Приложение. Регламент подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики. Приказ Министерства здравоохранения Чеченской Республики от 21.09.2023 N 295 "Об утверждении регламента подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики"

Приложение
к приказу Минздрава ЧР
от 21.09.2023 г. N 295

Регламент
подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики

1. Общие положения

1.1. Настоящий Регламент определяет порядок подключения к государственной информационной системе в сфере здравоохранения Чеченской Республики медицинских информационных систем медицинских организаций частной системы здравоохранения на территории Чеченской Республики (далее соответственно - Регламент, ГИСЗ ЧР, МО ЧСЗ ЧР).

1.2. Состав участников информационного взаимодействия ГИСЗ ЧР включает в себя МО ЧСЗ ЧР, оператора ГИСЗ ЧР и Министерство здравоохранения Чеченской Республики.

1.3. Министерство здравоохранения Чеченской Республики, в соответствии с постановлением Правительства Чеченской Республики от 15 июня 2023 года N 162 "О государственной информационной системе в сфере здравоохранения Чеченской Республики", является координатором и государственным заказчиком создания, развития и эксплуатации ГИСЗ ЧР, а также уполномоченным органом, осуществляющим от имени Чеченской Республики правомочия и обязанности обладателя информации, содержащейся в ГИСЗ ЧР (далее - Министерство, Уполномоченный орган).

1.4. Государственное бюджетное учреждение "Медицинский информационно-аналитический центр" приказом Министерства от 27 июня 2023 года N 219 "Об определении оператора государственной информационной системы в сфере здравоохранения Чеченской Республики" определено оператором ГИСЗ ЧР.

Нормативно-правовая база

Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";

постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

приказ Федерального агентства правительственной связи и информации (ФАПСИ) от 13 июня 2001 года N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";

приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 года N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";

приказ Министерства здравоохранения Российской Федерации от 24 декабря 2018 года N 911н "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций";

методические рекомендации по организации информационного взаимодействия медицинских информационных систем медицинских организаций частной системы здравоохранения с единой государственной информационной системой в сфере здравоохранения, утвержденные Министерством здравоохранения Российской Федерации 14 августа 2020 года;

методический документ "Меры защиты информации в государственных информационных системах", утвержденный Федеральной службой по техническому и экспортному контролю 11 февраля 2014 года.

2. Требования по защите информации

2.1. Обмен информацией между участниками информационного взаимодействия осуществляется в электронном виде с использованием защищенной сети передачи данных.

2.2. Хранение и обработка информации, содержащейся в ГИСЗ ЧР и медицинских информационных системах МО ЧСЗ ЧР, а также обмен информацией должны осуществляться после принятия необходимых организационных и технических мер по защите указанной информации от утечки по техническим каналам, компрометации, повреждения или утраты, предусмотренных действующим законодательством Российской Федерации в сфере защиты информации.

2.3. МО ЧСЗ ЧР должны обеспечить:

конфиденциальность информации, в том числе путем ограничения доступа к ней;

целостность информации, гарантируя невозможность внесения искаженной информации;

доступность информации, гарантируя доступ к информации для участников взаимодействия в соответствии с установленными правами доступа и полномочиями.

2.4. Мероприятия по организации взаимодействия с МО ЧСЗ ЧР должны учитывать требования организационно-технической, организационно-распорядительной и эксплуатационной документации на созданную систему защиты информации ГИСЗ ЧР.

2.5. МО ЧСЗ ЧР должны самостоятельно обеспечить защиту информации в границах своей зоны ответственности в соответствии с требованиями законодательства Российской Федерации в сфере защиты информации, установленными для:

2 уровня защищенности персональных данных (УЗ-2);

2 класса защищенности информационных систем (К2);

3 категории значимости объектов критической информационной инфраструктуры.

2.6. Для обеспечения безопасности информации должны применяться программные и технические средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям безопасности информации.

2.7. Для проведения работ по установке и настройке средств защиты информации подключаемого объекта информатизации МО ЧСЗ ЧР, в соответствии с законодательством Российской Федерации, необходимо привлекать организации, имеющие лицензии Федеральной службы безопасности Российской Федерации и (или) Федеральной службы по техническому и экспортному контролю по соответствующим видам деятельности. Допускается проведение работ по установке и настройке средств защиты информации специалистами МО ЧСЗ ЧР, прошедшими обучение по программам повышения квалификации в области защиты информации.

2.8. Размещение программно-технических средств защиты информации должно соответствовать требованиям постановления Правительства Российской Федерации от 9 февраля 2022 года N 140 "О единой государственной информационной системе в сфере здравоохранения", с принятием организационных и технических мер, исключающих несанкционированный доступ к обработке информации неуполномоченными на то лицами.

2.9. Работы по установке, монтажу и настройке средств защиты информации, включая средства криптографической защиты информации, должны выполняться в соответствии с требованиями настоящего Регламента и эксплуатационной документации на средства защиты информации.

3. Порядок подключения медицинских информационных систем МО ЧСЗ ЧР к ГИСЗ ЧР

3.1. МО ЧСЗ ЧР для подключения медицинских информационных систем к ГИСЗ ЧР необходимо:

обеспечить регистрацию в Федеральном реестре медицинских организаций;

внести сведения о зданиях и структурных подразделениях в Федеральный реестр медицинских организаций;

внести сведения о всех медицинских работниках в Федеральный регистр медицинских работников;

направить заявку в Уполномоченный орган на подключение МО ЧСЗ ЧР к ГИСЗ ЧР по форме согласно приложению N 1 к настоящему Регламенту;

заключить соглашение об информационном взаимодействии (на основании согласованной Уполномоченным органом заявки);

организовать взаимодействие по защищенной сети передачи данных.

3.2. Уполномоченный орган рассматривает заявку на подключение МО ЧСЗ ЧР к ГИСЗ ЧР, определяет возможность подключения с учетом изложенной цели и требований действующего законодательства Российской Федерации в срок не позднее 15 рабочих дней с даты получения такой заявки.

3.3. На основании заявки, согласованной Уполномоченным органом, в целях заключения соглашения об информационном взаимодействии Оператор ГИСЗ ЧР предоставляет шаблон типового соглашения. Соглашение заключается между тремя сторонами: Уполномоченным органом, Оператором ГИСЗ ЧР и МО ЧСЗ ЧР.

3.4. Организация взаимодействия по защищенной сети передачи данных возможна одним из следующих способов:

3.4.1. Межсетевое взаимодействие сети ViPNet сторонней организации, к которой подключена МО ЧСЗ ЧР, с ViPNet сетью Оператора ГИСЗ ЧР.

Для организации такого взаимодействия необходимо заключить соглашение об установлении межсетевого взаимодействия между оператором сторонней сети ViPNet, к которой подключена МО ЧСЗ ЧР, и Оператором ГИСЗ ЧР. Далее, на основании соглашения, организовать взаимодействие сетей ViPNet.

3.4.2. Межсетевое взаимодействие сети ViPNet МО ЧСЗ ЧР с ViPNet сетью Оператора ГИСЗ ЧР.

Для организации такого взаимодействия необходимо заключить соглашение об установлении межсетевого взаимодействия между МО ЧСЗ ЧР и Оператором ГИСЗ ЧР, на основании которого организовать взаимодействие сетей ViPNet.

3.4.3. Подключение к ViPNet сети Оператора ГИСЗ ЧР.

Для подключения к защищенной сети ViPNet Оператора ГИСЗ ЧР необходимо в адрес Оператора ГИСЗ ЧР направить соответствующую заявку на подключение (форма заявки предоставляется Оператором ГИСЗ ЧР). После ее рассмотрения, МО ЧСЗ ЧР необходимо приобрести лицензию на право использования программного обеспечения ViPNet и соответствующее программное обеспечение, после чего получить дистрибутив ключей ViPNet сети N 2865.

3.5. МО ЧСЗ ЧР информирует Оператора ГИСЗ ЧР о готовности подключения к ГИСЗ ЧР путем направления заявки по форме согласно приложению N 2 к настоящему Регламенту одним из следующих способов:

в бумажном виде с сопроводительным письмом Оператору ГИСЗ ЧР с подписью руководителя и печатью МО ЧСЗ ЧР;

на электронную почту Оператора ГИСЗ ЧР в виде электронного документа, подписанного открепленной электронной подписью.

4. Порядок рассмотрения заявки МО ЧСЗ ЧР Оператором ГИСЗ ЧР

4.1. Оператор ГИСЗ ЧР:

4.1.1. Проверяет поступившие документы на предмет соответствия требованиям настоящего Регламента в срок не позднее 5-ти рабочих дней с даты получения заявки от МО ЧСЗ ЧР.

4.1.2. Обеспечивает доступ медицинской информационной системы МО ЧСЗ ЧР к ГИСЗ ЧР согласно заявке.

4.2. При подключении к ГИСЗ ЧР путем предоставления учетных данных руководитель МО ЧСЗ ЧР обязан уведомить Оператора ГИСЗ ЧР об изменениях сведений о пользователях подсистемы (фамилия, имя, отчество, структурное подразделение, должность, контактный номер телефона, адрес электронной почты) в срок не позднее 1 рабочего дня с момента изменений по форме согласно приложению N 3 к настоящему Регламенту.

4.3. Запрещается передавать другому лицу учетные данные для работы в подсистеме ГИСЗ ЧР.

4.4. Прекращение доступа участников информационного взаимодействия к ГИСЗ ЧР производится в следующих случаях:

ликвидации МО ЧСЗ ЧР;

решение руководителя МО ЧСЗ ЧР;

увольнение сотрудника - участника информационного взаимодействия.

В таких случаях МО ЧСЗ ЧР направляет заявку на прекращение доступа медицинской информационной системы к ГИСЗ ЧР по форме согласно приложению N 4 к настоящему Регламенту.

4.5. Доступ к ГИСЗ ЧР для МО ЧСЗ ЧР может быть прекращен по решению Оператора ГИСЗ ЧР в случаях:

обнаружения нарушений требований информационной безопасности, установленных настоящим Регламентом;

выявления неправомерного использования информационных ресурсов ГИСЗ ЧР;

обнаружения нарушений правил использования учетных данных, установленных настоящим Регламентом;

компрометации или подозрении на компрометацию (утрата, передача или иной факт распространения сведений) учетных данных.

5. Контроль за безопасностью учетных записей

5.1. Ответственность за соблюдение требований законодательства Российской Федерации по реализации защищенного взаимодействия и обеспечения защиты информации, эксплуатации средств защиты информации и средств криптографической защиты информации медицинской информационной системы МО ЧСЗ ЧР возлагается на МО ЧСЗ ЧР.

5.2. В целях предотвращения угрозы безопасности учетные записи пользователей блокируются Оператором ГИСЗ ЧР в случае увольнения сотрудников МО ЧСЗ ЧР, при компрометации (или подозрения на компрометацию) учетной записи сотрудников и в иных случаях при получении уведомления МО ЧСЗ ЧР по форме согласно приложению N 4 к настоящему Регламенту.

Оператор ГИСЗ ЧР уведомляет МО ЧСЗ ЧР о блокировании учетной записи с указанием обнаруженных нарушений безопасности информации.

5.3. По запросу руководителя МО ЧСЗ ЧР возможно разблокирование учетной записи пользователя после устранения всех выявленных нарушений безопасности информации.

ГАРАНТ:

Текст приложения N 4 не приводится