Аттестация ГИС ОМС

Какая же аттестация необходима по вектору ГИС ОМС — давайте разбираться.

По вектору ГИС ОМС существует два типа оператора, чьи информационные системы должны быть защищены и аттестованы:

  1. Федеральная ГИС ОМС (оператор ФОМС)
  2. Медицинские информационные системы (операторы сами медицинские учреждения)

Необходимость защиты и аттестации информационной системы медицинского учреждения обусловлена необходимостью ее подключения к защищенной и аттестованной информационной системе ГИС ОМС.

Т.е. подключаемая к ГИС ОМС система должна соответствовать тому же классу защищенности, как ГИС ОМС, чтобы иметь право к ней подключаться. Соответствие классу подтверждается аттестатом соответствия требованиям безопасности информации.

Порядок подготовки и аттестации информационных систем установлен приказом ФСТЭК № 17, по которому собственно и была аттестована ГИС ОМС.

 

Требования ГИС ОМС

Требования для Федеральной ГИС ОМС установлены в:

Требования для информационных систем медицинских учреждений установлены нормативными документами ФОМС, с которыми можно ознакомиться на сайте ФОМС в разделе «Инструкции»:

Главная / Система ОМС РФ / Федеральные медицинские организации / Документы ОМС / Инструкции

Технологическую инструкцию по подключению к ГИС ОМС можно посмотреть по ссылке.

 

Требования по защите ГИС ОМС?

Для Федеральной ГИС ОМС требования установлены в самом постановлении Правительства:

А также в требованиях 17 приказа ФСТЭК, который и устанавливает порядок подготовки и аттестации информационных систем:

 

Порядок аттестации медицинских информационных систем мед. учреждений аналогично регламентирован приказом ФСТЭК № 17, а также на сайте ФОМС имеется конкретная инструкция:

 

Защита АРМ ГИС ОМС?

Конкретная инструкция на сайте ФОМС говорит о следующем:

На автоматизированных рабочих места (АРМ) пользователей для подключения к ГИС ОМС необходимы:

  • СКЗИ «КриптоПро CSP» версия 4.0;
  • СКЗИ «Континент-АП» версия 3.9, в случае подключения к сети управления подсистемы «Документы ОМС» через АПКШ «Континент» версии 3.9 с ролью «Сервер Доступа» (для обслуживающего персонала), или СКЗИ «Континент TLS VPN Клиент» или СКЗИ Криптопро CSP версий 4 или 5.0, в случае если подключение к подсистеме «Документы ОМС» через СКЗИ «Континент TLS VPN Сервер» версия 2

По отношению к АРМ должны быть применены меры защиты информации:

  • на АРМ должны применяться средств защиты информации (СрЗИ), прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации
  • должен быть предусмотрен контроль эффективности СрЗИ, применяемых на АРМ

с учетом:

  • результатов классификации информационной системы, в состав которой входят АРМ;
  • характеристик информационной системы, в состав которой входят АРМ.

Что это означает?

Это означает, что АРМ, с которого осуществляется подключение к федеральной ГИС ОМС, также должен соответствовать Приказу ФСТЭК № 17, по которому была проведена аттестация федеральной ГИС ОМС, а в частности:

  • наличие на АРМ сертифицированных средств защиты информации (СЗИ от НСД, антивирус, межсетевой экран и др. согласно установленного класса защиты)
  • наличие аттестата соответствия требованиям безопасности информации (см. п. 13 и 17 приказа ФСТЭК № 17).

 

Внимание: класс/уровень защищенности рабочей станции для подключения к ГИС ОМС должен соответствовать классу/уровню защищенности федеральной ГИС ОМС.

 

Сроки аттестации?

Срок аттестации во многом зависит от масштаба медицинской информационной системы, т.е. количества рабочих станций и возможно серверов для подключения к ГИС ОМС.

Помимо этого срок прямо зависит от наличия сертифицированных средств защиты для подготовки информационной системы к аттестации, так как их срок закупки зачастую составляет от 2 недель.

Лишь для примера приведем сроки аттестации одного локального компьютера в офисе медицинского учреждения:

Обследование — 1 неделя

Проектирование системы защиты — 1 неделя

Реализация системы защиты — 1 неделя

Аттестационные испытания — 1 неделя

Итого, минимальный срок составляет 1 месяц.

 

Стоимость аттестации?

Стоимость прямо зависит от масштаба медицинской информационной системы и самого медицинского учреждения, а также:

  • географическое распределение (сколько офисов и в каких городах)
  • наличие закупленных сертифицированных средств защиты
  • наличие подготовки согласно 17 приказа ФСТЭК

Например, для малого медицинского учреждения стоимость аттестации одной локальной (в офисе) рабочей станции составляет 90 тыс. руб., а также затраты на средства защиты 55 тыс. руб.

Итого, минимальная стоимость аттестации составляет 145 тыс. руб.


Внимание:
для серверных компонент и особенно в ЦОД, а также для среднего и крупного медицинского учреждения — это совершенно другие цифры.

 

Как выглядит аттестат ГИС ОМС?

Все просто, вот так:

аттестация ГИС ОМС

Для оценки точной стоимости аттестации вашего АРМ вы можете свободно поинтересоваться по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК