Приложение. Регламент подключения новых сегментов Централизованная информационная система "Региональная медицинская информационная система". Приказ Министерства здравоохранения Республики Саха (Якутия) от 12.04.2023 N 01-07/710 "О подключении автоматизированных рабочих мест к Государственной информационной системе здравоохранения РС (Я) "Региональная медицинская система"

Приложение
к приказу Министерства
здравоохранения
Республики Саха (Якутия)
от 12 апреля 2023 г. N 01-07/710

Регламент
подключения новых сегментов Централизованная информационная система "Региональная медицинская информационная система"

Перечень сокращений

Сокращение	Определение
АРМ	Автоматизированное рабочее место
АС	Автоматизированная система
ГИС	Государственная информационная система
ИБ	Информационная безопасность
ИОД	Информация ограниченного доступа
ИС	Информационная система
КЗ	Контролируемая зона
СЗИ	Система защиты информации
РФ	Российская Федерация
СКЗИ	Средства криптографической защиты информации
ОС	Операционная система
ООО ЦЗИ "Север"	Общество с ограниченной ответственностью Центр защиты информации "Север"
ГБУ РС (Я) "ЯРМИАЦ"	Государственное бюджетное учреждение Республики Саха (Якутия) "Якутский республиканский медицинский информационно-аналитический центр"
РМИС	Централизованная информационная система "Региональная медицинская информационная система"
ЛВС	Локальная вычислительная сеть
МНИ	Машинный носитель информации
НСД	Несанкционированный доступ
ТЗ	Техническое задание на создание системы защиты информации объекта информатизации
ФАПСИ	Федеральное агентство правительственной связи и информации при Президенте Российской Федерации 1
ФСБ России	Федеральная служба безопасности
ФСТЭК России	Федеральная служба по техническому и экспортному контролю

Аннотация

Настоящие технические условия определяют требования, а также устанавливают порядок подключения рабочих мест пользователей к аттестованной по требованиям безопасности информации информационной системе Государственного бюджетного учреждения Республики Саха (Якутия) "Якутский республиканский медицинский информационно-аналитический центр":

- Централизованная информационная система "Региональная медицинская информационная система".

Оператором Централизованная информационная система "Региональная медицинская информационная система" является Государственное бюджетное учреждение Республики Саха (Якутия) "Якутский республиканский медицинский информационно-аналитический центр". Государственное бюджетное учреждение Республики Саха (Якутия) "Якутский республиканский медицинский информационно-аналитический центр" обязано обеспечивать выполнение требований по информационной безопасности и защите персональных данных, предъявляемых такими нормативно-правовыми актами как:

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

- Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";

- "Требования к защите персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства Российской Федерации от 01.11.2012 N 1119;

- "Требования защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", утвержденного приказом ФСТЭК России от 11.02.2013 N 17;

- Приказ ФСБ России N 378 от 10.07.2014 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Технические условия разработаны в соответствии с Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и определяет обязательные технические и организационные требования по обеспечению информационной безопасности при подключении рабочих мест к информационной системе.

1. Общие сведения

1.1. Наименование информационной системы

Полное наименование ИС: Централизованная информационная система "Региональная медицинская информационная система".

Краткое наименование ИС: РМИС.

Полное наименование системы защиты ОИ: система защиты информации Централизованной информационной системы "Региональная медицинская информационная система".

Краткое наименование системы защиты ОИ: СЗИ РМИС, СЗИ ИС.

1.2. Общие сведения об информационной системе

В РМИС обрабатывается конфиденциальная информация с использованием средств автоматизации.

РМИС имеют клиент-серверную архитектуру.

На серверах РМИС производится обработка и хранение поступающей информации. Правила и ограничения автоматизируемых операций РМИС реализованы на серверах. Клиентские рабочие места направляют запросы к серверу, полученные от сервера результаты запросов передаются клиенту и отображаются на клиентском рабочем месте в элементах отображения информации в веб-браузере.

Пользователь РМИС через клиентские рабочие места соединяются с сервером, проходит идентификацию и аутентификацию в рамках предоставленных прав доступа, обрабатывает информацию по закрепленным за специалистом функциональным задачам.

РМИС предназначена для оказания медицинской помощи населению.

1.3. Цели, назначение и область использования

СЗИ ИС пользовательского сегмента предназначена для автоматизации деятельности в области управления безопасностью персональных данных и обеспечения конфиденциальности, целостности и доступности информации ограниченного доступа обрабатываемых в РМИС от актуальных для пользовательского сегмента угроз безопасности информации, не составляющих государственную тайну в соответствии с требованиями документов:

- "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" утвержденного приказом ФСТЭК России от 18.02.2013 N 17 для ГИС класса защищенности - K2;

- "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденного приказом ФСТЭК России от 18.02.2013 N 21 и "Требования к защите персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства Российской Федерации от 01.11.2012 N 1119 для защиты персональных данных при их обработке в информационных системах персональных УЗ2 уровня защищенности.

Цели настоящего документа:

- определение порядка подключения рабочих мест пользователей к аттестованному по требованиям безопасности информации РМИС;

- выполнение требований Российского законодательства (в том числе руководящих документов ФСТЭК России и ФСБ России) в области защиты информации.

1.4. Характеристики сегмента

Пользовательский сегмент РМИС имеет характеристики, представленные в Таблице N 1.1.

Таблица N 1.1

N п/п	Характеристика	Значение
1.	Класс защищенности пользовательского сегмента ГИС	K2
2.	Уровень защищенности ПДн в пользовательском сегменте ГИС	УЗ2
3.	Необходимый класс криптографической защиты	КС1 или выше
4.	Использование удаленного доступа к информационным ресурсам через внешние информационно-телекоммуникационные сети	Удаленный доступ к информационным ресурсам через внешние информационно-телекоммуникационные сети не осуществляется
5.	Использование технологий беспроводного доступа	Технологии беспроводного доступа не используется
6.	Использование в информационной системе мобильных технических средств	Мобильные технические средства в информационной системе применяются
7.	Наличие взаимодействия с информационными системами сторонних организаций	Взаимодействует с иными информационными системами
8.	Использование машинных носителей	Машинные носители используются
9.	Наличие подключений к сетям международного информационного обмена	Имеет подключение к сетям международного информационного обмена
10.	Использование средств виртуализации	Средства виртуализации не используются в пользовательском сегменте.

2. Условия подключения клиентов

Для организации защищенного взаимодействия, должны быть выполнены следующие требования:

- создать условия для размещения рабочего места с использованием СКЗИ, в соответствии с разделом IV Инструкции "Об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденную приказом ФАПСИ при Президенте РФ N 152 от 13.06.2001 года;

- подготовить рабочее место, оборудованный персональный компьютер с наличием подключения к сети Интернет;

- для подключения новых пользователей, в зависимости от места установки, необходимо приобрести, установить и настроить сертифицированные средства защиты информации;

- на рабочих местах ИС, подключаемых к РМИС, должна быть установлена операционная система Microsoft, которая поддерживаемая разработчиком и выпускаются обновления безопасности;

- назначить приказом ответственных лиц из числа сотрудников организаций-пользователей, имеющих доступ в РМИС;

- произвести приемочные испытания в соответствии с Программой и методикой приемочных испытаний для РМИС;

- обеспечить доступ к содержанию информации ограниченного доступа, хранящегося в ИС, был возможен исключительно для должностных лиц (работников) организаций-пользователей РМИС, которым сведения, содержащиеся в информационной системе, необходимы для выполнения служебных (трудовых) обязанностей.

После выполнения вышеуказанных требований администратор безопасности ГБУ РС (Я) "ЯРМИАЦ" принимает решение об уровне предоставления доступа и подключает к РМИС.

3. Обеспечение безопасности взаимодействия

3.1. Основные требования

Реализация требований, указанных в п. 2. настоящего документа, достигается путем применения следующих технических и организационных мер по защите информации:

- для организации защищенного электронного взаимодействия с защищенной сетью, необходимо установить и настроить программное обеспечение ViPNet Client 4.x (КС1 или выше) или программно-аппаратный модуль ViPNet Coordinator HW4;

- установить и настроить средство защиты информации от несанкционированного доступа Secret Net Studio или Dallas Lock 8.0-К;

- установить и настроить антивирусное средство Kaspersky Endpoint Security для Windows или Dr. Web Enterprise Security Suite

- выполнение обязательных организационных мероприятий, необходимых при эксплуатации средств криптографической защиты в соответствии с требованиями нормативных документов ФСБ России.

В Приложении N 1 приведены организационные и технические меры по защите информации, которые должны быть реализованы в пользовательском сегменте.

3.2. Схема реализации системы защиты информации

Рабочие места пользователей РМИС располагаются в различных КЗ организаций пользователей РМИС.

Серверный сегмент РМИС располагается на виртуальных серверах ГБУ РС (Я) "ЯРМИАЦ".

Обобщенная схема взаимодействия сегментов РМИС представлена на Рисунке N 1.

Рисунок N 1. Схема взаимодействия сегментов

4. Приемочные испытания подключаемых сегментов к информационной системе

Приемочные испытания СЗИ ИС проводятся с учётом ГОСТ Р 59792-2021 "Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем" и включают проверку выполнения требований к СЗИ ИС в соответствии с ТЗ.

В соответствии с п. 17.3 "Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" утвержденного приказом ФСТЭК России N 17 от 18.02.2013 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":

- допускается аттестация ИС на основе результатов аттестационных испытаний выделенного набора сегментов ИС, реализующих полную технологию обработки информации. В этом случае распространение аттестата соответствия на другие сегменты ИС осуществляется при условии их соответствия сегментам ИС, прошедшим аттестационные испытания;

- сегмент считается соответствующим сегменту ИС, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по ИС и ее системе защиты информации;

- соответствие сегмента, на который распространяется аттестат соответствия, сегменту ИС, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний ИС или сегментов ИС.

- в сегментах ИС, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации ИС и организационно-распорядительных документов по защите информации.

Программа и методика приемочных испытаний для пользовательских сегментов РМИС представлена в Приложении N 2 к данному Регламенту. Приемочные испытания проводятся комиссией (приемочной комиссией).

По результатам приемочных испытаний составляется Протокол приемочных испытаний и Акт по результатам приемочных испытаний.

Пример Протокола приемочных испытаний представлен в Приложении N 3 к данному Регламенту.

Пример Акта по результатам приемочных испытаний представлен в Приложении N 4 к данному Регламенту.

При выполнении всех вышеуказанных требований, приемочные испытания подключаемого пользовательского сегмента РМИС считается успешными.

------------------------------

¹ Распущен (преобразован) в 2003 г.

² Модели средств контроля защищенности информации предоставлены для примера

³ Таблица заполнять в соответствии с актуальными угрозами безопасности информации, выявленными в модели угроз безопасности информации ИС.

⁴ Меры защиты в Таблице N 6.2 должны быть выбраны в соответствии с Программой и методикой приемочных испытаний на сегмент, который производится приемочные испытания