Приложение 1. Типовые технические требования к лабораторной информационной системе и интеграции с автоматизированной информационной системой г. Москвы "Единая медицинская информационно-аналитическая система г. Москвы" для оснащения отделений (учреждений) лабораторной диагностики медицинских организаций государственной системы здравоохранения г. Москвы. Распоряжение Департамента информационных технологий г. Москвы и Департамента здравоохранения г. Москвы от 16.01.2018 N 64-16-11/18/49-р "Об утверждении Типовых технических требований к лабораторной информационной системе и интеграции с автоматизированной информационной системой города Москвы "Единая медицинская информационно-аналитическая система города Москвы" для оснащения отделений (учреждений) лабораторной диагностики медицинских организаций государственной системы здравоохранения города Москвы и Регламента взаимодействия лабораторной информационной системы с автоматизированной информационной системой города Москвы "Единая медицинская информационно-аналитическая система города Москвы"

Приложение 1
к совместному распоряжению Департамента
информационных технологий города Москвы
и Департамента здравоохранения города Москвы
от 16 января 2018 г. N 64-16-11/18/49-р

Типовые технические требования
к лабораторной информационной системе и интеграции с автоматизированной информационной системой города Москвы "Единая медицинская информационно-аналитическая система города Москвы" для оснащения отделений (учреждений) лабораторной диагностики медицинских организаций государственной системы здравоохранения города Москвы

Термины и определения

АСУИСЗ	Автоматизированная система управления инцидентами, событиями и запросами
ДЗМ	Департамент здравоохранения г. Москвы
ДИТ	Департамент информационных технологий г. Москвы
ЕМИАС	Единая медицинская информационно-аналитическая система
ЛИС	Лабораторная информационная система.
Исполнитель	Разработчик ЛИС, юридическое лицо, которому принадлежат авторские права на ЛИС
ЦКДЛ	Централизованная клинико-диагностическая лаборатория
ЦЛС ЕМИАС	Централизованный лабораторный сервис Единой медицинской информационно-аналитической системы

1. Требования к правовой чистоте ЛИС

1.1. В соответствии с постановлением Правительства Москвы от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" лабораторная информационная система, устанавливаемая в государственном учреждении здравоохранения города Москвы, должна быть включена в единый реестр российских программ для электронно-вычислительных машин и баз данных (https://reestr.minsvyaz.ru/).

1.2. В соответствии со статьей 38 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", ЛИС, устанавливаемая в государственном учреждении здравоохранения города Москвы, должна пройти регистрацию в Федеральной службе по надзору в сфере здравоохранения и иметь регистрационное удостоверение медицинского изделия.

2. Требования к технической поддержке ЛИС

2.1. Техническая поддержка ЛИС должна осуществляться в течение всего срока эксплуатации ЛИС в государственном учреждении здравоохранения города Москвы.

2.2. Общие требования к службе технической поддержки и сопровождения:

2.2.1. Для надлежащего оказания услуг Исполнитель собственными силами и за свой счет должен организовать свою службу технической поддержки.

2.2.2. Численность и ролевой состав сотрудников Исполнителя, задействованных в процессе оказания услуг, Исполнитель определяет самостоятельно. Численность и ролевой состав сотрудников Исполнителя, задействованных в процессе оказания услуг, должны быть достаточны для обеспечения требований, изложенных в ТЗ.

2.2.3. Персонал Исполнителя должен свободно ориентироваться в содержании и соблюдать требования эксплуатационной, методической и регламентной документации, разработанной Исполнителем в соответствии с требованиями настоящего ТЗ, а также в содержании технической и пользовательской документации на ЛИС.

2.2.4. Исполнитель самостоятельно осуществляет подготовку персонала и проверку его квалификации.

2.2.5. Государственный заказчик имеет право осуществлять проверку квалификации персонала Исполнителя, оказывающего услуги.

2.2.6. Квалификация сотрудников Исполнителя, задействованных в процессе оказания услуг, должна обеспечивать:

- мониторинг работоспособности прикладного программного обеспечения ЛИС;

- ведение учетных записей пользователей ЛИС;

- оптимизацию функционирования прикладных БД ЛИС по времени отклика, скорости доступа к данным;

- проведение анализа данных на предмет ошибочных ситуаций (анализ логов ЛИС);

- определение причины сбоя функционирования или отказа ЛИС;

- поиск, определение и устранение дефектов прикладного программного обеспечения ЛИС;

- восстановление работоспособности ЛИС после сбоя или отказа;

- проведение консультаций по вопросам работы с прикладным ПО ЛИС.

2.2.7. Проверка квалификации персонала Исполнителя, проводимая по инициативе Государственного заказчика оформляется соответствующим совместным протоколом.

2.3. Требования к защите от ошибочных действий персонала

2.3.1. Для обеспечения восстановления информации, утраченной в результате ошибочных действий уполномоченного персонала, должно быть обеспечено резервное копирование данных ЛИС. Порядок выполнения резервного копирования должен быть описан в Регламенте оказания услуг по сопровождению и технической поддержке ЛИС, разрабатываемом Исполнителем.

2.3.2. При устранении инцидентов, возникающих в ЛИС, Исполнитель должен анализировать по журнальным файлам ОС и ЛИС действия персонала для исключения из числа причин инцидента некорректных действий персонала, а также для предотвращения повторения инцидентов, произошедших по причинам, связанным с действиями персонала.

2.4. Порядок обработки инцидентов, связанных с нарушением информационной безопасности

2.4.1. При оказании услуг должен выполняться анализ работы системы на основе данных подсистемы мониторинга ЛИС с целью обнаружения попыток несанкционированного доступа.

2.4.2. По каждому случаю несанкционированного доступа Исполнитель должен:

- провести анализ;

- довести информацию до Государственного заказчика для дальнейшего разбора ситуации.

2.4.3. Время реагирования не более 2 часов с момента обнаружения.

2.5. Приоритеты и типы заявок представлены в Таблица 1

Таблица 1

Приоритеты и типы заявок

Приоритет запроса	Инциденты и связанные Задачи	ЗнИ и связанные Задачи	ЗнО и связанные Задачи
Критичный	Полная недоступность функционала оказываемой услуги единовременно у всех пользователей в течение 60 минут.	Выполнение заданий по изменению связанных с устранением или предотвращением Инцидентов Критичного приоритета.	Выполнение запросов на обслуживание, консультаций и запросов на предоставление информации связанных с решением инцидентов Критичного приоритета.
Высокий	Полная недоступность функционала оказываемой услуги единовременно у всех пользователей одного учреждения. Или Снижение качества оказываемой услуги единовременно у всех пользователей.	Выполнение заданий по изменению связанных с устранением или предотвращением Инцидентов Высокого приоритета.	Выполнение запросов на обслуживание, консультаций и запросов на предоставление информации, которые взяты на контроль руководством Заказчика.
Средний	Полная недоступность функционала оказываемой услуги единовременно у одного пользователя.	Приоритет по умолчанию. Выполнение заданий по изменению по заявкам Заказчика с повышенным приоритетом.	Выполнение запросов на обслуживание, консультаций и запросов на предоставление информации по заявкам Заказчика, с возможностью повысить приоритет по просьбе пользователя для ускорения его выполнения и времени реакции.
Низкий	Нарушение функционала оказываемой услуги единовременно у одного пользователя.	Выполнение заданий по изменению в рамках регламентных работ и работ по заявкам Пользователей.	Приоритет по умолчанию. Выполнение запросов на обслуживание, консультаций и запросов на предоставление информации по заявкам Заказчика.

2.6. Требования к составу и содержанию услуг по сопровождению ЛИС

В таблице ниже представлено описание, состав и параметры услуг по сопровождению ЛИС оказываемых Исполнителем.

Состав услуг по поддержке пользователей

- Решение Инцидентов и/или заданий по ним;

- Выполнение Запросов на обслуживание и/или заданий по ним;

- Выполнение Изменений и/или заданий по ним;

- Выполнение Регламентных работ;

- Ведение Конфигурационных единиц.

Решение инцидентов и/или заданий по ним:

- Устранение сбоев, приводящих к остановке в работе ЛИС

- Устранение ошибок в работе ЛИС, не приводящих к остановке в работе ЛИС

Выполнение запросов на обслуживание и/или заданий по ним:

- Консультирование по общим вопросам работы с ЛИС

- Обеспечение технической поддержки при проведении Государственным заказчиком регламентных и профилактических работ в ЕМИАС

- Формирование выборок данных по запросу Государственного заказчика

- Работы, связанные с вопросами предоставления доступа к ЛИС

- Консультирование Государственного заказчика и участие в анализе результатов при разработке, согласовании и реализации бизнес-процессов в смежных системах ЕМИАС в части взаимодействия с ЛИС

Выполнение запросов на изменение и/или заданий по ним:

Требует согласования

- Мероприятия по оптимизации работы ЛИС, связанные с изменением конфигурации программного обеспечения в связи с изменением условий функционирования ЛИС и увеличением нагрузки

Да

- Участие в проведении нагрузочного тестирования взаимодействия со смежными системами при изменении алгоритмов работы ЕМИАС

Да

- Настройка, конфигурирование ЛИС в соответствии с изменениями ЕМИАС

Да

- Модернизация прикладных функций и архитектуры ЛИС*

Да

Состав работ по услугам

Наименование работ выполняемых для поддержки пользователей и проведения Регламентных работ*:

- Администрирование ЛИС

- Консультирование специалистов Государственного заказчика

- Управление заявками

- Мониторинг ЛИС

- Модернизация прикладных функций и архитектуры по запросам Государственного заказчика

- Формирование выборок данных по запросам Государственного заказчика

- Поддержание в актуальном состоянии эксплуатационной документации

* В ходе выполнения работ над обращениями (инцидентами, запросами на обслуживание, запросами на изменение), они могут быть переклассифицированы (изменены категория и приоритет) в результате уточнения информации у пользователя, диагностики работ по обращению.

Время оказания услуг

Режим обслуживания:

- Выполнение заявок - в соответствии с приоритетом; - Выполнение регламентных работ - в соответствии с планом работы.

Режим обслуживания приоритетов: - низкий; - средний; - высокий.

ПН

ВТ

СР

ЧТ

ПТ

СБ

ВС

12х6 (12 часов в сутки с понедельника по субботу, за исключением праздничных дней с учетом переносов)

08:00 - 20:00

08:00 - 20:00

08:00 - 20:00

08:00 - 20:00

08:00 - 20:00

08:00 - 20:00

-

Режим обслуживания приоритетов: - критический.

ПН

ВТ

СР

ЧТ

ПТ

СБ

ВС

24х7 (круглосуточно, за исключением праздничных дней с учетом переносов)

00:00 - 23:59

00:00 - 23:59

00:00 - 23:59

00:00 - 23:59

00:00 - 23:59

00:00 - 23:59

00:00 - 23:59

Показатели обслуживания

98%

Исполнитель гарантирует выполнение (решение) 98% заявок и РР, перешедших из предыдущего периода и зарегистрированных в текущем периоде в целом по Договору, в указанные в настоящем разделе сроки (время обработки Заявок и РР)

Время обработки заявок по видам работ

Виды работ

Заявка

Низкий\Средний

Высокий\Критический

Время реакции (час)

Время решения (час)

Время реакции (час)

Время решения (час)

Решение инцидентов и задач по ним

4\2

48\24

1\0,5

4\2

Выполнение запросов на обслуживание и задач по ним

8\4

52\36

2\1

16\8

Выполнение запросов на изменение и задач по ним

8\4

120\80

4\1

48\24

Выполнение регламентных работ

В соответствии с планом работы

В соответствии с планом работы

В соответствии с планом работы

В соответствии с планом работы

Время обработки не включает в себя (при обязательном фиксировании нижеуказанных периодов в самой заявке): - время ограничения доступности ЛИС для Исполнителя во время обработки Заявки; - время, затраченное на получение дополнительных сведений от Инициатора Заявки, необходимых для выполнения работ по Заявке; - время устранения отказов и сбоев оборудования, на котором размещена ЛИС; - время устранения отказов и сбоев сетевой инфраструктуры; - время согласования и проведения технологических и профилактических работ, ограничивающих доступность ЛИС.

3. Требования к интеграции ЛИС с ЦЛС ЕМИАС

3.1. ЛИС должна поддерживать организацию информационного взаимодействия с Централизованным лабораторным сервисом Единой медицинской информационно-аналитической системы.

4. Требования к безопасности ЛИС

4.1. Для ЛИС должны выполняться требования Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4.2. ЛИС должна обеспечивать защиту персональных данных в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

4.3. В соответствии с приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и приказом ФСТЭК от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" должны быть разработаны Модель угроз нарушителя и Акт классификации системы, в соответствии с определенным уровнем защищенности ЛИС.

4.4. Защита информации, передаваемой' по открытым каналам связи, должна осуществляться в соответствии с требованиями нормативно-методического документа "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К) (Гостехкомиссия России, 2002) с использованием сертифицированных по требованиям безопасности информации криптографических средств защиты.

4.5. ЛИС должна обеспечивать возможность ролевого разграничения прав доступа пользователей и администраторов к информационным ресурсам в соответствии с матрицей доступа.

4.6. Должна обеспечиваться возможность ведения централизованного администрирования единого списка пользователей, отражающего права доступа пользователей к ЛИС.

4.7. Должна обеспечиваться возможность мониторинга и протоколирования действий пользователей при работе с функциями ЛИС, встроенными средствами ЛИС.

4.8. При разработке программного кода Исполнитель должен применять методы безопасного программирования, включающие:

- ручную и автоматизированную проверку кода на предмет недокументированных возможностей (НДВ);

- использование при разработке доверенной аппаратной платформы с функциями защиты от НДВ на системном и прикладном уровне;

- контроль версионности исходного кода;

- тестирование ЛИС на проникновения (пентесты).

По результатам проведения указанных работ, Исполнителем должны быть разработаны следующие документы:

1. Модель угроз и нарушителя;

2. Акт классификации Системы;

3. Требования по обеспечению информационной безопасности.

5. Требования к защите информации

5.1. В технорабочем/техническом проекте должны быть определены и отражены требования и решения по обеспечению информационной безопасности в ЛИС, к программно-аппаратному комплексу, на котором должны разворачиваться ЛИС и ее компоненты. Указанные требования и решения должны определять средства защиты информации в части:

- механизмов (способов) аутентификации пользователей сервисов;

- защиты идентификаторов, присваиваемых пользователям ЛИС;

- обеспечения и контроля прав доступа к защищенным ресурсам и информации;

- минимизации прав доступа;

- механизмов (способов) аутентификации ЛИС при взаимодействии с внешними информационными системами;

- обеспечения конфиденциальности и целостности передаваемой/принимаемой по каналам связи информации;

- управления доступом к защищаемой информации и персональным данным;

- резервного копирования и восстановления защищаемой информации;

- антивирусной защиты;

- разграничения прав доступа, на основании ролевой модели;

- межсетевого экранирования;

- контроля целостности обрабатываемых и технологических данных ЛИС и ее компонентов.

5.2. Должна быть обеспечена возможность защиты информации в ЛИС от потери и несанкционированного доступа на этапах ее передачи и хранения за счет использования сертифицированных средств криптографической защиты и регулярного выполнения операций резервного копирования данных с последующим архивированием.

5.3. Должен быть реализован следующий комплекс мер, направленных на защиту от несанкционированного доступа к функциям административного интерфейса ЛИС:

- возможность ограничения доступа к административному интерфейсу за счет:

обязательной 2-х факторной аутентификации;

периодической смены пароля;

применения средств антиботовой защиты.

- возможность ведения журналов действий пользователей ЛИС и ее компонентов в административном интерфейсе и журнала аутентификаций.

5.4. Для настройки прав пользователей ЛИС должны создаваться отдельные роли пользователей, с назначением разрешений на выполнение отдельных функций и ограничений по доступу к информации, обрабатываемой в ЛИС и ее компонентах. При формировании ролей пользователей ЛИС и ее компонентов необходимо руководствоваться принципом, ограничивающим полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных, документально зафиксированных, обязанностей пользователей при работе с ЛИС.

5.5. Необходимо обеспечить обязательное ведение журнала событий в ЛИС с указанием следующих значений для каждого события в ЛИС:

- уникальный порядковый номер записи события;

- дата и время события;

- имя учетной записи пользователя;

- наименование события (выполняемое действие).

5.6. Необходимо обеспечить недоступность изменения записей журнала для всех пользователей ЛИС, в том числе всех категорий обслуживающего персонала. Функция очистки журнала должна автоматически сопровождаться обязательной записью данного события после очистки в журнал событий.

5.7. Внесению в журнал событий подлежат:

- все события административного характера: создание, изменение, удаление пользователя и его прав доступа к ресурсам ЛИС;

- сведения о произошедших ошибках в ЛИС;

- все события, относящиеся к изменению параметров ЛИС и средств защиты информации:

создание, изменение, удаление пользователя и его прав доступа к ресурсам ЛИС;

смена пароля;

отключение или изменение параметров двухфакторной аутентификации.

6. Требования к взаимодействию ЛИС с лабораторным оборудованием

6.1. ЛИС должна поддерживать протоколы обмена данными с лабораторными анализаторами, устанавливаемыми в клинико-диагностических лабораториях города (ASTM, HL7, собственные протоколы).

6.2. ЛИС должна обеспечивать возможность информационного взаимодействия с лабораторными анализаторами, подключаемыми при помощи типовых разъемов (RS232, RS422, USB, RJ45,RJ25).

6.3. ЛИС должна иметь необходимые драйверы для обеспечения взаимодействия с подключаемыми лабораторными анализаторами.

6.4. ЛИС должна поддерживать однонаправленный и двунаправленный вариант взаимодействия с лабораторным анализатором, в зависимости от типа подключаемого лабораторного анализатора.

6.5. ЛИС должна иметь возможность принимать результаты контроля качества от лабораторных анализаторов, имеющих такую функцию контроля качества.