязанностей во исполнение требований должностных инструкций; — непринятие своевременных мер по выявлению и пресечению нарушений требований по обеспечению информационной безопасности. Нарушение требований правовых, организационно-распорядительных и нормативных документов в области защиты информации, является основанием для применения дисциплинарных и административных взысканий и привлечения к ответственности в соответствии с действующим законодательством Российской Федерации: Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) от 30.12.2001 N 195-ФЗ: — Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных; — Статья 13.12. Нарушение правил защиты информации; — Статья 13.14. Разглашение информации с ограниченным доступом. Уголовный кодекс РФ (УК РФ) от 13.06.1996 N 63-Ф3: — Статья 8. Основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного настоящим Кодексом; — Статья 137. Нарушение неприкосновенности частной жизни (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия); — Статья 272. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации; — Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.

4. ТРЕБОВАНИЯ К СОСТАВУ И ТЕХНИЧЕСКИМ ХАРАКТЕРИСТИКАМ АППАРАТНО-ПРОГРАММНЫХ СРЕДСТВ АПК МО

В таблице представлен типовой состав АПК МО, необходимый для ведения медицинской организацией персонифицированного учета сведений об оказанной медицинской помощи с использованием ППО ОМС и защищенного информационного взаимодействия с участниками системы ОМС г. Москвы по КВС АИС ОМС.

Таблица 1

Наименование устройства
Технические характеристики
Сервер базы данных
Процессор:
i5-2300, AMD A10 4600m
Оперативная память:
16 Gb
Жесткий диск:
2xHDD 250 GB
Оптический дисковод:
DVD-RW
Сетевой адаптер
LOM (LAN) — встроенный сетевой адаптер
Блок питания
450 W
Операционная система
Microsoft Server 2012 Standard Edition RUS 64 bit СУБД
Microsoft SQL Server Standard 2014 RUS 64 bit Антивирусное ПО
Kaspersky Endpoint Security для бизнеса — Стандартный. СЗИ от НСД:
«Dallas Lock» v.8.0 К
Коммуникационный сервер
Процессор:
i3 2120 3 МИ
Оперативная память:
4 Gb
Жесткий диск:
HDD 500 GB
Оптический дисковод:
DVD-RW
Блок питания
220 W
Операционная система
Microsoft Windows 7 Pro (русский) 32 bit Антивирусное ПО
Kaspersky KES v.8
СЗИ от НСД
«Dallas Lock» v.8.0 К
Криптомаршрутизатор и сетевой экран
ПАК ViPNet Coordinator HW1000
Коммутатор
Кол-во портов
16*100/1000
Скорость передачи данных
2000 Мбит/с
Cкорость фильтрации/ передачи пакетов (полудуплекс) 1488000 пакетов в секунду на порт
Источник бесперебойного питания
Мощность
1500 ВА или 900 Вт на активную нагрузку; Диапазон входных напряжений без перехода на батареи 144-282 В
Автоматизированное рабочее место пользователя Процессор:
i3-3220 3 MB
Оперативная память:
2 Gb
Жесткий диск:
HDD 250 GB 7200
Оптический дисковод:
DVD-RW
Сетевой адаптер
10/100/1000 MB c Ethernet
Блок питания
550 BA/300 W
Операционная система
Microsoft Windows 7 Pro (русский) 32 bit Антивирусное ПО
Kaspersky KES v.8
СЗИ от НСД
«Dallas Lock» v.8.0 К
СКЗИ
ViPNet Client
Монитор
19″

Примечания:
1. При незначительном объеме оказываемых услуг функции сервера базы данных и коммуникационного сервера могут быть объединены в одном устройстве. 2. При использовании в составе АПК МО менее 10 АРМ пользователей в качестве криптомаршрутизатора и сетевого экрана может быть использован ПАК ViPNet Coordinator HW100. 3. В случае использования в АПК МО в качестве ППО, реализующего функции по ведению персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, ППО другого разработчика, технические характеристики сервера базы данных и автоматизированных рабочих мест пользователей АПК МО должны выбираться с учетом требований данного ППО.

5. ПОРЯДОК ПОДКЛЮЧЕНИЯ МО К ИНФОРМАЦИОННЫМ РЕСУРСАМ АИС ОМС

МО, вошедшая в реестр МО, оказывающих услуги по обязательному медицинскому страхованию, для подключения к информационным ресурсам АИС ОМС должна провести комплекс предварительных мероприятий, а именно: 1. Определиться с объемами услуг для оказания медицинской помощи лицам, застрахованным в системе ОМС. 2. Определиться с количеством АРМ пользователей, на которых будет производиться обработка данных субъектов ПДн застрахованных в системе ОМС. 3. Определить состав и количество операторов ИСПДн, которые будут допущены к обработке персональных данных субъекта ПДн. Документ утверждается Директором, приказом по организации. 4. Приобрести или выделить из имеющихся в распоряжении аппаратно-программные средства и сертифицированные средства защиты информации в необходимой конфигурации (см. Таблица 1). 5. В случае принятия решения об использовании в составе АПК МО прикладного программного обеспечения ППО ОМС обратиться в МГФОМС за предоставлением его актуальной версии. 6. Самостоятельно провести установку, монтаж и пуско-наладочные работы аппаратно-программных средств и СЗИ АПК МО. О выполнении работ необходимо проинформировать сотрудников отвечающих за обеспечение информационной безопасности в МГФОМС. 7. Провести оценку подключаемой к АИС ОМС информационной системы персональных данных МО и проведенных аттестационных мероприятий на соответствие требованиям по обеспечению информационной безопасности. Подключение МО к информационным ресурсам АИС ОМС происходит в следующем порядке: 1. Руководитель МО направляет на имя Заместителя директора — начальника Управления информационного обеспечения системы ОМС письменное обращение (заявку) с уведомлением о готовности информационной системы МО к подключению к информационным ресурсам АИС ОМС с приложением копий организационно-распорядительных документов подтверждающих выполнение требований федеральных органов исполнительной власти, осуществляющих реализацию государственной политики по вопросам обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры, информационных системах и телекоммуникационных сетях (Роскомнадзор, ФСТЭК России и ФСБ России). 2. Управление информационного обеспечения системы ОМС направляет ответственных лиц на объект информатизации МО, в целях проверки исполнения требований законодательства Российской Федерации, нормативных документов федеральных органов исполнительной власти, уполномоченных на деятельность по защите информации, действующих стандартов в области применения информационных технологий и защиты информации, а также организационно-распорядительной документации МО в данной области. Результаты проверки оформляется Актом. 3. По факту выполнения МО вышеуказанных требований Управление информационного обеспечения системы ОМС организует подключение МО к АИС ОМС для чего ответственному за организацию обработки ПДн в МО, под роспись, выдаются необходимые документы для выполнения настройки защищенного канала для обмена данными.

6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Настоящие требования предъявляются ко всем медицинским организациям, вступающим в систему ОМС. Организация и контроль выполнения требований нормативно-правовых актов в области обеспечения безопасности информации возлагается на руководителей МО, назначенных ими администраторов информационной безопасности и ответственных за организацию обработки персональных данных. Несоблюдение требований федерального законодательства и нормативно-правовых актов является основанием для отказа в подключении ИСПДн МО к информационным ресурсам АИС ОМС. МГФОМС в лице ответственных сотрудников отдела безопасности персональных данных Управления информационного обеспечения системы ОМС оставляет за собой право проведения очередных и внеочередных проверок соблюдения и выполнения ответственными сотрудниками МО данных требований. При нанесении материального ущерба МГФОМС, участникам ОМС или субъектам персональных данных, МГФОМС имеет право инициировать процедуру привлечения нарушителя к ответственности, в соответствии с действующим законодательством Российской Федерации и произвести отключение ИСПДн МО от информационных ресурсов АИС ОМС. О всех произошедших инцидентах и выявленных нарушениях в области обеспечения безопасности информации, а также предпосылках нарушения информационной безопасности, работники и ответственные сотрудники МО должны уведомить администратора информационной безопасности и ответственного за организацию обработки персональных данных в информационной системе. По вопросам получения консультаций в области обеспечения информационной безопасности разъяснением положений данного документа можно обращаться по следующим электронным адресам: — [email protected] — Марченков Василий Сергеевич, администратор информационной безопасности МГФОМС; — [email protected] — Ширяев Владимир Александрович, начальник отдела безопасности персональных данных Управления информационного обеспечения системы ОМС; — [email protected] — Сергеев Игорь Валентинович, начальник отдела организации эксплуатации и развития АИС ОМС.