Приказ Министерства здравоохранения Московской области от 30.05.2018 N 794 "Об утверждении регламента распространения действия аттестата соответствия требованиям защиты информации государственной информационной системы "Единая медицинская информационно-аналитическая система Московской области" на иные информационные системы"

В целях организации подключения к государственной информационной системе "Единая медицинская информационно-аналитическая система Московской области" (далее - ЕМИАС) иных информационных систем - новых сегментов ЕМИАС, соответствующих сегментам, в отношении которых были проведены аттестационные испытания приказываю:

1. Утвердить регламент распространения действия Аттестата соответствия требованиям защиты информации государственной информационной системе "Единая медицинская информационно-аналитическая система Московской области" на иные информационные системы (далее - Регламент).

2. Комиссии по информационной безопасности Министерства здравоохранения Московской области, сформированной распоряжением Министерства здравоохранения Московской области от 30.10.2017 N 282-Р, при рассмотрении вопросов о подключении иных информационных систем к ЕМИАС руководствоваться Регламентом.

3. Контроль за выполнением настоящего приказа Изложить на заместителя министра здравоохранения Московской области М.Е. Семенова.

Министр здравоохранения Московской области

Д.С. Марков

Утверждено

приказом Министерства здравоохранения

Московской области

от 30.05.2018 N 794

Регламент
распространения действия аттестата соответствия требованиям защиты информации государственной информационной системы "Единая медицинская информационно-аналитическая система Московской области" на иные информационные системы

1. Общие положения

1.1. Настоящий регламент распространения действия аттестата соответствия требованиям защиты информации государственной информационной системы "Единая медицинская информационно-аналитическая система Московской области" на иные информационные системы (далее - Регламент) разработан Министерством здравоохранения Московской области (далее - Министерство) целях организации подключения к государственной информационной системе "Единая медицинская информационно-аналитическая система Московской области" (далее - ЕМИАС) иных информационных систем - новых сегментов ЕМИАС, соответствующих сегментам, в отношении которых были проведены аттестационные испытания.

1.2. Аттестация ЕМИАС выполнена ООО АКБ "Барьер", о чем 24.03.2017 выдан Аттестат соответствия N А-67 ЕМИАС требованиям защиты информации (далее - Аттестат).

1.3. Действие Аттестата распространяется на все сегменты ЕМИАС при обеспечении соблюдения оператором эксплуатационной документации на систему защиты информации ЕМИАС и организационно-распорядительных документов по защите информации.

1.4. В ЕМИАС допускается включение новых сегментов ЕМИАС (далее - Новый сегмент) в порядке, указанном в настоящем Регламенте.

1.5. Требования к Новым сегментам, включаемым в ЕМИАС, приведены в документе "Требования к сегменту информационной системы Единая медицинская информационно-аналитическая система Московской области", при условии соблюдения которых на сегмент может распространяться действие Аттестата соответствия" (далее - Требования к Новому сегменту). Документ предоставляется Министерством по официальному запросу.

1.6. Мероприятия по включению Нового сегмента в ЕМИАС проводятся в случае принятия такого решения Министерством в отношении объектов автоматизации Министерства, либо оператором иной информационной системы (далее - Оператор), с учётом Требований к новому сегменту.

1.7. В связи с различными схемами организации обработки информации на различных объектах Министерства мероприятия по включению Нового сегмента в ЕМИАС могут проводиться в отношении не отдельных Новых сегментов, а их совокупностей:

- вариант 1-КЗ ("ЛВС класса КЗ с малым количеством АРМ") - соответствует одному или совокупности типовых сегментов 2.6.3;

- вариант 1-К2 ("ЛВС класса К2 с малым количеством АРМ") - соответствует одному или совокупности типовых сегментов 2.6.2;

- вариант 2-КЗ ("ЛВС класса КЗ с большим количеством АРМ и пониженными требованиями к каналу связи") - соответствует совокупности типовых сегментов 1.4.3, 1.5.3, 2.6.3;

- вариант 2-К2 ("ЛВС класса К2 с большим количеством АРМ и пониженными требованиями к каналу связи") - соответствует совокупности типовых сегментов 1.4.2, 1.5.2, 2.6.2;

- вариант 3-К2 ("ЛВС класса К2 с большим количеством АРМ и повышенными требованиями к каналу связи") - соответствует совокупности типовых сегментов 1.4.2, 1.5.2, 2.6.2, 1.4.3, 1.5.3, 2.6.3.

1.8. Подробные характеристики каждого варианта со схемами представлены в Требованиях к новому сегменту.

2. Порядок распространения действия Аттестата на новый сегмент ЕМИАС

2.1. Определение варианта построения Нового сегмента:

2.1.1. Оценить необходимость обработки персональных данных более 100000 субъектов персональных данных (например, необходимость доступа ко всем записям ЕМИАС).

2.1.2. Определить в соответствии с требованиями к пропускной способности канала связи необходимость реализации межсетевого экрана и средства криптографической защиты информации в виде отдельных технических средств.

2.1.3. В соответствии с результатами предыдущих пунктов по схемам, приведённым в разделе 2 Требований к новым сегментам, определить приемлемый вариант построения Нового сегмента.

2.2. Оценка соответствия выбранного варианта Нового сегмента ЕМИАС сегментам ЕМИАС такого же варианта, в отношении которого были проведены аттестационные испытания (Аттестованный вариант).

2.2.1. Оценить соответствие классов защищённости и требуемых уровней безопасности персональных данных Нового сегмента Аттестованному варианту соответствующего типа.

2.2.2. Оценить соответствие реализованных проектных ИТ-решений Нового сегмента Аттестованному варианту соответствующего типа.

2.2.3. При положительных оценках соответствия, полученных в результате реализации мероприятий по пп. 2.2.1, 2.2.2, продолжить мероприятия по включению в ЕМИАС Нового сегмента.

2.2.4. При отрицательной оценке соответствия, полученной в результате реализации мероприятий по любому из пп. 2.2.1, 2.2.2, требуется привлечение организации, имеющей лицензию на оказание услуг в области технической защиты информации, для проведения:

2.2.4.1. при изменении состава угроз безопасности информации хотя бы одного из Новых сегментов Оператора, по сравнению с составом угроз безопасности информации сегмента ЕМИАС, прошедшего аттестационные испытания, соответствующего типа, и (или) изменения проектных решений, реализованных при создании Новых сегментов, в соответствии с п. 17.4 п. 16.7 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных Информационных системах, утверждённых приказом ФСТЭК России от 11.02.2013 г. N 17 - дополнительных аттестационных испытаний ЕМИАС;

2.2.4.2. при необходимости повышения класса защищённости Новых сегментов Оператора, по сравнению с сегментами ЕМИАС, прошедшими аттестационные испытания, соответствующего типа, в соответствии с п. 17.4 п. 16.7 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённых приказом ФСТЭК России от 11.02.2013 г. N 17 - повторной аттестации ЕМИАС, либо реализация мероприятий по самостоятельной аттестации Оператором информационной системы.

2.3. Реализация проектных решений по информационной безопасности в Новом сегменте.

2.3.1. Выбрать и, при необходимости, прибрести средства защиты информации, указанные в таблице 6 Требований к Новому сегменту, для соответствующего варианта сегмента ЕМИАС, прошедшего аттестационные испытания.

2.3.2. Провести установку и настройку средств защиты информации в Новом сегменте в соответствии с Описанием настроек системы защиты информации ЕМИАС.

2.3.3. Реализовать организационные мероприятия по защите информации на Новом сегменте в "соответствии с разделом 4 Требований к новому сегменту.

2.3.4. Разработать и принять в организации Оператора организационно-распорядительные документы по защите информации в ЕМИАС в соответствии с таблицей 7 Требований к новому сегменту.

2.4. Приёмочные испытания Нового сегмента.

2.4.1. Создать комиссию по проведению приёмочных испытаний из работников организации, эксплуатирующей Новый сегмент.

2.4.2. Провести приёмочные испытания Нового сегмента.

2.4.2.1. Проверить работоспособность средств защиты информации, соответствие параметров их настройки параметрам настройки средств защиты информации Аттестованного варианта соответствующего типа.

2.4.2.2. Оценить возможность совместной работы, действующей ЕМИАС с её Новым сегментом с установленными на нём средствами защиты информации.

2.4.2.3. Разработать Акт соответствия Нового сегмента Аттестованному варианту.

2.4.2.4. Направить результаты работы приёмочной комиссии, включая Акт соответствия и документы, предусмотренные пунктом 2.3.4 в Комиссию по информационной безопасности Министерства (далее - КИБ).

2.4.3. В случае принятия КИБ положительного решения о распространении действия Аттестата соответствия ЕМИАС на Новый сегмент, что подтверждается письмом в адрес Оператора, эксплуатирующего Новый сегмент, руководитель организации Оператора вправе направить в Министерство заявку на подключение Нового сегмента к ЕМИАС в установленном Министерством порядке.

3. Обязанности Оператора

3.1. В случае включения Нового сегмента, на который распространено действие Аттестата, в ЕМИАС Оператор принимает на себя обязательства по:

3.1.1. обеспечению поддержания уровня защищенности в процессе эксплуатации Нового сегмента в соответствии с требованиями, установленными Аттестатом;

3.1.2. предоставлению по требованию Министерства информации об условиях эксплуатации Нового сегмента;

3.1.3. допуску уполномоченных представителей Министерства на объект Оператора для проведения инспекции условий эксплуатации Нового сегмента.