Приложение. Регламент подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики. Приказ Министерства здравоохранения Чеченской Республики от 21.09.2023 N 295 "Об утверждении регламента подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики"

Приложение
к приказу Минздрава ЧР
от 21.09.2023 г. N 295

Регламент
подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики

1. Общие положения

1.1. Настоящий Регламент определяет порядок подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики (далее соответственно - Регламент, ГИСЗ ЧР, МО ЧСЗ ЧР).

1.2. Состав участников информационного взаимодействия ГИСЗ ЧР включает в себя МО ЧСЗ ЧР, оператора ГИСЗ ЧР и Министерство здравоохранения Чеченской Республики.

1.3. Министерство здравоохранения Чеченской Республики, в соответствии с постановлением Правительства Чеченской Республики от 15 июня 2023 года N 162 "О государственной информационной системе в сфере здравоохранения Чеченской Республики", является координатором и государственным заказчиком создания, развития и эксплуатации ГИСЗ ЧР, а также уполномоченным органом, осуществляющим от имени Чеченской Республики правомочия и обязанности обладателя информации, содержащейся в ГИСЗ ЧР (далее - Министерство, Уполномоченный орган).

1.4. Государственное бюджетное учреждение "Медицинский информационно-аналитический центр" приказом Министерства от 27 июня 2023 года N 219 "Об определении оператора государственной информационной системы в сфере здравоохранения Чеченской Республики" определено оператором ГИСЗ ЧР.

Нормативно-правовая база

Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";

постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

приказ Федерального агентства правительственной связи и информации (ФАПСИ) от 13 июня 2001 года N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 года N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";

приказ Министерства здравоохранения Российской Федерации от 24 декабря 2018 года N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций";

методические рекомендации по организации информационного взаимодействия медицинских информационных систем медицинских организаций частной системы здравоохранения с единой государственной информационной системой в сфере здравоохранения, утвержденные Министерством здравоохранения Российской Федерации 14 августа 2020 года;

методический документ "Меры защиты информации в государственных информационных системах", утвержденный Федеральной службой по техническому и экспортному контролю 11 февраля 2014 года.

2. Требования по защите информации

2.1. Обмен информацией между участниками информационного взаимодействия осуществляется в электронном виде с использованием защищенной сети передачи данных.

2.2. Хранение и обработка информации, содержащейся в ГИСЗ ЧР и медицинских информационных системах МО ЧСЗ ЧР, а также обмен информацией должны осуществляться после принятия необходимых организационных и технических мер по защите указанной информации от утечки по техническим каналам, компрометации, повреждения или утраты, предусмотренных действующим законодательством Российской Федерации в сфере защиты информации.

2.3. МО ЧСЗ ЧР должны обеспечить:

конфиденциальность информации, в том числе путем ограничения доступа к ней;

целостность информации, гарантируя невозможность внесения искаженной информации;

доступность информации, гарантируя доступ к информации для участников взаимодействия в соответствии с установленными правами доступа и полномочиями.

2.4. Мероприятия по организации взаимодействия с МО ЧСЗ ЧР должны учитывать требования организационно-технической, организационно-распорядительной и эксплуатационной документации на созданную систему защиты информации ГИСЗ ЧР.

2.5. МО ЧСЗ ЧР должны самостоятельно обеспечить защиту информации в границах своей зоны ответственности в соответствии с требованиями законодательства Российской Федерации в сфере защиты информации, установленными для:

2 уровня защищенности персональных данных (УЗ-2);

2 класса защищенности информационных систем (К2);

3 категории значимости объектов критической информационной инфраструктуры.

2.6. Для обеспечения безопасности информации должны применяться программные и технические средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям безопасности информации.

2.7. Для проведения работ по установке и настройке средств защиты информации подключаемого объекта информатизации МО ЧСЗ ЧР, в соответствии с законодательством Российской Федерации, необходимо привлекать организации, имеющие лицензии Федеральной службы безопасности Российской Федерации и (или) Федеральной службы по техническому и экспортному контролю по соответствующим видам деятельности. Допускается проведение работ по установке и настройке средств защиты информации специалистами МО ЧСЗ ЧР, прошедшими обучение по программам повышения квалификации в области защиты информации.

2.8. Размещение программно-технических средств защиты информации должно соответствовать требованиям постановления Правительства Российской Федерации от 9 февраля 2022 года N 140 "О единой государственной информационной системе в сфере здравоохранения", с принятием организационных и технических мер, исключающих несанкционированный доступ к обработке информации неуполномоченными на то лицами.

2.9. Работы по установке, монтажу и настройке средств защиты информации, включая средства криптографической защиты информации, должны выполняться в соответствии с требованиями настоящего Регламента и эксплуатационной документации на средства защиты информации.

3. Порядок подключения медицинских информационных систем МО ЧСЗ ЧР к ГИСЗ ЧР

3.1. МО ЧСЗ ЧР для подключения медицинских информационных систем к ГИСЗ ЧР необходимо:

обеспечить регистрацию в Федеральном реестре медицинских организаций;

внести сведения о зданиях и структурных подразделениях в Федеральный реестр медицинских организаций;

внести сведения о всех медицинских работниках в Федеральный регистр медицинских работников;

направить заявку в Уполномоченный орган на подключение МО ЧСЗ ЧР к ГИСЗ ЧР по форме согласно приложению N 1 к настоящему Регламенту;

заключить соглашение об информационном взаимодействии (на основании согласованной Уполномоченным органом заявки);

организовать взаимодействие по защищенной сети передачи данных.

3.2. Уполномоченный орган рассматривает заявку на подключение МО ЧСЗ ЧР к ГИСЗ ЧР, определяет возможность подключения с учетом изложенной цели и требований действующего законодательства Российской Федерации в срок не позднее 15 рабочих дней с даты получения такой заявки.

3.3. На основании заявки, согласованной Уполномоченным органом, в целях заключения соглашения об информационном взаимодействии Оператор ГИСЗ ЧР предоставляет шаблон типового соглашения. Соглашение заключается между тремя сторонами: Уполномоченным органом, Оператором ГИСЗ ЧР и МО ЧСЗ ЧР.

3.4. Организация взаимодействия по защищенной сети передачи данных возможна одним из следующих способов:

3.4.1. Межсетевое взаимодействие сети ViPNet сторонней организации, к которой подключена МО ЧСЗ ЧР, с ViPNet сетью Оператора ГИСЗ ЧР.

Для организации такого взаимодействия необходимо заключить соглашение об установлении межсетевого взаимодействия между операто