«УТВЕРЖДено»
|
|
|
Начальник управления здравоохранения Липецкой области
|
|
|
|
______________
|
|
|
|
«____»____________2017 г.
|
|
|
ГОСУДАРСТВЕННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА
РЕГИОНАЛЬНАЯ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКАЯ МЕДИЦИНСКАЯ СИСТЕМА В СФЕРЕ ЗДРАВООХРАНЕНИЯ ЛИПЕЦКОЙ ОБЛАСТИ
(ГИС РИАМС)
ТЕХНИЧЕСКИЕ УСЛОВИЯ
по подключению к ГИС РИАМС объектов (сегментов, АРМ) негосударственных медицинских организаций
РДМТ-УЗО48-СЗИ.17 – НМО ТУ
2017
Список сокращений
АРМ
|
|
Автоматизированное рабочее место
|
АС
|
|
Автоматизированная система
|
АПКШ
|
|
Аппаратно-программный комплекс шифрования
|
ГИС
|
|
Государственная информационная система
|
ИС
|
|
Информационная система
|
КШ
|
|
Криптографический шлюз
|
ЛВС
|
|
Локально-вычислительная сеть
|
МЭ
|
|
Межсетевой экран
|
НСД
|
|
Несанкционированный доступ
|
ОС
|
|
Операционная система
|
ОИ
|
|
Объект информатизации
|
ПК
|
|
Программный комплекс
|
ПО
|
|
Программное обеспечение
|
ПТС
|
|
Программно-техническое средство
|
ПЭВМ
|
|
Персональная электронно-вычислительная машина
|
САВЗ
|
|
Средство антивирусной защиты
|
СЗИ
|
|
Система защита информации
|
СКЗИ
|
|
Система криптографической защиты информации
|
СрЗИ
|
|
Средства защиты информации
|
ТУ
|
|
Технические условия
|
ФСБ
|
|
Федеральная служба безопасности
|
ФСТЭК
|
|
Федеральная служба по техническому и экспортному контролю
|
ПОРЯДОК
подключения негосударственных медицинских организаций к государственной региональной информационно-аналитической медицинской системы в сфере здравоохранения Липецкой области (РИАМС)
1. Этап «Организация подключения к РИАМС через ЗСПД РИАМС в тестовом режиме»
1.1. Этап выполняется на период подготовки и реализации (выполнения) медицинской организацией (МО) требований по работе пользователейв РИАМСв защищенном режиме.
1.2. На этапе «Организация подключения к РИАМС … в тестовом режиме» выполняются:
а) подачаМОзаявки на организацию защищенного подключенияксерверу РИАМС (ПО КВАЗАР) через защищенную сеть передачи данных (ЗСПД) РИАМС;
Форма заявки приведена в Приложении А.
Заявка формируется в зависимости от следующих исходных данных (условий) МО:
- номера ViPNet сети, к которой уже подключена МО;
- типа ViPNet средств (программный или программно-аппаратный комплекс средств криптографической защиты информации (СКЗИ) и средств межсетевого экранирования (МЭ)), которые имеются в МО (или отсутствуют и будут закуплены), подключаемых к ЗСПД РИАМС;
- количества автоматизированных рабочих местах (АРМ) сотрудников МО, подключаемых к РИАМС (ПО КВАЗАР).
б) анализ заявки МО, включая: определение подключаемых АРМ пользователей РИАМС (АРМ пользователей ПО КВАЗАР), определение задействованных в подключенииViPNet средств, определение задействованных в подключенииViPNet сетей;
в) подключение АРМ пользователей – сотрудников МО к серверу РИАМС (сервер ПО КВАЗАР) по защищенным каналам связи в тестовом режиме.
Варианты реализации подключения АРМ пользователей к ГИС РИАМС по защищенным каналам связи приведены в Приложении Б.
в) уточнение сведений по составу АРМ (сегментаЛВС) МО, на которых будет осуществляться работа в РИАМС, в том числе обработка защищаемой в РИАМС информации (персональные данные, врачебная тайна). Далее данные АРМ МО именуются: «АРМ РИАМС». При работе с РИАМС отдельных сетевых сегментов ЛВС МО, выделенных в сегмент виртуально или физически: «Удаленный сегмент РИАМС».
Сведения по АРМ, на которых разворачивается клиентское ПО РИАМС(ПО КВАЗАР) ибудет осуществляться работа в РИАМС, в том числе обработка защищаемой в РИАМС информации, – сообщаются в первичной заявке МО (Приложение А).
г) настройка в РИАМС прав (полномочий) пользователям РИАМС– сотрудникам МО по обработке информации, в том числе персональных данных в РИАМС.
Работа с пользователям РИАМС– сотрудникам МО, их правам (полномочиям) по обработке информации в РИАМС, – производитсяв порядке, указанном в Приложении В.
При отсутствии в МО кадровой и/или технической возможности выполнить работы по установке на АРМ сотрудников МО клиентское ПО РИАМС (ПО КВАЗАР), – МО может привлекать к данным услугам организации, имеющие соответствующий опыт работы с ПО РИАМС (ПО КВАЗАР).
д) уточнение версионности СКЗИ и средств МЭ МОк версиям СКЗИ/МЭв ЗСПД РИАМС;
Для анализа версионности МО должны будут представить копии документов, подтверждающих легитимность приобретения и использования СКЗИ и средств МЭ(средств ViPNet). Форма сведений (скан-копия листов Формуляра на СКЗИ и средства МЭ) приведена в Приложении А (приложениеА1 Заявки).
Анализ совместимостиверсионности СКЗИ и средств МЭ (средства ViPNet) МО с применяемыми в ЗСПД РИАМС версиями СКЗИ/МЭ осуществляется в процессе работы МО с РИАМС в тестовом режиме по защищенным каналам связи ЗСПД РИАМС.
2. Этап «Выполнение (реализация) на АРМ РИАМС (в удаленном сегменте РИАМС) МОправил работы в РИАМС, в том числе мер по защите информации, оценка соответствия установленным в РИАМС правилам работы с информацией (персональными данными), правилам (требованиям) безопасностиинформации»
2.1. Выполняется в период работы МО в РИАМСв тестовом режиме, в целях выполнения (реализации) на АРМ РИАМС (в сегменте РИАМС) правил работы в РИАМС, в том числе мер по защите информации.
2.2. Данный этап завершаетсямероприятиями по оценке соответствия установленным в РИАМС правиламработы с информацией (персональными данными), правилам (требованиям) безопасности информации.
2.3. На данном этапе, до мероприятий по оценке соответствия, должны быть завершены и выполнены:
а) реализована схема защищенного режима подключения и взаимодействия с РИАМС (в соответствии с приложением Б);
б) СКЗИ и средств МЭ МОприведены к версиям СКЗИ/МЭв ЗСПД РИАМС.
При необходимости «поднятия» версионности МО должна будет закупить пакет обновлений (модернизации) для своих СКЗИ и средств МЭ и выполнить работы по обновлению СКЗИ и средств МЭ. Закупка пакетов обновлений (модернизации) для СКЗИ и средств МЭ осуществляется через организацию-производителя средств ViPNet или ее партнеров.
При отсутствии в МО кадровой и/или технической возможности выполнить работы по обновлению СКЗИ и средств МЭ, – МО может привлекать к данным услугам организацию – лицензиата ФСТЭК и ФСБ России, имеющего соответствующий опыт работы со средствами защиты информации ViPNet;
в) внедрены организационные мероприятия по обработке и защите информации для удаленныхсегментов РИАМС (перечень необходимых организационных мер защиты информации приведен в Приложении Г).
В целях внедрения организационных мероприятий по обработке и защите информации, по запросу МО могут быть предоставлены шаблоны отдельных документов.
При отсутствии в МО кадровой и/или иной возможности подготовки к внедрению организационных мероприятий по обработке изащите информации – МО может привлекать к данным услугам организацию-лицензиата ФСТЭК и ФСБ России, имеющего соответствующий опыт работы;
г) реализованы технические меры защиты информации для удаленныхсегментов РИАМС (перечень необходимых технических мер защиты информации и частные технические требования по защите информации АРМ и сегментов РИАМС приведены в Приложении Д).
В целях реализации технических мер по защите информации на АРМ РИАМС (в сегменте РИАМС) подготовлены частные технические решения, – в зависимости от варианта защищенного подключения к РИАМС, порядка организации удаленного сегмента РИАМС в МО,состава АРМ.
При отсутствии в Организации кадровой и/или технической возможности представить к контролю выполнение (реализацию) вышеперечисленных задач – Организация может привлекать к работам по внедрению (установка, настройка конфигураций) средств защиты информации лицензиата ФСТЭК и ФСБ России, имеющего опыт работы с СКЗИ, средствами МЭ, средствами антивирусной защиты (АВЗ), средствами защиты от несанкционированного доступа (НСД), опыт подготовки и проведения аттестационных испытаний.
2.4. Оценка соответствия включает следующие контрольные мероприятия:
а) проверкуналичия в МО лиц, ответственных за обработку, защиту информации и эксплуатацию средств защиты информации, назначенных приказом Руководителя МО;
б) проверку наличия актуальных списков пользователей РИАМС – сотрудников МО, утвержденных приказом Руководителя МО;
в) анализ реализациив МОорганизационных мер по обработке и защите информации (прим. в части контроля доступа к средствам обработки информации, а также в помещенияМО, в которых размещены АРМ РИАМС);
г) проверку наличия в МОактуальной эксплуатационной документации (формуляры) на используемые СКЗИ и средства защиты информации;
д) анализ реализации в МОтехнических мер по защите информации (прим. в частипроверки наличия и контроля настроекСКЗИ и средств защиты информации на АРМ РИАМС,в удаленном сегменте РИАМС);
е) вывод о соответствии медицинской организации установленным в РИАМС правилам обработки информации (персональных данных), правилам (требованиям) безопасности информации.
В целях проведения оценки соответствияМО должна будет предоставить сканы (копии) следующих документов:
а) копия приказа Руководителя МОо назначении сотрудника (сотрудников) МО, ответственного за обработку персональных данных, за защиту информации и за эксплуатацию средств защиты информации МО;
б) копия актуального списка сотрудников МО, допущенных к работе в РИАМС, – пользователей РИАМС;
в) копия приказа Руководителя МОо выполнении мероприятий поорганизации защиты информации в удаленном сегменте РИАМС МО;
г) копия листа ознакомления сотрудников МО – пользователей РИАМС с документами по организации защиты информации в удаленном сегменте РИАМС;
д) копии формуляров на средства защиты информации:
- копия титульного листа с указанием типа средства защиты информации;
- копия листов с указанием серийных/заводских номеров средства защиты информации;
- копия листов «Свидетельство о приемке», «Свидетельство об упаковке и маркировке»;
е) копия лицензии (право обладания) средством зашиты информации;
ж) копия дистрибутивного комплекта на средство зашиты информации;
з) копия технического паспортаудаленного сегмента РИАМС (или технических паспортов отдельных АРМ пользователей РИАМС):
- копия титульного листа с указанием объекта информатизации;
- копии листов с общими сведениями об объекте информатизации, листов со сведениями об основных технических средствах и системах (ОТСС), программном обеспечении и средствах защиты информацииобъекта информатизации(с указанием серийных/заводских номеров), листов со схемами размещения относительно границ контролируемой зоны организации, листов со сведениями об аттестации на соответствие требованиям безопасности информации (при наличии);
д) скриншоты (снимки экрана), подтверждающие выполнение необходимых конфигурационных настроек средств защиты информации, установленных на АРМ РИАМС, в удаленном сегменте РИАМС.
По запросу МО могут быть предоставлены инструкции по предоставлению скриншотов (снимки экрана), подтверждающих выполнение необходимых конфигурационных настроек средств защиты информации.
По результатам анализа предоставленных материалов – копий документов МО, – будет выполнена оценка соответствия медицинской организации установленным в РИАМС правилам работы с информацией (персональными данными), правилам (требованиям) безопасности информации.
|