При работе с данными персонифицированного учета медицинской помощи МИС должна реализовывать следующий набор функций:
1. Аутентификацию и авторизацию прав доступа сотрудников МО при входе в МИС;
2. Регистрацию факта оказания медицинской помощи пациенту, включая операции, лечебные и диагностические манипуляции;
3. Хранение и возможность передачи сведений в сводный реестр персонифицированного учета сведений об оказанной медицинской помощи;
4. Формирование и передачу в СМО счета на оплату лечения и получение из СМО сведения об оплате или отказе оплаты. Для проведения медицинской экспертизы формирование и передачу в ответ на запрос персонально идентифицируемых сведений о медицинской помощи, оказанной пациенту;
5. Формирование, придание юридической значимости и передачу официальных форм учетно-отчетной медицинской документации;
6. Формирование отчетов и форм, в том числе из состава медицинской документации.
Все мероприятия по защите информации, передаваемой учреждениями здравоохранения, должны осуществляться в соответствии с требованиями:
1. Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
2. Федерального закона от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи";
3. Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи";
6. Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008;
7. Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14.02.2008;
8. Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21.02.2008 N 149/54-144;
9. Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21.02.2008 N 149/6/6-622.
10. Специальных требований и рекомендаций по технической защите конфиденциальной информации, утвержденных приказом Гостехкомиссии от 30.08.2002 N 282;
А также иных нормативных правовых актов Российской Федерации по защите персональных данных.
Принципы построения системы защиты:
основным подходом к построению защиты информационных систем здравоохранения Калужской области является построение защищенной виртуальной сети передачи данных, защита от несанкционированного доступа к серверам и терминальным рабочим станциям, обеспечение юридической значимости документооборота с использованием сертифицированных средств электронной цифровой подписи, а также осуществление антивирусной защиты. Построение системы планируется осуществлять поэтапно. В рамках данной концепции предусмотрены следующие этапы:
1. Предпроектное обследование и аудит исходной защищенности информационных систем, входящих в общую информационную систему Министерства здравоохранения Калужской области;
2. Вторым этапом работ планируется установка, настройка и ввод в эксплуатацию средств защиты информации в соответствии с разработанным техническим заданием в рамках исполнения работ по первому этапу;
3. Оценка соответствия требованиям безопасности построенной информационной системы по требованиям ФСТЭК, ФСБ России и Роскомнадзора (декларирование или аттестация в случае необходимости) будет осуществляться в рамках дальнейшего финансирования.
На предпроектной стадии планируется проведение следующих мероприятий:
- выявление и анализ процессов обработки ПДн;