В МИС МО ЧСЗ обрабатывается информация ограниченного доступа (распространения), содержащая, в том числе, сведения, составляющие врачебную тайну, и персональные данные, включающие в себя специальные категории персональных данных.
МО ЧСЗ должна обеспечивать защиту информации, обрабатываемой в МИС МО ЧСЗ, в том числе полученной из ЕГИСЗ, ГИС субъекта Российской Федерации и Иных ИС в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными Правительством Российской Федерации в соответствии с пунктом 2 части 3 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и требованиями раздела II Приказа N 911н.
При определении уровня защищенности персональных данных при их обработке в МИС МО ЧСЗ должно учитываться количество субъектов персональных данных, персональные данные которых доступны для обработки при информационном взаимодействии МИС МО ЧСЗ с ЕГИСЗ и ГИС субъекта Российской Федерации.
МИС МО ЧСЗ должна иметь подтверждение соответствия требованиям безопасности информации, определённым законодательством и нормативными правовыми актами Российской Федерации в области защиты информации.
Защита информации, обрабатываемой в МИС МО ЧСЗ, обеспечивается МО ЧСЗ путём принятия и реализации организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности такой информации.
Для обеспечения безопасности информации в МИС МО ЧСЗ должны применяться средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям безопасности информации.
Информационное взаимодействие МИС МО ЧСЗ с ЕГИСЗ, ГИС субъекта Российской Федерации и иными информационными системами должно осуществляться с использованием защищенной сети передачи данных. При этом участниками информационного взаимодействия должна быть обеспечена защита информации при передаче по каналам связи с применением средств криптографической защиты информации, сертифицированных ФСБ России.
В соответствии с пунктами 7 и 8 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", российские юридические лица и (или) индивидуальные предприниматели, которым на законном основании принадлежат информационные системы, функционирующие в сфере здравоохранения, являются субъектами критической информационной инфраструктуры, а их информационные системы являются объектами критической информационной инфраструктуры.
Оператором (владельцем) информационной системы в сфере здравоохранения - субъектом критической информационной инфраструктуры должна быть обеспечена безопасность такой информационной системы как объекта критической информационной инфраструктуры.
СОГЛАСОВАНО
Директор Департамента
цифрового развития
и информационных технологий
Министерства здравоохранения
Российской Федерации
Д.В.Селиванов
14 августа 2020 года
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
официальный сайт
Минздрава России
www.rosminzdrav.ru
по состоянию на 08.09.2020