Recipe.Ru

Приказ МГФОМС от 19.02.2015 N 55 «Об утверждении организационных и технических требований» (вместе с «Организационными и техническими требованиями по присоединению информационных систем медицинских организаций к информационным ресурсам автоматизированной информационной системы обязательного медицинского страхования города Москвы»)

new_adm

МОСКОВСКИЙ ГОРОДСКОЙ ФОНД
ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ

ПРИКАЗ
от 19 февраля 2015 г. N 55

ОБ УТВЕРЖДЕНИИ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ ТРЕБОВАНИЙ

Во исполнение требований Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Федерального закона от 29 ноября 2010 г. N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» приказываю: 1. Утвердить «Организационные и технические требования по присоединению информационных систем медицинских организаций к ресурсам автоматизированной информационной системы обязательного медицинского страхования города Москвы» (Приложение 1). 2. Считать утратившим силу приказ МГФОМС N 160 от 01.11.2013 «Об утверждении организационных и технических требований по присоединению информационных систем МО и СМО к АИС ОМС». 3. Контроль за исполнением настоящего приказа возложить на заместителя директора — начальника Управления информационного обеспечения системы ОМС Кидалова Ф.В.

Директор
В.А.ЗЕЛЕНСКИЙ

Приложение N 1
к приказу МГФОМС
от 19 февраля 2015 г. N 55

ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ ПО ПРИСОЕДИНЕНИЮ ИНФОРМАЦИОННЫХ СИСТЕМ МЕДИЦИНСКИХ ОРГАНИЗАЦИЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ ГОРОДА МОСКВЫ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. Автоматизированная информационная система обязательного медицинского страхования (АИС ОМС) — автоматизированная информационная система учета медицинской помощи, оказанной по программе ОМС, предназначенная для автоматизации обмена данными между МГФОМС, МО и СМО г. Москвы, формирования интегрированной базы данных об услугах, оказанных в МО и реализации функций аналитики и отчетности в системе ОМС и учреждениях Департамента здравоохранения города Москвы. Аппаратно-программный комплекс — набор аппаратно-программных средств, работающих совместно для выполнения одной или нескольких сходных задач. Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Доступ к информации — возможность получения информации и ее использования. Доступность информации — состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия. Защита информации от несанкционированного доступа (защита от НСД) или воздействия — деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию). Информация — сведения (сообщения, данные) независимо от формы их представления. Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации. Информационный ресурс — используемые в информационных системах документы и массивы документов, файлы и базы данных, распоряжение доступом к которым осуществляется их обладателем путем установления соответствующих правил. Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Корпоративная вычислительная сеть — совокупность взаимодействующих локальных вычислительных сетей. Локальная вычислительная сеть (ЛВС) — совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС. Московский городской фонд обязательного медицинского страхования — некоммерческая организация, созданная Правительством Москвы для реализации государственной политики в сфере обязательного медицинского страхования на территории города Москвы. Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и/или выходящей из информационной системы. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Система защиты информации от НСД (СЗИ НСД) — комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированных системах. Система защиты персональных данных (СЗПДн) — совокупность организационных мер и технических средств защиты информации, а также используемых в информационной системе информационных технологий, в рамках которых реализуются организационные и технических мероприятия, обеспечивающие безопасность персональных данных. Специальные категории персональных данных — персональные данные, касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных. Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

АИС ОМС

Автоматизированная информационная система обязательного медицинского страхования АРМ

Автоматизированное рабочее место
АПК

Аппаратно-программный комплекс
ЕРЗ

Единый регистр застрахованных лиц
ИСПДн

Информационная система персональных данных ИБ

Информационная безопасность
ИС

Информационная система
КВС

Корпоративная вычислительная сеть
ЛВС

Локальная вычислительная сеть
МГФОМС

Московский городской фонд обязательного медицинского страхования МО

Медицинская организация
ОМС

Обязательное медицинское страхование
ПДн

Персональные данные
СЗИ

Средства защиты информации
СКЗИ

Средства криптографической защиты информации СМО

Страховая медицинская организация
УИО

Управление информационного обеспечения системы ОМС ФСБ России

Федеральная служба безопасности Российской Федерации ФСТЭК России

Федеральная служба по техническому и экспортному контролю ЦАПК

Центральный программно-аппаратный комплекс

АННОТАЦИЯ

Настоящий документ представляет собой свод законодательных и организационно-технических требований, поясняющий руководителям медицинских организаций, осуществляющих или планирующих осуществлять свою деятельность в сфере обязательного медицинского страхования города Москвы, порядок подключения к Автоматизированной информационной системе обязательного медицинского страхования г. Москвы.

  1. НОРМАТИВНАЯ БАЗА
    • Федеральный закон от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
    • Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
    • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
    • Федеральный закон от 19.12.2005 N 160-ФЗ «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
    • Указ Президента Российской Федерации от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»;
    • Постановление Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Постановление Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
    • Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • Приказ Минздравсоцразвития РФ от 25.01.2011 N 29н «Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования»;
    • Приказ Минздравсоцразвития РФ от 28.02.2011 N 158н «Об утверждении Правил обязательного медицинского страхования»;
    • Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрирован в Минюсте России 31.05.2013 N 28608);
    • Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375);
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 14.02.2008);
    • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 15.02.2008);
    • «Методические рекомендации по обеспечению с помощью шифровальных (криптографических) средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ 21.02.2008 N 149/54-144);
    • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21.02.2008 N 149/6/6-622);
    • Руководящий документ. Специальные требования и рекомендации по технической защите конфиденциальной информации. Утвержден приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 N 282;
    • Министерство здравоохранения и социального развития РФ «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости»;
    • Министерство здравоохранения и социального развития РФ «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных моделях персональных данных учреждений здравоохранения, социальной сферы, труда и занятости»;
    • Постановление Правительства РФ от 03.03.2012 N 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»);
    • «ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания» (утв. Постановлением Госстандарта СССР от 29.12.1990 N 3469);
    • «ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем» (утв. Постановлением Госстандарта СССР от 17.02.1992 N 161);
    • «ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (принят и введен в действие Постановлением Госстандарта России от 06.04.2000 N 95-ст);
    • «ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения» (принят и введен в действие Постановлением Госстандарта России от 30.06.2000 N 175-ст);
    • «ГОСТ Р ИСО/МЭК 13335-1-2006. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (утв. и введен в действие Приказом Ростехрегулирования от 19.12.2006 N 317-ст);
    • «Защита информации. Основные термины и определения. ГОСТ Р 50922-2006» (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст);
    • «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51275-2006» (утв. Ростехрегулирования от 27.12.2006 N 374-ст);
    • «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. ГОСТ Р ИСО/МЭК 27001-2006» (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст); «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК 15408-1-2008» (утв. Приказом Ростехрегулирования от 18.12.2008 N 519-ст); «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-2-2008» (утв. Приказом Ростехрегулирования от 18.12.2008 N 520-ст); «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408-3-2008» (утв. Приказом Ростехрегулирования от 18.12.2008 N 521-ст); «ГОСТ Р ИСО 9004-2010. Национальный стандарт Российской Федерации. Менеджмент для достижения устойчивого успеха организации. Подход на основе менеджмента качества» (утв. и введен в действие Приказом Росстандарта от 23.11.2010 N 501-ст); «ГОСТ ISO 9001-2011. Межгосударственный стандарт. Системы менеджмента качества. Требования» (введен в действие Приказом Росстандарта от 22.12.2011 N 1575-ст).
  2. ОБЩИЕ СВЕДЕНИЯ

Автоматизированная информационная система обязательного медицинского страхования г. Москвы (далее — АИС ОМС), созданная и введенная в промышленную эксплуатацию в соответствии с «Комплексной программой оптимизации деятельности Московской городской системы ОМС на 1998-2003 годы», предназначена для автоматизации формирования, обработки, хранения и обмена данными между участниками обязательного медицинского страхования г. Москвы, формирования базы данных об услугах, оказанных в МО по программе обязательного медицинского страхования, реализации функций аналитики и отчетности в структурах ОМС и учреждениях Департамента здравоохранения г. Москвы. АИС ОМС включает в себя центральный аппаратно-программный комплекс (далее — ЦАПК), развернутый в МГФОМС, и аппаратно-программные комплексы (далее — АПК) участников ОМС г. Москвы. ЦАПК АИС ОМС обеспечивает сбор, персонифицированный учет, обработку, и хранение сведений о застрахованных лицах и оказанной им медицинской помощи, а также информационное взаимодействие между участниками ОМС г. Москвы по цифровым каналам передачи данных корпоративной вычислительной сети АИС ОМС (КВС АИС ОМС), предусмотренное статьями 43 и 44 Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации». АПК участников ОМС г. Москвы предназначены для автоматизации процессов персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, в соответствии с требованиями Федерального закона N 326-ФЗ от 29.11.2010 «Об обязательном медицинском страховании в Российской Федерации». В состав АПК МО, как правило, входят сервер базы данных, автоматизированные рабочие места (далее — АРМ) пользователей, принтеры, а также аппаратно-программные средства, предназначенные для обеспечения информационного взаимодействия с участниками системы ОМС г. Москвы по цифровым каналам передачи данных КВС АИС ОМС. В качестве прикладного программного обеспечения АПК МО (далее — ППО ОМС), реализующего функции по ведению медицинской организацией персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам в соответствии с требованиями Федерального закона N 326-ФЗ, в большинстве МО в настоящее время используется ППО, разработчиком и правообладателем исключительных прав на которое является ЗАО «Институт информационной экономики». МГФОМС обладает неисключительным правом на использование ППО ОМС в составе АПК МО. ППО ОМС имеет клиент-серверную архитектуру и устанавливается на сервере баз данных АПК МО (серверная часть ППО ОМС) и рабочих станциях пользователей МО (клиентская часть ППО ОМС). В качестве транспортной среды КВС АИС ОМС используется Московская волоконно-оптическая сеть передачи данных, построенная по технологии SDH с наложенной сетью ATM. Обеспечение защищенного доступа пользователей АПК участников ОМС г. Москвы к ресурсам ЦАПК АИС ОМС осуществляется с использованием защищенного канала, созданного средствами криптографической защиты информации (далее — СКЗИ) ViPNet по технологии VPN, и функционирующего в рамках единой защищенной АИС ОМС.

3. ТРЕБОВАНИЯ К МО КАК К ОПЕРАТОРУ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со ст. 43 и ст. 44 Федерального закона от 29.11.2010 N 326-ФЗ в сфере обязательного медицинского страхования г. Москвы ведется персонифицированный учет сведений о застрахованных лицах и персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам. Порядок ведения персонифицированного учета утвержден Приказом Министерства здравоохранения и социального развития РФ от 25.01.2011 N 29н. Персонифицированный В соответствии с данным порядком учет сведений ведется в электронном виде медицинскими организациям и страховыми медицинскими организациями, работающими в системе обязательного медицинского страхования, и территориальными фондами ОМС. При ведении персонифицированного учета сведений о застрахованных лицах и сведений о медицинской помощи, оказанной застрахованным лицам, осуществляются сбор, обработка, передача и хранение сведений, относящихся к информации ограниченного доступа и подлежащих защите в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и защите информации», Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Таким образом, медицинские организации и страховые медицинские организации, работающие в системе обязательного медицинского страхования, и территориальные фонды ОМС, являются операторами персональных данных. В соответствии со статьей 22 Федерального закона N 152-ФЗ «О персональных данных» МО до начала обработки персональных данных, обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных субъектов персональных данных (застрахованных в системе ОМС лиц), зарегистрироваться в реестре операторов персональных данных и получить регистрационный номер. В соответствии со статьей 23 Федерального закона N 152-ФЗ «О персональных данных» уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям данного закона, является федеральный орган исполнительной власти. Постановлением Правительства от 16 марта 2009 г. N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В соответствие со статьями 18, 19 и 22 Федерального закона N 152-ФЗ «О персональных данных» оператор персональных данных обязан: 1. Определить границы информационной системы персональных данных (далее — ИСПДн); 2. Назначить ответственного за организацию обработки персональных данных; 3. Произвести обследование информационной системы организации, определить угрозы безопасности персональных данных при их обработке в информационной системе персональных данных; 4. Определить угрозы и нарушителей безопасности ПДн при их обработке в информационной системе (разработать, согласовать и утвердить Модель угроз); 5. Разработать и утвердить политику информационной безопасности, организационно-распорядительные документы по обеспечению информационной безопасности; 6. Определить приказом перечень персональных данных, обрабатываемых в информационной системе персональных данных; 7. Определить приказом лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей; 8. Установить уровень защищенности персональных данных, который необходимо обеспечивать при их обработке в информационной системе (с оформлением соответствующего акта о присвоении уровня защищенности); 9. Реализовать комплекс организационных и технических мер по защите ПДн в соответствии с перечисленными выше регламентирующими обработку ПДн федеральными законами, положениями, правовыми актами и методическими документами; 10. При реализации технических мер защиты необходимо использовать сертифицированные средства защиты информации (далее — СЗИ) и средства криптографической защиты информации (далее — СКЗИ); 11. Используемые (внедряемые) аппаратно-программные компоненты и средства, в составе информационных систем медицинских организаций, должны быть совместимы с аппаратно-программными компонентами и средствами внедренными в составе IT инфраструктуры МГФОМС; 12. Организовать учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных; 13. Провести инструктаж сотрудников, допущенных в установленном порядке к обработке ПДн, довести порядок обеспечения безопасности ПДн и правила работы со средствами защиты информации; 14. Организовать контроль над соблюдением условий использования и режимом эксплуатации комплекса технических средств и средств защиты информации, предусмотренных эксплуатационной, технической и проектной документацией (инструкция, инструктаж, комиссионная проверка за отчетный период, проект, технический паспорт); 15. Организовать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; 16. Произвести оценку соответствия информационных систем персональных данных требованиям безопасности и выполнить процедуру аттестационных мероприятий на соответствие требованиям информационной безопасности. Лица ответственные за обработку сведений конфиденциального характера, в том числе и персональных данных субъектов ПДн (застрахованных лиц), несут персональную административную и уголовную ответственность, в соответствии с действующим законодательством Российской Федерации, и нормативно-правовыми актами, в случаях: — разглашения сведений, составляющих конфиденциальную информацию, ставших ему известной в связи с исполнением должностных обязанностей; — неисполнение или ненадлежащее исполнение своих обязанностей во исполнение требований должностных инструкций; — непринятие своевременных мер по выявлению и пресечению нарушений требований по обеспечению информационной безопасности. Нарушение требований правовых, организационно-распорядительных и нормативных документов в области защиты информации, является основанием для применения дисциплинарных и административных взысканий и привлечения к ответственности в соответствии с действующим законодательством Российской Федерации: Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) от 30.12.2001 N 195-ФЗ: — Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных; — Статья 13.12. Нарушение правил защиты информации; — Статья 13.14. Разглашение информации с ограниченным доступом. Уголовный кодекс РФ (УК РФ) от 13.06.1996 N 63-Ф3: — Статья 8. Основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного настоящим Кодексом; — Статья 137. Нарушение неприкосновенности частной жизни (незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия); — Статья 272. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации; — Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.

4. ТРЕБОВАНИЯ К СОСТАВУ И ТЕХНИЧЕСКИМ ХАРАКТЕРИСТИКАМ АППАРАТНО-ПРОГРАММНЫХ СРЕДСТВ АПК МО

В таблице представлен типовой состав АПК МО, необходимый для ведения медицинской организацией персонифицированного учета сведений об оказанной медицинской помощи с использованием ППО ОМС и защищенного информационного взаимодействия с участниками системы ОМС г. Москвы по КВС АИС ОМС.

Таблица 1

Наименование устройства
Технические характеристики
Сервер базы данных
Процессор:
i5-2300, AMD A10 4600m
Оперативная память:
16 Gb
Жесткий диск:
2xHDD 250 GB
Оптический дисковод:
DVD-RW
Сетевой адаптер
LOM (LAN) — встроенный сетевой адаптер
Блок питания
450 W
Операционная система
Microsoft Server 2012 Standard Edition RUS 64 bit СУБД
Microsoft SQL Server Standard 2014 RUS 64 bit Антивирусное ПО
Kaspersky Endpoint Security для бизнеса — Стандартный. СЗИ от НСД:
«Dallas Lock» v.8.0 К
Коммуникационный сервер
Процессор:
i3 2120 3 МИ
Оперативная память:
4 Gb
Жесткий диск:
HDD 500 GB
Оптический дисковод:
DVD-RW
Блок питания
220 W
Операционная система
Microsoft Windows 7 Pro (русский) 32 bit Антивирусное ПО
Kaspersky KES v.8
СЗИ от НСД
«Dallas Lock» v.8.0 К
Криптомаршрутизатор и сетевой экран
ПАК ViPNet Coordinator HW1000
Коммутатор
Кол-во портов
16*100/1000
Скорость передачи данных
2000 Мбит/с
Cкорость фильтрации/ передачи пакетов (полудуплекс) 1488000 пакетов в секунду на порт
Источник бесперебойного питания
Мощность
1500 ВА или 900 Вт на активную нагрузку; Диапазон входных напряжений без перехода на батареи 144-282 В
Автоматизированное рабочее место пользователя Процессор:
i3-3220 3 MB
Оперативная память:
2 Gb
Жесткий диск:
HDD 250 GB 7200
Оптический дисковод:
DVD-RW
Сетевой адаптер
10/100/1000 MB c Ethernet
Блок питания
550 BA/300 W
Операционная система
Microsoft Windows 7 Pro (русский) 32 bit Антивирусное ПО
Kaspersky KES v.8
СЗИ от НСД
«Dallas Lock» v.8.0 К
СКЗИ
ViPNet Client
Монитор
19″

Примечания:
1. При незначительном объеме оказываемых услуг функции сервера базы данных и коммуникационного сервера могут быть объединены в одном устройстве. 2. При использовании в составе АПК МО менее 10 АРМ пользователей в качестве криптомаршрутизатора и сетевого экрана может быть использован ПАК ViPNet Coordinator HW100. 3. В случае использования в АПК МО в качестве ППО, реализующего функции по ведению персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, ППО другого разработчика, технические характеристики сервера базы данных и автоматизированных рабочих мест пользователей АПК МО должны выбираться с учетом требований данного ППО.

5. ПОРЯДОК ПОДКЛЮЧЕНИЯ МО К ИНФОРМАЦИОННЫМ РЕСУРСАМ АИС ОМС

МО, вошедшая в реестр МО, оказывающих услуги по обязательному медицинскому страхованию, для подключения к информационным ресурсам АИС ОМС должна провести комплекс предварительных мероприятий, а именно: 1. Определиться с объемами услуг для оказания медицинской помощи лицам, застрахованным в системе ОМС. 2. Определиться с количеством АРМ пользователей, на которых будет производиться обработка данных субъектов ПДн застрахованных в системе ОМС. 3. Определить состав и количество операторов ИСПДн, которые будут допущены к обработке персональных данных субъекта ПДн. Документ утверждается Директором, приказом по организации. 4. Приобрести или выделить из имеющихся в распоряжении аппаратно-программные средства и сертифицированные средства защиты информации в необходимой конфигурации (см. Таблица 1). 5. В случае принятия решения об использовании в составе АПК МО прикладного программного обеспечения ППО ОМС обратиться в МГФОМС за предоставлением его актуальной версии. 6. Самостоятельно провести установку, монтаж и пуско-наладочные работы аппаратно-программных средств и СЗИ АПК МО. О выполнении работ необходимо проинформировать сотрудников отвечающих за обеспечение информационной безопасности в МГФОМС. 7. Провести оценку подключаемой к АИС ОМС информационной системы персональных данных МО и проведенных аттестационных мероприятий на соответствие требованиям по обеспечению информационной безопасности. Подключение МО к информационным ресурсам АИС ОМС происходит в следующем порядке: 1. Руководитель МО направляет на имя Заместителя директора — начальника Управления информационного обеспечения системы ОМС письменное обращение (заявку) с уведомлением о готовности информационной системы МО к подключению к информационным ресурсам АИС ОМС с приложением копий организационно-распорядительных документов подтверждающих выполнение требований федеральных органов исполнительной власти, осуществляющих реализацию государственной политики по вопросам обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры, информационных системах и телекоммуникационных сетях (Роскомнадзор, ФСТЭК России и ФСБ России). 2. Управление информационного обеспечения системы ОМС направляет ответственных лиц на объект информатизации МО, в целях проверки исполнения требований законодательства Российской Федерации, нормативных документов федеральных органов исполнительной власти, уполномоченных на деятельность по защите информации, действующих стандартов в области применения информационных технологий и защиты информации, а также организационно-распорядительной документации МО в данной области. Результаты проверки оформляется Актом. 3. По факту выполнения МО вышеуказанных требований Управление информационного обеспечения системы ОМС организует подключение МО к АИС ОМС для чего ответственному за организацию обработки ПДн в МО, под роспись, выдаются необходимые документы для выполнения настройки защищенного канала для обмена данными.

6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Настоящие требования предъявляются ко всем медицинским организациям, вступающим в систему ОМС. Организация и контроль выполнения требований нормативно-правовых актов в области обеспечения безопасности информации возлагается на руководителей МО, назначенных ими администраторов информационной безопасности и ответственных за организацию обработки персональных данных. Несоблюдение требований федерального законодательства и нормативно-правовых актов является основанием для отказа в подключении ИСПДн МО к информационным ресурсам АИС ОМС. МГФОМС в лице ответственных сотрудников отдела безопасности персональных данных Управления информационного обеспечения системы ОМС оставляет за собой право проведения очередных и внеочередных проверок соблюдения и выполнения ответственными сотрудниками МО данных требований. При нанесении материального ущерба МГФОМС, участникам ОМС или субъектам персональных данных, МГФОМС имеет право инициировать процедуру привлечения нарушителя к ответственности, в соответствии с действующим законодательством Российской Федерации и произвести отключение ИСПДн МО от информационных ресурсов АИС ОМС. О всех произошедших инцидентах и выявленных нарушениях в области обеспечения безопасности информации, а также предпосылках нарушения информационной безопасности, работники и ответственные сотрудники МО должны уведомить администратора информационной безопасности и ответственного за организацию обработки персональных данных в информационной системе. По вопросам получения консультаций в области обеспечения информационной безопасности разъяснением положений данного документа можно обращаться по следующим электронным адресам: — marchenkov@mgfoms.ru — Марченков Василий Сергеевич, администратор информационной безопасности МГФОМС; — shiryaev@mgfoms.ru — Ширяев Владимир Александрович, начальник отдела безопасности персональных данных Управления информационного обеспечения системы ОМС; — isergeev@mgfoms.ru — Сергеев Игорь Валентинович, начальник отдела организации эксплуатации и развития АИС ОМС.

Exit mobile version