Действующий

ОБ УТВЕРЖДЕНИИ ПРОГРАММЫ МОДЕРНИЗАЦИИ ЗДРАВООХРАНЕНИЯ КАЛУЖСКОЙ ОБЛАСТИ НА 2011 - 2016 ГОДЫ (с изменениями на: 01.02.2016)


Функциональные требования


При работе с данными персонифицированного учета медицинской помощи МИС должна реализовывать следующий набор функций:

1. Аутентификацию и авторизацию прав доступа сотрудников МО при входе в МИС;

2. Регистрацию факта оказания медицинской помощи пациенту, включая операции, лечебные и диагностические манипуляции;

3. Хранение и возможность передачи сведений в сводный реестр персонифицированного учета сведений об оказанной медицинской помощи;

4. Формирование и передачу в СМО счета на оплату лечения и получение из СМО сведения об оплате или отказе оплаты. Для проведения медицинской экспертизы формирование и передачу в ответ на запрос персонально идентифицируемых сведений о медицинской помощи, оказанной пациенту;

5. Формирование, придание юридической значимости и передачу официальных форм учетно-отчетной медицинской документации;

6. Формирование отчетов и форм, в том числе из состава медицинской документации.

Все мероприятия по защите информации, передаваемой учреждениями здравоохранения, должны осуществляться в соответствии с требованиями:

1. Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

2. Федерального закона от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи";

3. Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи";

4. Постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";

5. Приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных";

6. Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008;

7. Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14.02.2008;

8. Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21.02.2008 N 149/54-144;

9. Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21.02.2008 N 149/6/6-622.

10. Специальных требований и рекомендаций по технической защите конфиденциальной информации, утвержденных приказом Гостехкомиссии от 30.08.2002 N 282;

11. Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

12. Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

А также иных нормативных правовых актов Российской Федерации по защите персональных данных.

Принципы построения системы защиты:

основным подходом к построению защиты информационных систем здравоохранения Калужской области является построение защищенной виртуальной сети передачи данных, защита от несанкционированного доступа к серверам и терминальным рабочим станциям, обеспечение юридической значимости документооборота с использованием сертифицированных средств электронной цифровой подписи, а также осуществление антивирусной защиты. Построение системы планируется осуществлять поэтапно. В рамках данной концепции предусмотрены следующие этапы:

1. Предпроектное обследование и аудит исходной защищенности информационных систем, входящих в общую информационную систему Министерства здравоохранения Калужской области;

2. Вторым этапом работ планируется установка, настройка и ввод в эксплуатацию средств защиты информации в соответствии с разработанным техническим заданием в рамках исполнения работ по первому этапу;

3. Оценка соответствия требованиям безопасности построенной информационной системы по требованиям ФСТЭК, ФСБ России и Роскомнадзора (декларирование или аттестация в случае необходимости) будет осуществляться в рамках дальнейшего финансирования.

На предпроектной стадии планируется проведение следующих мероприятий:

- выявление и анализ процессов обработки ПДн;