Приказ Территориального фонда обязательного медицинского страхования Ставропольского края от 26.05.2022 N 122 "Об утверждении Регламента организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края" (с изменениями и дополнениями)

Приказ Территориального фонда обязательного медицинского страхования Ставропольского края
от 26 мая 2022 г. N 122
"Об утверждении Регламента организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края"

В целях реализации Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации", Правил обязательного медицинского страхования, утвержденных приказом Минздрава России от 28.02.2019 N 108н, согласно приказу Министерства здравоохранения и социального развития Российской Федерации от 25.01.2011 N 29н "Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования", приказу министерства здравоохранения Российской Федерации от 24.12.2018 N 911н "Об утверждении требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций" и приказу Федерального фонда обязательного медицинского страхования Российской Федерации от 07.04.2011 N 79 "Об утверждении Общих принципов построения и функционирования информационных систем и порядка информационного взаимодействия в сфере обязательного медицинского страхования", приказываю:

ГАРАНТ:

См. Приказ Территориального фонда обязательного медицинского страхования Ставропольского края от 25 апреля 2022 г. N 95 "Об утверждении Регламента организации электронного юридически значимого документооборота между участниками информационного взаимодействия в сфере обязательного медицинского страхования на территории Ставропольского края"

1. Утвердить Регламент организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края (далее - Регламент ИС), согласно приложению к настоящему приказу.

2. Ввести Регламент ИС в действие 1 июня 2022 года.

3. Признать утратившим силу приказ ТФОМС СК от 15.03.2017 N 83 "Об организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края".

4. Контроль за исполнением настоящего приказа возложить на заместителя директора ТФОМС СК Легкову И.Н.

5. Настоящий приказ вступает в силу с даты подписания.

Директор

С.П. Трошин

УТВЕРЖДЕН

приказом

Территориального фонда

обязательного медицинского

страхования Ставропольского края

от 26 мая 2022 г. N 122

Регламент
организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края

I. Общие положения

Статья 1. Основания утверждения Регламента

Регламент организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края (далее - Регламент ИС) разработан во исполнение следующих нормативных актов:

Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

приказа Минздравсоцразвития России от 25.01.2011 N 29н "Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования";

приказа Минздравсоцразвития России от 28.02.2011 N 158н "Об утверждении Правил обязательного медицинского страхования";

приказа Министерства здравоохранения Российской Федерации от 24.12.2018 N 911н "Об утверждении требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций" (далее - Требования);

Методических рекомендаций по обеспечению функциональных возможностей медицинских информационных систем медицинских организаций, утвержденных Минздравом России 01.02.2016;

приказа ФОМС от 07.04.2011 N 79 "Об утверждении Общих принципов построения и функционирования информационных систем и порядка информационного взаимодействия в сфере обязательного медицинского страхования";

Территориальной программы государственных гарантий бесплатного оказания гражданам медицинской помощи на территории Ставропольского края на 2022 год и плановый период 2023 и 2024 годов, утвержденной постановлением Правительства Ставропольского края от 30.12.2021 N 713-п.

Статья 2. Предмет и сфера применения Регламента ИС

1. Регламент ИС определяет правила и порядок организации информационных систем участников информационного взаимодействия в сфере обязательного медицинского страхования Ставропольского края (далее - участники информационного взаимодействия) при обмене информационными сообщениями по защищенным каналам связи.

2. Регламент ИС устанавливает обязательные требования к составу и содержанию организационных и технических мер по обеспечению безопасности информации при ее обработке в информационных системах участников информационного взаимодействия.

3. Сформулированные в рамках Регламента ИС требования, принципы и правила являются обязательными для всех участников информационного взаимодействия.

Статья 3. Цели утверждения Регламента ИС

Регламент ИС разработан в следующих целях:

установление рекомендаций по проектированию, разработке и эксплуатации информационной системы участников информационного взаимодействия при информационном взаимодействии в рамках единого информационного пространства системы обязательного медицинского страхования Ставропольского края;

обеспечение унификации критериев определения пригодности к внедрению и эксплуатации участниками информационного взаимодействия информационных продуктов (сервисов) в рамках единого информационного пространства системы обязательного медицинского страхования Ставропольского края.

II. Термины, понятия и сокращения

Статья 4. Основные термины, понятия и сокращения

Для целей Регламента ИС используются термины, понятия и сокращения, установленные действующим законодательством Российской Федерации и Ставропольского края, а также тарифным соглашением в сфере обязательного медицинского страхования на территории Ставропольского края от 28.12.2021, основные из которых указаны в таблице 1 Регламента ИС.

Таблица 1

Перечень используемых терминов, понятий и сокращений

N стр.	Сокращение	Определение
	ЕНП	единый номер полиса ОМС
	ЕРЗ	единый регистр застрахованных в системе ОМС лиц
		застрахованное лицо или застрахованные лица
	ЗКС
		определение номера полиса (или соответствие номера полиса персональным данным ЗЛ) по персональным данным, по неполным данным, по данным записанным со слов ЗЛ или в иных случаях
	ИС	информационная система
	Комиссия
	МО
	МП
	МТР
	НСИ
	ОМС
	Регламент ИСС
	СМО
	Территориальная программа
	ФЛК
	ЦС
	ЭП	электронная подпись

III. Требования и обязанности должностных лиц

Статья 5. Требования и обязанности должностных лиц участников информационного взаимодействия

1. Для обеспечения защиты информации, содержащейся в информационной системе, участником информационного взаимодействия назначается должностное лицо (работник), ответственное за защиту информации при организации подключения к ЕИП ОМС.

2. Организация доступа пользователей участника информационного взаимодействия к программным комплексам информационного ресурса осуществляется в соответствии с Регламентом ОДП.

3. Ответственный за защиту информации при организации подключения к ЕИП ОМС не должен назначаться из числа пользователей ЕИП ОМС в связи с необходимостью разделения полномочий по эксплуатации и контролю за выполнением требований по безопасности ЕИП ОМС.

4. Допускать к работе пользователей в ЕИП ОМС на основании приказа руководителя медицинской организации после проведения соответствующего инструктажа и подписания обязательства о неразглашении информации конфиденциального характера.

5. Ответственный за защиту информации при организации подключения к ЕИП ОМС обязан:

обеспечить выполнение и осуществлять внутренний контроль за соблюдением пользователями ЕИП ОМС законодательства Российской Федерации в области защиты информации конфиденциального характера, в том числе требований Регламента ИС;

ознакомить под подпись пользователей ЕИП ОМС с положениями законодательства Российской Федерации в области защиты информации конфиденциального характера, а также требованиями Регламента ИС;

обеспечить требуемые условия, необходимые для функционирования АРМ пользователей ЕИП ОМС и сегментов локальных информационных систем, подключенных к ЕИП ОМС;

своевременно информировать должностных лиц ТФОМС СК, ответственных за организацию информационного взаимодействия об изменениях состава пользователей ЕИП ОМС (увольнение и т.д.);

производить своевременное блокирование или удаление учетных записей пользователей ЕИП ОМС в случае их увольнения.

6. Все изменения в состав технических средств и ПО АРМ должны вноситься только по согласованию с ответственным по защите информации при организации подключения к ЕИП ОМС.

IV. Особенности организации МИС МО

Статья 6. Предназначение МИС МО

1. МИС МО предназначена для сбора, хранения, обработки и представления информации, необходимой для автоматизации процессов оказания и учета медицинской помощи и информационной поддержки медицинских работников, включая информацию о пациентах, об оказываемой им медицинской помощи и о медицинской деятельности медицинских организаций.

2. Оператором МИС МО являются медицинские организации.

3. МИС МО обеспечивает:

информационную поддержку процесса оказания медицинской помощи на уровне медицинской организации, включая ведение электронной медицинской карты пациента, медико-технологических процессов в рамках медицинской организации;

информационную поддержку процесса принятия управленческих решений в медицинской организации, включая управление административно-хозяйственной деятельностью медицинской организации, формирование и передачу данных о затратах за оказанную медицинскую помощь и лекарственное обеспечение;

информационную поддержку процессов взаимодействия с пациентами, включая предоставление возможности записи и самозаписи пациента на прием к врачу, информационного наполнения личного кабинета пациента, выдачи пациенту электронных копий медицинских документов;

мониторинг и управление потоками пациентов;

оказание медицинской помощи с применением телемедицинских технологий;

информационное взаимодействие между различными медицинскими организациями в рамках оказания медицинской помощи, включая направление пациентов в другие медицинские организации для проведения лабораторных и диагностических обследований, для получения медицинской помощи;

организация иммунопрофилактики инфекционных болезней;

информационное взаимодействие с централизованными региональными и федеральными информационными ресурсами (ФЭР, ИЭМК, НСИ) в части обмена информацией, связанной с лечебно-диагностическим процессом;

иные функциональные возможности по решению оператора информационной системы, соответствующие назначению МИС МО.

4. Основными целями создания и внедрения МИС МО являются:

повышение качества и доступности медицинской помощи населению;

снижение издержек на ее оказание при сохранении (повышении) уровня результата;

повышение эффективности работы медицинской организации;

вовлечение граждан в заботу о собственном здоровье;

обеспечение обоснованности и оперативности принятия управленческих решений;

поддержка принятия врачебных решений;

создание информационной базы научно-исследовательской работы.

Статья 7. Общие требования, предъявляемые к МИС МО

1. МИС МО предназначена для автоматизации медицинских бизнес-процессов в медицинской организации и информационной поддержки сотрудников медицинской организации, при этом она должна обеспечивать возможность взаимодействия с другими внешними и смежными информационными системами: системами управления ресурсами организации (ERP), системами бухгалтерского учета и финансово-экономического планирования, системами управления проектами, федеральными и региональными медицинскими сервисами.

2. Источниками информации для МИС МО служат:

медицинские записи, создаваемые в процессе оказания всех видов медицинской помощи;

данные, получаемые от медицинской техники;

данные, передаваемые из других информационных систем в медицинской организации или внешних информационных систем.

3. Потребителями информации из МИС МО являются:

медицинский и иной персонал медицинской организации;

пациенты и их законные представители;

сотрудники органов управления здравоохранением и других организаций системы охраны здоровья;

информационные системы: медицинских организаций, региональные МИС МО, а также федеральные сервисы единой государственной информационной системы здравоохранения.

Статья 8. Общие требования, предъявляемые к инфраструктуре МИС МО

Инфраструктура МИС МО должна удовлетворять следующим основным рекомендациям:

соответствие используемых технических решений масштабам задач, целям и стратегиям объектов автоматизации;

унификация и типизация компонентов инфраструктуры для снижения совокупной стоимости владения;

использование выделенных серверов (в том числе виртуальных) для повышения эффективности, надежности, отказоустойчивости и безопасности используемых информационных ресурсов;

соответствие международным и российским ИТ-стандартам, а также лучшей мировой практике построения ИТ-инфраструктуры.

Статья 9. Информационная поддержка принятия управленческих решений в МО

Информационная поддержка принятия управленческих решений в МО обеспечиваемая функционалом МИС МО включает:

автоматизированное формирование форм статистического учета и отчетности в сфере здравоохранения;

формирование счетов (реестра счетов) за оказанную медицинскую помощь и интеграцию с информационными системами территориальных фондов обязательного медицинского страхования и страховых медицинских организаций или автоматическую передачу данных о медицинской помощи, оказанной в рамках обязательного медицинского страхования, из МИС МО в информационные системы территориальных фондов обязательного медицинского страхования и страховых медицинских организаций, а также обеспечение возможности проведения контроля качества медицинской помощи и медико-экономической экспертизы страховыми медицинскими организациями на основе данных электронной медицинской карты пациента;

работу системы поддержки деятельности руководителя медицинской организации, включая получение, формирование и представление форм статистического учета и отчетности в сфере здравоохранения, а также путем формирования аналитической справочной информации;

сбор, хранение и обработку информации об обеспеченности отдельных категорий граждан, в том числе граждан, имеющих право на получение государственной социальной помощи, лекарственными препаратами, специализированными продуктами лечебного питания, медицинскими изделиями (включая сведения о назначении, отпуске и наличии лекарственных препаратов, специализированных продуктов лечебного питания и медицинских изделий в аптечной организации);

автоматизацию учета запасов, списания лекарственных препаратов, специализированных продуктов лечебного питания и медицинских изделий и формирование отчетных форм для анализа информации о потребности в лекарственных препаратах, специализированных продуктах лечебного питания и медицинских изделиях.

Статья 10. Мониторинг и управление потоками пациентов

Мониторинг и управление потоками пациентов (электронная регистратура) включает:

управление и планирование потоков пациентов при оказании первичной медико-санитарной помощи и специализированной медицинской помощи в стационарных условиях (формирование расписания приема специалистов, учет и планирования занятости коечного фонда);

мониторинг доступности записи на прием к врачу в сроки, установленные территориальной программой государственных гарантий бесплатного оказания гражданам медицинской помощи;

учет прикрепленного к медицинской организации и медицинскому работнику населения, направление информации о прикреплении пациентов в информационные системы территориального фонда обязательного медицинского страхования и страховых медицинских организаций;

мониторинг доступности медицинской помощи.

Статья 11. Ведение электронной медицинской карты пациента

Ведение электронной медицинской карты пациента в МИС МО включает:

сбор, систематизацию и обработку сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования при оказании медицинской помощи с ведением медицинской документации, указанных в статье 94 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

назначение диагностических исследований и формирование направления на диагностические исследования с рабочего места врача, реализованное для всех подразделений медицинской организации, получение результатов диагностических исследований в электронной форме, медицинских заключений и (или) ссылок на изображения из системы хранения результатов диагностических исследований (архив медицинских изображений), которая может быть удаленной, самостоятельной и не входящей в состав МИС МО, полностью интегрированной с МИС МО или являться ее частью;

назначение лабораторных исследований и формирование направления на лабораторные исследования, получение результатов лабораторных исследований из системы хранения результатов лабораторных исследований, которая может быть удаленной, самостоятельной и не входящей в состав МИС МО, полностью интегрированной с МИС МО или являться ее частью, при этом в электронную медицинскую карту пациента поступают все лабораторные данные для всех подразделений медицинской организации;

учет временной нетрудоспособности (включая выдачу листка нетрудоспособности на бумажном носителе или в форме электронного документа, логический контроль заполнения данных);

реализацию индивидуальных программ абилитации и реабилитации;

выдачу медицинских заключений, справок, рецептов на лекарственные препараты и медицинские изделия в форме электронных документов;

выдачу отражающих состояние здоровья пациента медицинских документов (их копий) и выписок из них в форме электронных документов.

Статья 12. Оказание медицинской помощи с применением телемедицинских технологий

Оказание медицинской помощи с применением телемедицинских технологий осуществляется в соответствии с Порядком организации и оказания медицинской помощи с применением телемедицинских технологий, утвержденным приказом Министерства здравоохранения Российской Федерации от 30.11.2017 N 965н.

Статья 13. Организация профилактики заболеваний

Организация профилактики заболеваний включает проведение диспансеризации, профилактических медицинских осмотров, иных профилактических мероприятий, учет граждан, прошедших профилактические медицинские осмотры, диспансеризацию, взаимодействие со страховыми медицинскими организациями и обеспечивается посредством формирования списков граждан, которым необходимо пройти диспансеризацию, профилактические медицинские осмотры, а также автоматизированное выявление случаев, требующих реагирования и контроля предпринятых мер, мониторинг необходимости направления пациента на второй этап диспансеризации.

Статья 14. Организация иммунопрофилактики инфекционных болезней

Организация иммунопрофилактики инфекционных болезней включает ведение и учет данных по осуществлению иммунопрофилактики инфекционных болезней, в том числе данных медицинских осмотров и поствакцинальных осложнений в рамках национального календаря профилактических прививок и календаря профилактических прививок по эпидемическим показаниям, статистической и аналитической отчетности для контроля и анализа охвата иммунизацией населения.

Статья 15. Требования, предъявляемые к некоторым подсистемам МИС МО

1. Подсистема "Управление взаиморасчетами за оказанную медицинскую помощь" кроме функциональных возможностей, предусмотренных Требованиями, должна обеспечить возможность осуществления информационного обмена между участниками обязательного медицинского страхования в соответствии с Регламентом ИВ.

2. Подсистема "Регистратура амбулаторно-поликлинической организации" кроме функциональных возможностей, предусмотренных Требованиями, должна обеспечить следующие функциональные возможности:

учет амбулаторно-поликлинической медицинской помощи, оказанной застрахованным лицам;

учет прикрепления, открепления, перерегистрации прикрепленных для получения первичной медико-санитарной помощи застрахованных лиц;

анализ движения прикрепленного контингента;

учет амбулаторно-поликлинической медицинской помощи, оказанной лицам, приравненным к военнослужащим в организации оказания медицинской помощи;

учет прикрепленных к дошкольно-школьным учреждениям застрахованных лиц;

учет направлений застрахованных лиц на получение медицинской помощи в условиях стационара, дневного стационара, интеграцию с ПК "Госпитализация" (ЕИР263);

учет направлений застрахованных лиц для получения медицинских услуг в другие медицинские организации системы ОМС (внешние услуги);

загрузку планов профилактических мероприятий на перспективный период и контроль за их исполнением;

осуществление информационного обмена сведениями о прикреплении и медицинской помощи застрахованных лиц в соответствии с Регламентом ИВ и Регламентом УЗЛ.

3. Подсистема "Приемное отделение" кроме функциональных возможностей, предусмотренных Требованиями, должна обеспечить следующие функциональные возможности:

учет случаев госпитализаций поступивших застрахованных лиц на получение медицинской помощи в условиях стационара, дневного стационара, интеграцию с ПК "Госпитализация" (ЕИР263).

4. Подсистема "Клинико-диагностическая лаборатория" кроме функциональных возможностей, предусмотренных Требованиями, должна обеспечить учет случаев оказания медицинской помощи застрахованным лицам по направлениям иных медицинских организаций для получения застрахованными лицами внешних услуг и осуществление информационного обмена такими сведениями в соответствии с Регламентом ИВ.

V. Общие требования к системе защиты информационной системы

Статья 16. Перечень объектов защиты

В информационной системе участника информационного взаимодействия ЕИП ОМС объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.

Статья 17. Требования к средствам защиты

Для обеспечения защиты информации, содержащейся в информационной системе, участники информационного взаимодействия должны применять средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 года N 184-ФЗ "О техническом регулировании".

Статья 18. Меры обеспечения защиты информации

1. Организационные и технические меры защиты информации, применяемые участником информационного взаимодействия, должны быть направлены на исключение:

неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

неправомерного уничтожения или модифицирования информации (обеспечение целостности информации);

неправомерного блокирования информации (обеспечение доступности информации).

2. Организационные и технические меры защиты информации, реализуемые в информационной системе участника информационного взаимодействия должны обеспечивать:

идентификацию и аутентификацию субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защиту машинных носителей информации;

регистрацию событий безопасности;

антивирусную защиту;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности информации;

целостность информационной системы и информации;

доступность информации;

защиту информационной системы, ее средств, систем связи и передачи данных.

Статья 19. Запретительные меры при работе на АРМ в ЕИП ОМС

При работе АРМ запрещается:

использование беспроводных устройств ввода информации, а также радиоинтерфейсов (Wi-Fi, WiMAX, Bluetooth и др.);

оборудовать АРМ дополнительными сетевыми адаптерами для одновременного подключения к другим сетям;

использование нелицензионного общесистемного ПО;

отключать встроенные механизмы безопасности ОС (UAC, контроль целостности системных файлов и т.д.);

устанавливать более одной операционной системы.

VI. Требования идентификации и аутентификации субъектов доступа и объектов доступа

Статья 20. Идентификация и аутентификация пользователей

1. При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

2. Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации.

Аутентификация пользователя осуществляется с использованием паролей и аппаратных средств.

В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.

3. Участником информационного взаимодействия должен быть определен перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия.

4. Участником информационного взаимодействия должны быть установлены и реализованы:

правила присвоения, блокирования и управления идентификаторами пользователей;

требования к парольной защите, при этом длина пароля должна быть не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток;

блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут;

смена паролей не более чем через 90 дней;

должна осуществляться блокировка АРМ при отсутствии активности пользователя более 5 минут.

5. Пользователь ЕИП ОМС должен осуществлять доступ к системе только под учетной записью с ограниченными правами. Запрещается работа с системой в привилегированном режиме (под учетной записью с правами администратора). Гостевая учетная запись должна быть заблокирована.

При наличии домена, все локальные учетные записи должны быть заблокированы.

6. Правила разграничения доступа пользователей ЕИП ОМС реализуются на основе списка пользователей и матрицы доступа и должны обеспечивать управление доступом пользователей и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, а также иным объектам доступа.

VII. Требования к разграничению доступа

Статья 21. Обеспечение контроля доступа к техническим средствам

1. Участником информационного взаимодействия должна обеспечиваться контролируемая зона, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования.

2. Участником информационного взаимодействия должны обеспечиваться контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены.

3. Контроль и управление физическим доступом должны предусматривать:

определение лиц, допущенных к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены;

санкционирование физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены;

учет физического доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены.

4. Участником информационного взаимодействия должно осуществляться размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

5. Помещение, в котором находятся технические средства, должно быть оборудовано охранно-пожарной сигнализацией и в период отсутствия пользователей ЕИП ОМС должно сдаваться на охрану.

VIII. Требования к ограничению программной среды

Статья 22. Требования к используемому ПО

1. Используемое в МИС МО ПО должно соответствовать требованиям предусмотренным постановлением Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".

2. Участником информационного взаимодействия должна быть обеспечена установка (инсталляция) только разрешенного к использованию в информационной системе программного обеспечения и (или) его компонентов, в соответствии с перечнем (списком) компонентов программного обеспечения (файлов, объектов баз данных, хранимых процедур и иных компонентов), разрешенных к использованию на АРМ пользователей ЕИП ОМС.

3. Не разрешается использование следующего ПО:

развлекательного характера (игры, гороскопы, программы - розыгрыши и т.д.) и другое ПО, не связанное непосредственно с исполнением служебных обязанностей;

средства разработки и отладки программ (кроме средств разработки, встроенных в прикладное ПО, выборочное удаление которых не предусмотрено разработчиком прикладного ПО).

4. При обновлении ПО должны соблюдаться следующие требования:

должно использоваться автоматическое обновление критически важных программ и компонентов;

должны использоваться актуальные стабильные версии системного и прикладного программного обеспечения;

должно проводиться обновление средств защиты АРМ с учетом ограничений, накладываемых процедурой сертификации СЗИ.

5. Участник информационного взаимодействия должен осуществлять контроль за установкой компонентов программного обеспечения.

IX. Требования к защите машинных носителей информации

Статья 23. Организация учета машинных носителей

1. Участником информационного взаимодействия должен быть обеспечен учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации.

2. Учету подлежат:

съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);

портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);

машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).

Статья 24. Контроль за использованием машинных носителей

1. Участником информационного взаимодействия должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться:

определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны;

предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций);

учет перемещаемых машинных носителей информации;

периодическая проверка наличия машинных носителей информации.

2. Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать, что участник информационного взаимодействия должен обеспечить контроль использования (разрешение или запрет) интерфейсов ввода (вывода).

X. Требования к регистрации событий безопасности

Статья 25. События безопасности

1. К событиям безопасности, подлежащим регистрации в информационной системе, относятся любые проявления состояния информационной системы и ее системы защиты информации, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов информационной системы, нарушения процедур, установленных организационно-распорядительными документами по защите информации оператора, а также на нарушение штатного функционирования средств защиты информации.

2. События безопасности, подлежащие регистрации в информационной системе, и сроки хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в информационной системе. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в информационной системе.

Статья 26. Регистрация событий безопасности

1. В информационной системе участника информационного взаимодействия подлежат регистрации следующие события:

вход (выход), а также попытки входа субъектов доступа в информационную систему и загрузки (остановка) операционной системы;

подключение машинных носителей информации и вывод информации на носители информации;

запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;

попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа;

попытки удаленного доступа.

2. Состав и содержание информации о событиях безопасности должны обеспечивать возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и/или процесс), связанный с данным событием безопасности.

Статья 27. Аудит событий безопасности

1. Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться для всех событий, подлежащих регистрации с периодичностью, установленной оператором, и обеспечивающей своевременное выявление признаков инцидентов безопасности в информационной системе.

2. В случае выявления признаков инцидентов безопасности в информационной системе осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности.

XI. Требования к антивирусной защите

Статья 28. Реализация антивирусной защиты

Реализация антивирусной защиты должна предусматривать:

применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);

установку, конфигурирование и управление средствами антивирусной защиты;

предоставление доступа средствам антивирусной защиты к объектам информационной системы, которые должны быть подвергнуты проверке средством антивирусной защиты;

проведение периодических проверок компонентов информационной системы (автоматизированных рабочих мест, серверов, других средств вычислительной техники) на наличие вредоносных компьютерных программ (вирусов);

проверку в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;

оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);

определение и выполнение действий по реагированию на обнаружение в информационной системе объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами).

XII. Требования к обнаружению вторжений

Статья 29. Реализация системы обнаружения вторжений

1. Участником информационного взаимодействия должно обеспечиваться обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений.

2. Применяемые системы обнаружения вторжений должны включать компоненты регистрации событий безопасности, компоненты анализа событий безопасности и распознавания компьютерных атак и базу решающих правил, содержащую информацию о характерных признаках компьютерных атак.

3. Обнаружение (предотвращение) вторжений должно осуществляться на внешней границе и/или на внутренних узлах информационной системы. Системы обнаружения вторжений должны обеспечивать реагирование на обнаруженные и распознанные компьютерные атаки с учетом особенностей функционирования информационных систем.

4. Участником информационного взаимодействия должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой в информационной системе.

XIII. Требование к анализу защищенности

Статья 30. Анализ уязвимостей

1. Участником информационного взаимодействия должны осуществляться выявление (поиск), анализ и устранение уязвимостей в информационной системе.

2. При выявлении, анализе и устранении уязвимостей в информационной системе должны проводиться:

выявление уязвимостей, связанных с ошибками кода в программном обеспечении, а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;

разработка по результатам выявления уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;

анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;

устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств.

Статья 31. Контроль за обновлением ПО

1. Участником информационного взаимодействия должен осуществляться контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.

2. Участником информационного взаимодействия должно осуществляться получение из доверенных источников и установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода.

Статья 32. Контроль работоспособности ПО и СЗИ

1. Участником информационного взаимодействия должен проводиться контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.

2. При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется:

контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;

проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации, объем и содержание которой определяется оператором;

контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации;

восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и/или дистрибутивов;

в информационной системе должны обеспечиваться регистрация событий и оповещение (сигнализация, индикация) администратора безопасности о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации.

Статья 33. Контроль состава технических средств

1. Участником информационного взаимодействия должен проводиться контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе.

2. При контроле состава технических средств, программного обеспечения и средств защиты информации осуществляется:

контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации информационной системы и принятие мер, направленных на устранение выявленных недостатков;

контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;

контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;

исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.

Статья 34. Периодичность проведения мероприятий по анализу защищенности

Мероприятия по анализу защищенности проводятся не реже одного раза в три месяца. Периодичность проведения мероприятий определяется участником информационного взаимодействия.

XIV. Требования к обеспечению целостности информационной системы

Статья 35. Контроль целостности ПО

1. В информационной системе должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации.

2. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, должен предусматривать:

контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и/или по контрольным суммам компонентов средств защиты информации в процессе загрузки и/или динамически в процессе работы информационной системы;

контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого оператором исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов программного обеспечения и/или по контрольным суммам в процессе загрузки и/или динамически в процессе работы информационной системы;

контроль применения средств разработки и отладки программ в составе программного обеспечения информационной системы;

тестирование функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки несанкционированного доступа, и/или специальных программных средств;

обеспечение физической защиты технических средств информационной системы.

3. В информационной системе контроль целостности средств защиты информации должен осуществляться по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы.

4. Участником информационного взаимодействия исключается возможность использования средств разработки и отладки программ во время обработки и/или хранения информации в целях обеспечения целостности программной среды.

Статья 36. Восстановление целостности

1. Участником информационного взаимодействия должна быть предусмотрена возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций.

2. Возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций должна предусматривать:

восстановление программного обеспечения, включая программное обеспечение средств защиты информации, из резервных копий (дистрибутивов) программного обеспечения;

восстановление и проверка работоспособности системы защиты информации, обеспечивающие необходимый уровень защищенности информации;

возврат информационной системы в начальное состояние (до возникновения нештатной ситуации), обеспечивающее ее штатное функционирование, или восстановление отдельных функциональных возможностей информационной системы, определенных оператором, позволяющих решать задачи по обработке информации.

Статья 37. Контроль вводимых данных

1. Контроль точности, полноты и правильности данных, вводимых в информационную систему, обеспечивается путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и/или иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию.

2. Вводимые данные должны проверяться на наличие конструкций, которые могут быть интерпретированы программно-техническими средствами информационной системы как исполняемые команды.

Статья 38. Контроль действий пользователей

1. В информационной системе должен осуществляться контроль ошибочных действий пользователей по вводу и/или передаче информации и предупреждение пользователей об ошибочных действиях.

2. Контроль ошибочных действий пользователей по вводу и/или передаче информации и предупреждение пользователей об ошибочных действиях должен предусматривать:

определение оператором типов ошибочных действий пользователей, которые потенциально могут привести к нарушению безопасности информации в информационной системе;

генерирование сообщений для пользователей об их ошибочных действиях и о возможности нарушения безопасности информации в информационной системе для корректировки действий пользователей;

регистрация информации об ошибочных действиях пользователей, которые могут привести к нарушению безопасности информации в информационной системе, в журналах регистрации событий;

предоставление доступа к сообщениям об ошибочных действиях пользователей только администраторам.

XV. Требование к доступности информации

Статья 39. Обеспечение отказоустойчивости технических средств

1. Участником информационного взаимодействия должно обеспечиваться использование отказоустойчивых технических средств.

2. Участником информационного взаимодействия должно обеспечиваться резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы.

Статья 40. Обеспечение отказоустойчивости ПО

1. При резервировании программного обеспечения осуществляется создание резервных копий общесистемного, специального и прикладного программного обеспечения, а также программного обеспечения средств защиты информации, необходимых для обеспечения требуемых условий непрерывности функционирования информационной системы и доступности информации.

2. Участником информационного взаимодействия должно обеспечиваться периодическое резервное копирование информации на резервные машинные носители информации.

3. Участником информационного взаимодействия должно осуществляться хранение (размещение) резервных копий информации на отдельных (размещенных вне информационной системы) средствах хранения резервных копий и в помещениях, специально предназначенных для хранения резервных копий информации, которые исключают воздействие внешних факторов на хранимую информацию.

XVI. Требования к работе со средствами криптографической защиты информации

Статья 41. Пользователи СКЗИ

1. К работе с СКЗИ, в том числе к работе с ЭП допускаются только пользователи, прошедшие подготовку в соответствии с правилами эксплуатации СКЗИ.

2. Организация подготовки возлагается на участника информационного взаимодействия.

Статья 42. Учет, хранение и эксплуатация СКЗИ

1. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров в соответствии с требованиями Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом Федеральной службы безопасности Российской Федерации от 09.02.2005 N 66. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.

2. Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за защиту информации.

3. Экземпляры СКЗИ, эксплуатационной и технической документации к ним выдаются под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.

4. Применение СЗИ и СКЗИ производится пользователем ЕИП ОМС в соответствии с инструкцией по настройке и эксплуатации средств защиты.

Приложение 1

к Регламенту

организации информационных систем

участников информационного взаимодействия

в сфере обязательного медицинского

страхования Ставропольского края

Соглашение
об информационном взаимодействии в условиях доверенной среды передачи конфиденциальной информации Территориального фонда обязательного медицинского страхования Ставропольского края

___ ___________ 20___ г.

г. Ставрополь

Территориальный фонд обязательного медицинского страхования Ставропольского края в лице директора Трошина Сергея Петровича, действующего на основании распоряжения Правительства Ставропольского края от 31.12.2013 N 428-рп, именуемый далее - Территориальный фонд, с одной стороны, и ___________________________________________, именуемое в дальнейшем Абонент, в лице _____________________________, действующего на основании ______________________, с другой стороны, совместно именуемые Стороны, заключили настоящее Соглашение о нижеследующем.

I. Предмет соглашения

1. Территориальный фонд и Абонент осуществляют в информационной системе обязательного медицинского страхования защищенный обмен документами в электронном виде по информационно-телекоммуникационным каналам связи сети "Интернет" с использованием средства криптографической защиты информации ViPNet Custom (далее - СКЗИ). Объектом доступа является ViPNet сеть N 636.

2. Подключение Абонента к ViPNet сети N 636 Территориального фонда осуществляется через автоматизированное рабочее место Абонента (далее - АРМ), представляющие собой комплекс технических и программных средств.

3. Подключение АРМ Абонента осуществляется на основании заявления о подключении АРМ сторонней организации к доверенной среде передачи конфиденциальной информации (далее - Заявление) (приложение 1).

4. Настоящее Соглашение является безвозмездным.

5. В рамках настоящего Соглашения не осуществляется юридически значимый электронный документооборот.

II. Порядок регистрации абонентов и смены ключей пользователя

6. Территориальный фонд осуществляет регистрацию Абонента в ViPNet сети N 636 при условии соблюдения им требований по защите информации в соответствии с действующим законодательством Российской Федерации.

7. Территориальный фонд формирует дистрибутив ключей пользователя (далее - Ключи) Абоненту после регистрации Абонента в ViPNet сети N 636.

8. Носитель с Ключами передается уполномоченному представителю Абонента под подпись в журнале - "Журнал учета выдачи DST файлов".

9. Срок действия Ключей Абонента один год. Территориальный фонд осуществляет обновление Ключей самостоятельно, с уведомлением Абонента за месяц до истечения срока их действия.

10. Территориальный фонд формирует новые Ключи Абонента при условии:

изменения наименования и (или) местонахождения Абонента;

смене руководителя Абонента;

выходе из строя (замене) АРМ Абонента;

компрометации (или предполагаемом факте компрометации) Ключей.

11. Абонент уведомляет Территориальный фонд о необходимости смены Ключей при условии:

изменения наименования и (или) местонахождения Абонента;

смене руководителя Абонента;

выходе из строя (замене) АРМ Абонента;

компрометации (или предполагаемом факте компрометации) Ключей.

III. Порядок осуществления обмена электронными документами, содержащими информацию конфиденциального характера

12. Стороны признают, что передаваемые в рамках настоящего Соглашения сведения конфиденциального характера, в том числе персональные данные, в соответствии с законодательством Российской Федерации подлежат защите.

13. Стороны обязаны обеспечить конфиденциальность персональных данных, безопасность при их обработке и хранении не дольше срока, чем этого требуют цели обработки, и защиту персональных данных от несанкционированного доступа третьих лиц.

14. При информационном взаимодействии в условиях доверенной среды передачи конфиденциальной информации Стороны руководствуются действующим законодательством Российской Федерации в области защиты информации.

15. Стороны признают, что использование при информационном взаимодействии СКЗИ, достаточно для обеспечения конфиденциальности информационного взаимодействия Сторон.

16. Все электронные документы, содержащие информацию конфиденциального характера (далее - ЭД) должны храниться в течение сроков, предусмотренных законодательством Российской Федерации, нормативными документами, а в случае возникновения споров - до их разрешения.

17. Архивы ЭД подлежат защите от несанкционированного доступа и непреднамеренного уничтожения и (или) искажения.

18. Свидетельством того, что ЭД принят, является получение одной из Сторон электронной квитанции о принятии ЭД в обработку. Электронный документ не считается принятым Стороной при отсутствии электронной квитанции.

IV. Обязанности сторон

19. Территориальный фонд обязуется:

принимать к рассмотрению заявки Абонента;

обеспечить регистрацию и подключение Абонента к ViPNet сети N 636 при выполнении требований по защите информации в соответствии с действующим законодательством Российской Федерации.

20. Абонент обязуется:

провести установку и настройку программно-аппаратных средств, необходимых для подключения АРМ к ViPNet сети N 636, в соответствии с требованиями технической и эксплуатационной документацией на используемые средства защиты информации;

использовать на технических средствах АРМ, только заявленное лицензионное программное обеспечение;

обеспечить разграничение и контроль доступа работников Абонента к АРМ;

при компрометации Ключей немедленно прекратить работу АРМ и сообщить о факте компрометации (или предполагаемом факте компрометации) в отдел информационной безопасности Территориального фонда по номеру телефона 8 (8652) 94-11-42, а также направить в адрес Территориального фонда указанную информацию в письменной форме.

21. Стороны обязуются:

назначить ответственных лиц для выполнения работ по настоящему Соглашению;

предоставлять техническую и другую информацию, необходимую для осуществления работ в рамках реализации настоящего Соглашения;

не допускать действий, наносящих ущерб другой Стороне;

не передавать свои права по настоящему Соглашению третьей стороне;

не разглашать и предпринимать все необходимые меры с целью избежания разглашения любой им известной конфиденциальной информации в связи с исполнением настоящего Соглашения;

своевременно информировать другую Сторону об изменении обстоятельств, связанных с реализацией настоящего Соглашения, изменении информации и сведений, сообщенных другой Стороне в рамках реализации настоящего Соглашения;

обеспечить функционирование используемого для обмена ЭД оборудования;

немедленно приостанавливать обмен ЭД с другой Стороной при получении от нее сообщения о компрометации Ключей;

при изменении требований к передаваемым ЭД известить другую Сторону об этих изменениях не позднее 30 рабочих дней;

организовать архивы ЭД;

соблюдать правила работы и требования эксплуатационной документации на средства защиты информации;

содержать в исправном состоянии АРМ, участвующие в электронном взаимодействии, принимать организационные меры для предотвращения несанкционированного доступа к данным АРМ, установленному на них программному обеспечению и средствам защиты информации, а также в помещения, в которых они установлены;

использовать ViPNet сеть N 636 для передачи информации, в соответствии с условиями настоящего Соглашения;

руководствоваться при обмене ЭД требованиями установленными действующим законодательством Российской Федерации и другими нормативными актами по защите персональных данных при их обработке в информационных системах персональных данных;

Сторона, для которой создалась невозможность исполнения обязательств по настоящему Соглашению, должна письменно извещать другую Сторону о наступлении и прекращении обстоятельств, препятствующих исполнению обязательств. Обмен ЭД на время действия этих обстоятельств приостанавливается;

при возникновении споров, связанных с принятием или непринятием и (или) с исполнением или неисполнением ЭД, Стороны обязаны соблюдать порядок разрешения споров, предусмотренный настоящим Соглашением.

V. Ответственность сторон

22. Стороны несут ответственность за неисполнение или ненадлежащее исполнение своих обязательств по Соглашению в соответствии с законодательством Российской Федерации и настоящим Соглашением.

23. Территориальный фонд не несет ответственность за:

аварии, сбои или перебои в обслуживании, связанные с нарушениями в работе оборудования, систем подачи электроэнергии и (или) линий связи или сетей, которые обеспечиваются, подаются, эксплуатируются и (или) обслуживаются третьими лицами;

ущерб, понесенный Абонентом в результате нарушения им настоящего Соглашения.

24. Территориальный фонд и Абонент не несут ответственность за неисполнение или ненадлежащее исполнение обязательств, принятых на себя в соответствии с настоящим Соглашением, если надлежащее исполнение оказалось невозможным вследствие наступления обстоятельств непреодолимой силы.

25. Территориальный фонд или Абонент, в случае невозможности исполнения своих обязательств по причине наступления обстоятельств непреодолимой силы, должны предпринять все возможные действия для извещения другой Стороны о наступлении таких обстоятельств.

26. Исполнение обязательств возобновляется немедленно после прекращения действия обстоятельств непреодолимой силы.

VI. Порядок разрешения споров

27. Все споры и разногласия, которые могут возникнуть из Соглашения, будут разрешаться Сторонами путем переговоров.

28. Сторона, интересы которой нарушены в результате неисполнения или ненадлежащего исполнения условий настоящего Соглашения, направляет претензию для ее рассмотрения и разрешения другой Стороной в течение 30 рабочих дней, с даты ее получения.

29. При недостижении согласия, спор рассматривается в арбитражном суде в соответствии с действующим законодательством Российской Федерации.

VII. Срок действия соглашения

30. Соглашение вступает в силу с даты его подписания и действует в течение одного года.

31. В случае если ни одна из Сторон не известила другую о прекращении действия Соглашения за один месяц до истечения срока его действия, Соглашение считается пролонгированным на следующий год.

32. Все изменения и дополнения к настоящему Соглашению действительны только в том случаи, если они имеют ссылку на Соглашение, оформлены в письменном виде и подписаны уполномоченными на то представителями Сторон.

33. В случае нарушения одной из Сторон обязательств, предусмотренных настоящим Соглашением, другая Сторона вправе в одностороннем порядке расторгнуть настоящее Соглашение, уведомив об этом за один месяц письменно другую Сторону.

34. Настоящее Соглашение составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному для каждой из Сторон.

Приложение: 1. Заявление о подключении автоматизированного рабочего места сторонней организации к доверенной среде передачи конфиденциальной информации на 2 л. в 1 экз.

VIII. Юридические адреса, контактная информация и подписи сторон

Территориальный фонд обязательного медицинского страхования Ставропольского края: 355004, г. Ставрополь, ул. Мира, д. 267 тел. (8652) 94-11-25, тел./факс. (8652) 94-11-24, e-mail: info@tfomssk.ru

Абонент: Почтовый индекс, город, улица, дом Контактный телефон/факс, e-mail адрес

Директор Территориального фонда обязательного медицинского страхования Ставропольского края		Должность руководителя организации Название организации
___________________ С.П. Трошин		__________________
		(подпись, инициалы, фамилия)
____ _____________ 20 ____ года М.П.		____ ____________ 20 ____ года М.П.

Приложение 1

к Соглашению

об информационном взаимодействии

в условиях доверенной среды

передачи конфиденциальной информации

Территориального фонда обязательного

медицинского страхования

Ставропольского края

РАЗРЕШАЮ Директор Территориального фонда обязательного медицинского страхования Ставропольского края ____________________ С.П. Трошин ______________________ 20__ года М.П.

Заявление
о подключении АРМ сторонней организации к доверенной среде передачи конфиденциальной информации

Прошу рассмотреть вопрос о подключении АРМ (____________________________________________________________)

                             (наименование организации)

к ViPNet сети N 636 ТФОМС СК.

1. Сведения о заявителе:

Полное наименование в соответствии с ЕГРЮЛ:

Сокращенное наименование в соответствии с ЕГРЮЛ:

Юридический адрес:

Почтовый адрес:

ОГРН:

ИНН:

КПП:

Коды ОКПО:

Контактная информация (телефон, E-mail):

2. Обоснование необходимости подключения: обмен документами в электронном виде по телекоммуникационным каналам связи информационно-телекоммуникационной сети "Интернет" с использованием средств криптографической защиты информации.

3. На АРМ установлено:

1.	Операционная система
2.	Средства криптографической защиты информации
3.	Средство защиты информации от несанкционированного доступа
4.	Аппаратно-программный модуль доверенной загрузки
5.	Средство антивирусной защиты информации
6.	Сертифицированный ключевой носитель информации

4. Характеристика канала связи: телекоммуникационный канал доступа к информационно-телекоммуникационной сети "Интернет" со скоростью (например, 1 Mbit/sec).

5. Тип подключения к информационно-телекоммуникационной сети "Интернет": (например, xDSL, FTTb, GPON).

Приложение: ксерокопии документов, подтверждающих наличие необходимых средств вычислительной техники, программного обеспечения, средств защиты информации (контракт на поставку, акт приема-передачи права, товарная накладная) на ____ л. в ____ экз.

Должность руководителя организации

Название организации

_________________________________

        (подпись, инициалы, фамилия)

____ _______________ 20 ____ года

М.П.

Приложение 2

к Регламенту

организации информационных систем

участников информационного

взаимодействия в сфере

обязательного медицинского

страхования Ставропольского края

Соглашение
об организации межсетевого взаимодействия ViPNet-сетей Территориального фонда обязательного медицинского страхования Ставропольского края и сторонней организации

___ ____________ 20 ___ г.

г. Ставрополь

Территориальный фонд обязательного медицинского страхования Ставропольского края в лице директора Трошина Сергея Петровича, действующего на основании распоряжения Правительства Ставропольского края от 31.12.2013 N 428-рп, именуемый далее - Территориальный фонд, с одной стороны, и _____________________________________ в лице _________________________________, действующего на основании _________________________________, с другой стороны, совместно именуемые Стороны, заключили настоящее Соглашение о нижеследующем.

I. Предмет соглашения

1. Настоящее Соглашение определяет условия и порядок организации межсетевого взаимодействия между развернутыми у каждой из Сторон защищенными виртуальными частными сетями, построенным с использованием программного комплекса ViPNet CUSTOM (далее - ПК ViPNet).

2. Настоящее Соглашение разработано для обеспечения реализации защищенного и юридически значимого обмена информацией в электронной форме между Сторонами в рамках заключаемых соглашений и регламентов, определяющих порядок информационного взаимодействия, в соответствии с Федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", от 06.04.2011 N 63-ФЗ "Об электронной подписи" в целях организации единого информационного пространства в сфере здравоохранения.

3. Настоящее Соглашение является безвозмездным.

4. Термины и понятия, используемые в настоящем Соглашении, применяются в значениях, установленных действующим законодательством Российской Федерации, эксплуатационной документацией на ПК ViPNet.

II. Определение условий межсетевого взаимодействия

5. Межсетевое взаимодействие между ViPNet-сетью ТФОМС СК (ViPNet-сеть N 636) и ViPNet-сетью ________________________ (ViPNet-сеть N ____) (далее - межсетевое взаимодействие) осуществляется через координаторы ViPNet-сетей Сторон.

6. Межсетевое взаимодействие организуется с помощью индивидуального симметричного межсетевого мастер-ключа (далее - ИСММК). ИСММК формирует администратор одной из ViPNet-сетей Сторон для ViPNet-сети другой Стороны.

7. Межсетевое взаимодействие организуется в соответствии со схемой межсетевого взаимодействия подписанной уполномоченными представителями Сторон (приложение 1 - не приводится).

8. Стороны выбирают устройства (координаторы ViPNet-сетей), которые будут выполнять функции серверов-шлюзов при межсетевом взаимодействии, а также выделяют узлы своих ViPNet-сетей - абонентские пункты (автоматизированные рабочие места с установленным программным обеспечением ViPNetClient, далее - АП), которые будут участвовать в межсетевом взаимодействии. Выделенные узлы сетей будут связаны в Центрах управления сетью (далее - ЦУС) взаимодействующих ViPNet-сетей.

9. В случае если Стороны включают в состав узлов, участвующих в межсетевом взаимодействии, автоматизированные рабочие места, на которых не установлено программное обеспечение ViPNet, при обмене информацией между Сторонами применяется технология туннелирования.

III. Организация межсетевого взаимодействия

10. Администратор одной из ViPNet-сетей Сторон готовит официальное информационное письмо, в котором информирует другую Сторону о необходимости организации межсетевого взаимодействия.

11. В ЦУС и Удостоверяющем и ключевом центре (далее - УКЦ) ViPNet-сети N 636 (N ____) в соответствии с руководством администратора "ViPNet [Центр управления сетью]" и руководством администратора "ViPNet [Удостоверяющий и ключевой центр]" производится формирование необходимой адресной и ключевой информации - формирование начального экспорта (ИСММК, справочная информация), включая корневые сертификаты ViPNet-сети N 636 (N ____) для ViPNet-сети N ____ (N 636) (далее - начальный экспорт). Начальный экспорт доверенным способом передается в ЦУС ViPNet-сети N ____ (N 636).

12. В ЦУС и УКЦ ViPNet-сети N ____ (N 636) в соответствии с руководством администратора "ViPNet [Центр управления сетью]" и руководством администратора "ViPNet [Удостоверяющий и ключевой центр]" производится ввод и обработка (импорт) полученных из ЦУС ViPNet-сети N 636 (N ____) данных (начального экспорта), установление связей своих узлов с узлами ЦУС ViPNet-сети, предоставившего информацию. Далее в ЦУС и УКЦ ViPNet-сети N ____ (N 636) создается ответная информация (ответный экспорт) для ЦУС ViPNet-сети N 636 (N ____), приславшего первичную информацию, включая корневые сертификаты ViPNet-сети N ____ (N 636).

13. Ответная информация (ответный экспорт) доверенным способом передается в ЦУС ViPNet-сети N 636 (N ____), где она обрабатывается и вводится в действие. На этом этапе завершается процесс организации взаимодействия между ЦУС ViPNet-сети N 636 и ЦУС ViPNet-сети N ____, и дальнейший обмен данными между указанными ЦУС производится в автоматическом режиме посредством программного модуля ViPNet MFTP, входящего в состав ПК ViPNet.

14. После рассылки каждым ЦУС ViPNet-сетей Сторон сформированных обновлений ключевой и справочной информации на свои узлы, участвующие в межсетевом взаимодействии, обеспечивается техническая возможность осуществления защищенного обмена между данными узлами информацией в электронной форме, и процедура установления межсетевого взаимодействия считается завершенной.

15. После завершения процедуры установления межсетевого взаимодействия уполномоченными представителями Сторон подписывается протокол установления межсетевого взаимодействия (далее - Протокол) (приложение 2).

16. Модификация межсетевого взаимодействия осуществляется в соответствии с руководством администратора "ViPNet [Центр управления сетью]" и руководством администратора "ViPNet [Удостоверяющий и ключевой центр]" в следующих случаях:

изменение состава узлов, участвующих в межсетевом взаимодействии;

плановая смена межсетевого мастер-ключа;

внеплановая смена межсетевого мастер-ключа;

компрометация ключевой информации.

IV. Порядок действий при изменении состава узлов

17. О необходимости изменения состава узлов, участвующих в межсетевом взаимодействии (добавлении или удалении сетевого узла), Стороны уведомляют друг друга в письменной форме с обоснованием необходимости таких изменений.

18. При изменении состава узлов ViPNet-сети администратор данной ViPNet-сети в своем ЦУС производит соответствующие изменения в структуре связей своей сети, формирует экспортные данные и передает их в соответствующий ЦУС другой Стороны в автоматическом режиме в соответствии с руководством администратора "ViPNet [Центр управления сетью]".

19. В ЦУС ViPNet-сети, которого касается данная модификация, в соответствии с руководством администратора "ViPNet [Центр управления сетью]" производится обработка (импорт) полученных данных. Далее в ЦУС создается ответная информация (ответный экспорт) для ЦУС, приславшего первичную информацию.

20. Ответная информация передается в ЦУС ViPNet-сети, от которого поступила первичная информация, в автоматическом режиме по защищенному каналу связи, где она обрабатывается и вводится в действие. На этом завершается процесс модификации межсетевого взаимодействия.

21. После рассылки каждым ЦУС Сторон сформированных обновлений ключевой и справочной информации на свои узлы, которых касается модификация, данные узлы продолжают или прекращают производить защищенный обмен информацией в электронной форме.

V. Порядок действий при плановой смене межсетевого мастер-ключа

22. Перед тем как осуществлять плановую смену межсетевого мастер-ключа, администраторы ViPNet-сетей Сторон, для связи ViPNet-сетей которых будет использоваться новый межсетевой мастер-ключ, должны согласовать следующие вопросы:

выбрать тип межсетевого мастер-ключа, который будет использоваться для связи между сетями; если предполагается использовать симметричный мастер-ключ, то выбрать администратора, который будет создавать новый межсетевой мастер-ключ;

выбрать и согласовать время проведения смены межсетевого мастер-ключа и последующего обновления ключей шифрования для узлов своих сетей.

23. Формирование нового межсетевого мастер-ключа производится в соответствии с руководством администратора "ViPNet [Удостоверяющий и ключевой центр]".

24. После смены межсетевого мастер-ключа производится процедура создания экспортных данных и приема импортных данных в соответствии с руководством администратора "ViPNet [Центр управления сетью]" и руководством администратора "ViPNet [Удостоверяющий и ключевой центр]".

25. После смены межсетевого мастер-ключа связь между сетевыми узлами взаимодействующих ViPNet-сетей Сторон возможна только после прохождения обновлений ключевой информации на всех соответствующих сетевых узлах данных сетей.

VI. Порядок действий при компрометации ключей

26. Компрометация ключей пользователей.

Под компрометацией ключей подразумевается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации (целостность, конфиденциальность, подтверждение авторства, невозможность отказа от авторства).

Основные события, квалифицируемые как компрометация ключей, перечислены в руководстве администратора "ViPNet [Удостоверяющий и ключевой центр]".

При наступлении любого из событий, квалифицируемых как компрометация ключей и перечисленных в руководстве администратора. "ViPNet [Удостоверяющий и ключевой центр]", пользователь (участник межсетевого взаимодействия) должен немедленно прекратить работу на своем АП и сообщить о факте компрометации (или предполагаемом факте компрометации) администратору своей ViPNet-сети.

По факту компрометации ключей должно быть проведено служебное расследование.

Администратор ViPNet-сети в случае компрометации ключей пользователя своей сети в ЦУС и УКЦ своей сети проводит процедуру внеплановой компрометации ключей данного пользователя в соответствии с руководством администратора "ViPNet [Центр управления сетью]" и руководством администратора "ViPNet [Удостоверяющий и ключевой центр]", которая предполагает выполнение следующих технологических и организационных мероприятий:

администратор сети оповещает о факте компрометации ключей всех пользователей, связанных со скомпрометированным пользователем; после получения данного сообщения пользователи не должны использовать скомпрометированные ключи;

администратор сети объявляет ключи данного пользователя скомпрометированными, создает и отправляет экспорт адресно-ключевой информации в сети, с пользователями которых был связан скомпрометированный пользователь;

администратор сети создает и отправляет (либо передает доверенным способом) новую ключевую информацию как для скомпрометированного пользователя, так и для всех пользователей своей сети, с которыми он был связан;

после приема и обработки импорта переданных данных администратор сети, пользователи которой взаимодействовали с пользователем, ключи которого скомпрометированы, создает новую ключевую информацию своим пользователям;

после прохождения обновления новой ключевой информации на всех взаимодействующих узлах ViPNet-сетей Сторон пользователи данных узлов могут продолжать производить защищенный обмен информацией в электронной форме.

27. Внеплановая смена межсетевого мастер-ключа.

Внеплановая смена ключей выполняется в случае компрометации или угрозы компрометации межсетевого мастер-ключа, на котором происходит организация межсетевого взаимодействия.

В случае компрометации межсетевого мастер-ключа считается скомпрометированной вся ключевая информация, которая используется при межсетевом взаимодействии, и межсетевое взаимодействие должно быть немедленно остановлено.

Для восстановления межсетевого взаимодействия необходимо провести технологические и организационные мероприятия, описанные в разделе "Порядок действий при плановой смене межсетевого мастер-ключа".

VII. Обязанности сторон

28. Стороны обязуются:

обеспечить у пользователей на своей стороне поддержание в работоспособном состоянии аппаратных и программных средств, необходимых для организации и обеспечения межсетевого взаимодействия, в том числе средств криптографической защиты информации (далее - СКЗИ);

обеспечить выполнение требований, установленных действующим законодательством Российской Федерации о защите информации, о персональных данных, в том числе требования к информационным системам персональных данных и обеспечению безопасности эксплуатации СКЗИ;

предоставлять техническую и другую информацию, необходимую для осуществления взаимодействия в рамках реализации настоящего Соглашения;

своевременно информировать другую Сторону об изменении обстоятельств, связанных с реализацией настоящего Соглашения, изменении информации, сообщенной другой Стороне в рамках реализации настоящего Соглашения;

без предварительного согласования не производить в настройках и структуре своих ViPNet-сетей изменений, которые могут привести к нарушению межсетевого взаимодействия;

выполнять правила работы и требования эксплуатационной документации на используемые для обеспечения межсетевого взаимодействия программные и технические средства, в том числе СКЗИ;

немедленно приостанавливать обмен информацией в электронной форме с другой Стороной при получении от нее сообщения о компрометации ключевой информации;

не разглашать и предпринимать все необходимые меры с целью предотвращения разглашения любой информации конфиденциального характера, передаваемой между ними либо ставшей им известной в связи с исполнением настоящего Соглашения;

в случае невозможности исполнения обязательств по настоящему Соглашению, Стороны немедленно извещают друг друга в письменной форме о факте приостановления выполнения обязательств;

все возникающие споры, связанные с обеспечением межсетевого взаимодействия, решаются путем переговоров Сторон.

VIII. Ответственность сторон

29. Стороны несут ответственность за неисполнение или ненадлежащее исполнение своих обязательств по настоящему Соглашению в соответствии с законодательством Российской Федерации.

30. Стороны не несут ответственность за неисполнение или ненадлежащее исполнение обязательств, принятых на себя в соответствии с настоящим Соглашением, если надлежащее исполнение оказалось невозможным вследствие наступления обстоятельств непреодолимой силы.

31. Сторона, для которой создалась невозможность исполнения своих обязательств по настоящему Соглашению по причине наступления обстоятельств непреодолимой силы, должна предпринять все возможные действия для извещения другой Стороны о наступлении, ожидаемом сроке действия и прекращении таких обстоятельств.

32. Исполнение обязательств возобновляется немедленно после прекращения действия обстоятельств непреодолимой силы.

IX. Срок действия соглашения

33. Настоящее Соглашение вступает в силу с даты его подписания и действует в течение одного года.

34. В случае если ни одна из Сторон не известила другую о прекращении действия Соглашения за один месяц до истечения срока его действия, Соглашение считается пролонгированным на следующий год.

35. Все изменения и дополнения к настоящему Соглашению действительны только в том случае, если они имеют ссылку на Соглашение, оформлены в письменном виде и подписаны уполномоченными на то представителями Сторон.

36. В случае нарушения одной из Сторон обязательств, предусмотренных данным Соглашением, другая Сторона вправе в одностороннем порядке расторгнуть настоящее Соглашение, письменно уведомив об этом за один месяц другую Сторону.

37. Настоящее Соглашение составлено в двух экземплярах, имеющих одинаковую юридическую силу, по одному для каждой из Сторон.

X. Юридические адреса, контактная информация и подписи сторон

Территориальный фонд обязательного медицинского страхования Ставропольского края: 355004, г. Ставрополь, ул. Мира, д. 267 тел. (8652) 94-11-25, тел./факс. (8652) 94-11-24, e-mail: info@tfomssk.ru

Организация: Почтовый индекс, город, улица, дом Контактный телефон/факс, e-mail адрес

Директор Территориального фонда обязательного медицинского страхования Ставропольского края		Должность руководителя организации Название организации
___________________ С.П. Трошин
		(подпись, инициалы, фамилия)
____ _____________ 20 ____ года М.П.		____ ____________ 20 ____ года М.П.

ГАРАНТ:

Приложение 1 не приводится

Приложение 2

к Соглашению

об организации межсетевого взаимодействия

ViPNet-сетей Территориального фонда

обязательного медицинского

страхования Ставропольского края

и сторонней организации

Протокол
установления межсетевого взаимодействия между ViPNet сетью N 636 ТФОМС СК и ViPNet сетью

N __ ___ ____________ 20 ___ г.

г. Ставрополь N _____

1. Межсетевое взаимодействие устанавливается между сетями:

Номер сети	Полное наименование организаций
N 636	Территориальный фонд обязательного медицинского страхования Ставропольского края
N ____	(название организации)

2. Целью установления межсетевого взаимодействия является защищенное информационное взаимодействие ViPNet-сетей указанных организаций.

3. Процедуру установления межсетевого взаимодействия осуществляли:

Номер сети	Должность	Ф.И.О.
N 636
N ____

4. Передача начального и ответного экспорта между сетями N 636 и N ____ осуществлялась через специалиста, уполномоченного Сторонами на данные действия.

5. Для установления межсетевого взаимодействия использовался индивидуальный симметричный межсетевой мастер-ключ, созданный в сети ТФОМС СК N 636.

6. При установлении межсетевого взаимодействия были произведены импорты справочно-ключевой информации абонентов сети ТФОМС СК N 636 и сети (название организации) N ____.

Руководитель подразделения				Руководитель подразделения
(Ф.И.О.)		(подпись)		(Ф.И.О.)		(подпись)
Ответственный специалист				Ответственный специалист
(Ф.И.О.)		(подпись)		(Ф.И.О.)		(подпись)
М.П.				М.П.