Методические рекомендации медицинским организациям по организации криптографической защиты каналов при взаимодействии в рамках единой государственной информационной системы в сфере здравоохранения (утв. Министерством здравоохранения РФ 15 марта 2016 г.)

1 Общие положения

Настоящим документом определен состав средств защиты информации и архитектура построения защищенной информационно-телекоммуникационной сети для организации защищенного информационного обмена медицинских организаций в рамках функционирования единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ).

Документ подготовлен в соответствии с "Концепцией создания единой государственной информационной системы в сфере здравоохранения", утвержденной Приказом Минздравсоцразвития России от 28 апреля 2011 г. N 364, и законодательством Российской Федерации в сфере защиты информации при обработке персональных данных в автоматизированных системах.

Для организации криптографической защиты каналов связи при информационном обмене в составе МИС на федеральном уровне используются средства защиты информации комплекса VIPNet. Дальнейшие варианты по организации типовых подключений основываются на использовании данного типа средств защиты информации.

Обозначение	Описание
VPN	Virtual Private Network (виртуальная частная сеть)
АРМ	Автоматизированное рабочее место
АТК	Аппаратный тонкий клиент
ЕГИСЗ	Единая государственная информационная система в сфере здравоохранения
ЛПУ	Лечебно-профилактическое учреждение
МИАЦ	Медицинский информационной аналитический центр
МО	Медицинские организации - учреждение здравоохранения, медицинская организация, орган исполнительной власти и органы местного самоуправления, осуществляющие деятельность по оказанию государственных и муниципальных услуг в сфере здравоохранения, аптечная и фармацевтическая организации
МЭ	Межсетевой экран
ПАК	Программно-аппаратный комплекс
ПО	Программное обеспечение
СКЗИ	Средство криптографической защиты данных
УЗ	Учреждение здравоохранения
ФО	Федеральный округ
ФЦОД	Федеральный центр обработки данных

2 Архитектура системы криптографической защиты ЕГИСЗ

Архитектура системы криптографической защиты должна учитывать объекты взаимодействия ЕГИСЗ:

- Федеральный ЦОД ЕГИСЗ;

- Медицинские организации субъектов Российской Федерации (МО С);

- Медицинские организации Федерального подчинения (МО ФП).

Структура VPN-сети ФЦОД ЕГИСЗ приведена в Приложении 1.

Кроме того, при подключении медицинской организации к ЕГИСЗ необходимо различать и отдельно рассматривать:

- МО, имеющие собственную систему защиты каналов;

- МО, имеющие территориально распределенную филиальную структуру с собственными ЛВС.

Технические средства, используемые для подключения, должны быть совместимы с используемой в Федеральном ЦОД ЕГИСЗ технологией виртуальных частных сетей - VPN, реализованной на базе продуктов семейства ViPNet, сертифицированных на соответствие требованиям ФСБ России к СКЗИ по классу КС3 и требованиям ФСТЭК России по 3-му классу к МЭ.

3 Рекомендации по защите каналов медицинским организациям федерального подчинения

В рамках организации защищенных соединений с медицинскими организациями федерального подчинения в ФЦОД ЕГИСЗ организовывается специальный VPN-сегмент на базе технологии ViPNet. Данный VPN-сегмент будет обслуживать подключение МО федерального подчинения.

3.1 Рекомендации по защите каналов при подключении к ЕГИСЗ МО ФП

Для организации подключения к ЕГИСЗ в МО федерального подчинения в точке подключения к среде передачи данных должен быть установлен шлюз безопасности на базе программно-аппаратного комплекса ViPNet.

Тип ПАК ViPNet необходимо выбирать в соответствии с рекомендациями, приведенными в разделе 5.

Рекомендации по организации сетевого подключения ПАК ViPNet HW приведены в разделе 6.

Шлюз безопасности МО ФП должен быть подключен к VPN-Сети ФЦОД ЕГИСЗ, таким образом, на этапе ввода в эксплуатацию и дальнейшего обслуживание потребуется привлечение администраторов безопасности VPN-Сеть ФЦОД ЕГСЗ либо организации обслуживающей эту VPN-Сеть.

Схема подключения

3.2 Рекомендации по защите каналов при подключении МО ФП имеющих территориально распределенную филиальную структуру

В том случае если МО ФП имеет территориально распределенные филиалы, каждый из которых необходимо подключить к ЕГИСЗ, рекомендуется на базе МО ФП развернуть собственную VPN-Сеть на базе технологии ViPNet (далее VPN-сеть МО ФП) с последующей интеграцией с VPN-Сетью ЕГИСЗ.

Также рекомендуется развертывание собственной VPN-Сети, если ЛВС МО ФП:

- представляет собой несколько сегментов, расположенных в разных зданиях и объединенных линиями связи, проходящими за пределами контролируемой зоны;

- не находится в пределах контролируемой зоны или контролируемую зону нельзя обеспечить, например, в одном здании с МО ФП находятся сторонние организации, не имеющие никакого отношения к ЕГИСЗ, и у МО ФП и сторонней организации общая ЛВС.

В том случае если в МО ФП развертывается собственная VPN-сеть рекомендуется следующая схема подключения.

С учётом использования в VPN-сети ФЦОД ЕГИСЗ средств СКЗИ сертифицированных по классу КС3 рекомендуется придерживаться этого класса при выборе средств для построения собственной VPN-сети МО ФП.

Тип ПАК ViPNet необходимо выбирать в соответствии с рекомендациями, приведенными в разделе 5.1.

Тип Клиентской компоненты ViPNet необходимо выбирать в соответствии с рекомендациями в разделе 5.2.

Рекомендации по организации сетевого подключения ПАК ViPNet HW приведены в разделе 6.

Для построения собственной VPN-сети должны привлекаться специализированные организации, обладающие лицензиями на следующие виды деятельности:

- Лицензии ФСБ России на:

- техническое обслуживание шифровальных (криптографических) средств;

- распространение шифровальных (криптографических) средств;

- предоставление услуг в области шифрования информации.

- Лицензия ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

4 Рекомендации по защите каналов медицинских организаций субъекта РФ

В рамках организации защищенных соединений в ФЦОД ЕГИСЗ организовываются восемь сегментов VPN-сети на базе технологии ViPNet. Один сегмент VPN-сети будет обеспечивать подключение к ЕГИСЗ медицинских организаций одного федерального округа РФ.

Структура VPN-сети ФЦОД ЕГИСЗ приведена в Приложении 1.

4.1 Рекомендации по архитектуре регионального сегмента системы криптографической защиты ЕГИСЗ

Для организации взаимодействия медицинских организаций субъекта РФ с ЕГИСЗ рекомендуется создание отдельной VPN-сети МО Субъекта РФ.

В качестве организации, на базе которой должен быть создан центр регионального сегмента ЕГИСЗ, рекомендуется выбирать организацию, уполномоченную на модернизацию здравоохранения в регионе или подведомственную ей организацию.

VPN-сеть МО Субъекта РФ рекомендуется строить на базе технологии ViPNet. Рекомендуется следующая структура Центрального сегмента VPN-сети МО Субъекта РФ:

Рекомендуется включение в состав VPN-сети МО Субъекта РФ двух серверов безопасности:

Название на схеме	Функция	Рекомендуемое оборудование
Главный сервер безопасности МО Субъекта (VPN-Сеть МО Субъекта)	Выполнение служебных функций для эксплуатации VPN-сети Субъекта РФ: рассылка обновлений ключевой и справочной информации, рассылка обновлений ПО, сервер IP-адресов, сервер для взаимодействия с другими VPN-сетями (собственные сети ЛПУ, ТФОМС).	ПАК Coordinator HW1000
Сервер безопасности МО Субъекта (VPN-Сеть МО Субъекта)	Криптографическая обработка информационных потоков от МО Субъекта РФ, адресованного как в ФЦОД ЕГИСЗ, так и в ЦОД Субъекта РФ.	2 ПАК Coordinator HW1000 (режим горячего резервирования). В случае если информационный поток взаимодействия с ЦОД Субъекта РФ значительно превосходит информационный поток взаимодействия с ФЦОД ЕГИСЗ, рекомендуется установка 2 ПАК Coordinator HW2000 (режим горячего резервирования)

С учётом использования в VPN-сети ФЦОД ЕГИСЗ средств СКЗИ сертифицированных по классу КС3 рекомендуется придерживаться этого класса при выборе средств для построения VPN-сети МО Субъекта РФ.

Для построения VPN-сети МО Субъекта РФ должны привлекаться специализированные компании, обладающие лицензиями на следующие виды деятельности:

- Лицензии ФСБ России на:

- техническое обслуживание шифровальных (криптографических) средств;

- распространение шифровальных (криптографических) средств;

- предоставление услуг в области шифрования информации.

- Лицензия ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

4.2 Рекомендации по подключению Центрального сегмента VPN-сети МО Субъекта РФ к ЕГИСЗ

Для организации подключения Центрального сегмента VPN-сети МО Субъекта РФ к ЕГИСЗ в состав сегмента должен быть установлен Шлюз безопасности из состава VPN-сети ФЦОД ЕГИСЗ, соответствующего федерального округа.

Для реализации такого подключения рекомендуется использовать ПАК ViPNet Coordinator HW1000, установленный в режиме горячего резервирования.

На этапе ввода в эксплуатацию Шлюза безопасности и дальнейшего обслуживание потребуется привлечение администраторов безопасности VPN-Сети ФЦОД ЕГСЗ, либо организации обслуживающей эту VPN-Сеть.

Рекомендации по организации сетевого подключения ПАК ViPNet HW приведены в разделе 6.

4.3 Рекомендации по защите каналов при подключении к ЕГИСЗ медицинских организаций Субъекта РФ

Для организации подключения МО Субъекта РФ к ЕГИСЗ:

- в медицинских учреждениях Субъекта РФ, подключающих сегмент ЛВС в точке подключения к среде передачи данных, должен быть установлен шлюз безопасности на базе программно-аппаратного комплекса ViPNet HW из состава VPN-сети МО Субъекта РФ;

- в МО Субъекта РФ, подключающих один или два рабочих места, должны быть установлены клиентские компоненты ViPNet из состава VPN-сети субъекта РФ.

Тип ПАК ViPNet необходимо выбирать в соответствии с рекомендациями, приведенными в разделе 5.1.

Тип Клиентской компоненты ViPNet необходимо выбирать в соответствии с рекомендациями в разделе 5.2.

Рекомендации по организации сетевого подключения ПАК ViPNet HW приведены в разделе 6.

Для проведения работ должны привлекаться специализированные компании, обладающие лицензиями на следующие виды деятельности:

- Лицензии ФСБ России на:

- техническое обслуживание шифровальных (криптографических) средств;

- распространение шифровальных (криптографических) средств;

- предоставление услуг в области шифрования информации.

- Лицензия ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

4.4 Рекомендации по защите каналов при подключении МО, имеющего филиальную структуру

Подключение МО Субъекта РФ имеющего филиальную структуру (далее МО СФ) можно осуществить двумя способами:

- подключить главную организацию и каждый филиал МО СФ к VPN-сети МО Субъекта РФ и к ЕГИСЗ как отдельные организации (подробное описание дано в п. 4.3.);

- развернуть собственную VPN-сеть на базе технологии ViPNet (далее сеть VPN-сеть МО СФ) с последующей интеграцией этой сети с VPN-сетью МО Субъекта РФ и VPN-сетью ЕГИСЗ.

Развертывание собственной VPN-сети МО СФ снизит нагрузку на эксплуатационный персонал VPN-сети МО Субъекта РФ.

Также рекомендуется развертывание собственной VPN-Сети, если ЛВС МО СФ:

- представляет собой несколько сегментов, расположенных в разных зданиях и объединенных линиями связи, проходящими за пределами контролируемой зоны;

- не находится в пределах контролируемой зоны или контролируемую зону нельзя обеспечить, например, в одном здании с МО СФ находятся сторонние организации, не имеющие никакого отношения к ЕГИСЗ, и у МО СФ и сторонней организации общая ЛВС.

В том случае если в МО СФ Субъекта РФ развертывается собственная VPN-сеть, рекомендуется следующая схема подключения.

Тип ПАК ViPNet необходимо выбирать в соответствии с рекомендациями, приведенными в разделе 5.1.

Тип Клиентской компоненты ViPNet необходимо выбирать в соответствии с рекомендациями в разделе 5.2.

Рекомендации по организации сетевого подключения ПАК ViPNet HW приведены в разделе 6.

4.5 Рекомендации по защите каналов при подключении медицинских учреждений, имеющих VPN-сеть построенной на технологии отличной от технологии ViPNet

5 Рекомендации по выбору типа оборудования криптографической защиты канала передачи данных

5.1 Рекомендации по выбору ПАК ViPNet HW

В следующей таблице представлены рекомендации по выбору типа ПАК ViPNet в зависимости от количества используемых в подключаемом Медицинской организацией сетевых узлов (АРМ, серверов, терминалов) обрабатывающих подлежащую защите информацию.

Тип	Количество серверов, АРМ и терминалов в защищаемом сегменте	Рекомендуемое оборудование ПАК ViPNet Coordinator HW
1	более 500	HW2000
2	от 10 до 500	HW1000
3	от 6 до 10	HW100C
4	от 3 до 5	HW100B
5	2	HW100A

В следующей таблице представлены рекомендации по выбору типа ПАК ViPNet в зависимости от необходимо пропускной способности при подключении Медицинской организации к каналу передачи данных:

Тип	Количество серверов, АРМ и терминалов в защищаемом сегменте	Рекомендуемое оборудование ПАК ViPNet Coordinator HW
1	до 2,7 Гбит/с	HW2000
2	до 250 Мбит/с	HW1000
3	До 20 Мбит/с	HW100A/B/C

5.2 Рекомендации по выбору типа клиентской компоненты ViPNet

В следующей таблице представлены рекомендации по выбору клиентской компоненты ViPNet в зависимости от режима работы с информацией:

Тип	Режима работы с МИС	Рекомендуемое оборудование ПАК ViPNet Coordinator HW
1	"Тонкий" клиент (WEB-Браузер)	ViPNet Terminal
2	"Толстый" клиент для работы с МИС Необходимость подключения различного специализированного медицинского оборудования	ViPNet Client

6 Рекомендации по организации сетевого подключения

С учётом объединения в рамках VPN-сети большого количества медицинских организаций, имеющих свою собственную IP-адресацию, рекомендуется:

- использовать виртуальную IP-адресацию для идентификации подключаемых МО на серверах безопасности ФЦОД ЕГИСЗ

- использовать виртуальную IP-адресацию для идентификации подключаемых МО на серверах безопасности регионального сегмента ЕГИСЗ.

Для подключения ПАК ViPNet на территории МО должны быть обеспечены:

- подключение к одному из каналов передачи данных:

- IP/MPLS-сеть ОАО "Ростелеком";

- Сеть Интернет (любые провайдеры, доступные в регионе).

- подключение к сетевому оборудованию МО интерфейсов криптошлюза с использованием интерфейсов Ethernet Base T 100/1000;

- доступность внешнего интерфейса криптошлюза (IP внеш./маска) из сети Интернет одним из следующих способов:

- обеспечить NAT-трансляцию приватного IP-адреса в публичный IP-адрес (трафик по протоколу UDP, порт 55777);

- выделить для интерфейса публичный IP-адрес;

- маршрутизация в локальной сети МО должна осуществляться таким образом, чтобы трафик с адресов серверов ОУЗ, отправляемый на серверы КЦОД, направлялся на внутренний интерфейс криптошлюза;

- отсутствие логических препятствий для прохождения трафика по порту UDP 55777 между внешним интерфейсом криптошлюза (1-"IP внеш.") и адресом криптошлюза КЦОД.

Для организации настройки и подключения ПАК ViPNet МО может потребоваться выделение следующих IP-адресов:

N	IP адрес/маска	Назначение
1	IP внеш./маска	IP-адрес и маска сети внешнего интерфейса криптошлюза. Может быть как из приватного, так и из публичного адресного пространства.
2	IP gw внеш.	Адрес шлюза по умолчанию в сети, в которую включается внешний интерфейс криптошлюза. В случае подключения кластера должны быть выделены 3 адреса в одной подсети.
3	IP fw (NAT)	В случае использования приватного адреса на внешнем интерфейсе криптошлюза - публичный адрес NAT-трансляции, через который осуществляется доступ к внешнему интерфейсу криптошлюза. При подключении криптошлюза без использования NAT, указывать 3-"IP fw" совпадающим с адресом 1-"IP внеш./маска".
4	IP внут./маска	Адрес и маска сети внутреннего интерфейса криптошлюза. В случае подключения кластера должны быть выделены 3 адреса в одной подсети. IP внеш. и IP внут. обязательно должны принадлежать разным подсетям.
5	IP gw внут.	Адрес шлюза для маршрутизации внутрь ведомства для сети, в которую включается внутренний интерфейс криптошлюза. Если адреса 6-"IP тун." и 4-"IP внут." принадлежат одной подсети, то адрес 5-"IP gw внут." указывать совпадающим с адресом 4-"IP внут.".
6	IP тун.	Адрес(а) сервера(ов) МО, которые будут взаимодействовать с серверами ФЦОД ЕГИСЗ.
7	IP вирт.	В случае пересечения адресов туннелируемых ресурсов со стороны МО с адресами туннелируемых ресурсов в ФЦОД ЕГИСЗ, в рабочем порядке для таких ресурсов назначается необходимое количество дополнительных виртуальных адресов.