Аттестация ГИС ОМС
Какая же аттестация необходима по вектору ГИС ОМС — давайте разбираться.
По вектору ГИС ОМС существует два типа оператора, чьи информационные системы должны быть защищены и аттестованы:
- Федеральная ГИС ОМС (оператор ФОМС)
- Медицинские информационные системы (операторы сами медицинские учреждения)
Необходимость защиты и аттестации информационной системы медицинского учреждения обусловлена необходимостью ее подключения к защищенной и аттестованной информационной системе ГИС ОМС.
Т.е. подключаемая к ГИС ОМС система должна соответствовать тому же классу защищенности, как ГИС ОМС, чтобы иметь право к ней подключаться. Соответствие классу подтверждается аттестатом соответствия требованиям безопасности информации.
Порядок подготовки и аттестации информационных систем установлен приказом ФСТЭК № 17, по которому собственно и была аттестована ГИС ОМС.
Требования ГИС ОМС
Требования для Федеральной ГИС ОМС установлены в:
Требования для информационных систем медицинских учреждений установлены нормативными документами ФОМС, с которыми можно ознакомиться на сайте ФОМС в разделе «Инструкции»:
Главная / Система ОМС РФ / Федеральные медицинские организации / Документы ОМС / Инструкции
Технологическую инструкцию по подключению к ГИС ОМС можно посмотреть по ссылке.
Требования по защите ГИС ОМС?
Для Федеральной ГИС ОМС требования установлены в самом постановлении Правительства:
А также в требованиях 17 приказа ФСТЭК, который и устанавливает порядок подготовки и аттестации информационных систем:
Порядок аттестации медицинских информационных систем мед. учреждений аналогично регламентирован приказом ФСТЭК № 17, а также на сайте ФОМС имеется конкретная инструкция:
Защита АРМ ГИС ОМС?
Конкретная инструкция на сайте ФОМС говорит о следующем:
На автоматизированных рабочих места (АРМ) пользователей для подключения к ГИС ОМС необходимы:
- СКЗИ «КриптоПро CSP» версия 4.0;
- СКЗИ «Континент-АП» версия 3.9, в случае подключения к сети управления подсистемы «Документы ОМС» через АПКШ «Континент» версии 3.9 с ролью «Сервер Доступа» (для обслуживающего персонала), или СКЗИ «Континент TLS VPN Клиент» или СКЗИ Криптопро CSP версий 4 или 5.0, в случае если подключение к подсистеме «Документы ОМС» через СКЗИ «Континент TLS VPN Сервер» версия 2
По отношению к АРМ должны быть применены меры защиты информации:
- на АРМ должны применяться средств защиты информации (СрЗИ), прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации
- должен быть предусмотрен контроль эффективности СрЗИ, применяемых на АРМ
с учетом:
- результатов классификации информационной системы, в состав которой входят АРМ;
- характеристик информационной системы, в состав которой входят АРМ.
Что это означает?
Это означает, что АРМ, с которого осуществляется подключение к федеральной ГИС ОМС, также должен соответствовать Приказу ФСТЭК № 17, по которому была проведена аттестация федеральной ГИС ОМС, а в частности:
- наличие на АРМ сертифицированных средств защиты информации (СЗИ от НСД, антивирус, межсетевой экран и др. согласно установленного класса защиты)
- наличие аттестата соответствия требованиям безопасности информации (см. п. 13 и 17 приказа ФСТЭК № 17).
Внимание: класс/уровень защищенности рабочей станции для подключения к ГИС ОМС должен соответствовать классу/уровню защищенности федеральной ГИС ОМС.
Сроки аттестации?
Срок аттестации во многом зависит от масштаба медицинской информационной системы, т.е. количества рабочих станций и возможно серверов для подключения к ГИС ОМС.
Помимо этого срок прямо зависит от наличия сертифицированных средств защиты для подготовки информационной системы к аттестации, так как их срок закупки зачастую составляет от 2 недель.
Лишь для примера приведем сроки аттестации одного локального компьютера в офисе медицинского учреждения:
Обследование — 1 неделя
Проектирование системы защиты — 1 неделя
Реализация системы защиты — 1 неделя
Аттестационные испытания — 1 неделя
Итого, минимальный срок составляет 1 месяц.
Стоимость аттестации?
Стоимость прямо зависит от масштаба медицинской информационной системы и самого медицинского учреждения, а также:
- географическое распределение (сколько офисов и в каких городах)
- наличие закупленных сертифицированных средств защиты
- наличие подготовки согласно 17 приказа ФСТЭК
Например, для малого медицинского учреждения стоимость аттестации одной локальной (в офисе) рабочей станции составляет 90 тыс. руб., а также затраты на средства защиты 55 тыс. руб.
Итого, минимальная стоимость аттестации составляет 145 тыс. руб.
Внимание: для серверных компонент и особенно в ЦОД, а также для среднего и крупного медицинского учреждения — это совершенно другие цифры.
Как выглядит аттестат ГИС ОМС?
Все просто, вот так:
8(800)-550-44-71