Аттестация ЕГИСЗ

Итак, по сути по вектору ЕГИСЗ существует несколько звеньев, чьи информационные системы должны быть защищены и аттестованы (аттестация ЕГИСЗ):

  1. Федеральный сегмент ЕГИСЗ (управляет федеральный оператор ЕГИСЗ)
  2. Региональный сегмент ЕГИСЗ (управляет региональный государственный оператор сегмента ЕГИСЗ — поставщик услуги по передачи данных в ЕГИС)
  3. Оператор иной информационной системы (управляет коммерческая организация — поставщик услуги по передачи данных в ЕГИС)
  4. Медицинские учереждения

 

Требования ЕГИСЗ

Для Федерального сегмента (ФС) ЕГИСЗ требования установлены Постановлением Правительства РФ от 9 февраля 2022 г. N 140 «О единой государственной информационной системе в сфере здравоохранения».


Требования для регионального сегмента (РС), устанавливаются региональными органами здравоохранения, но по сути они базируются на федеральных. Вот пример конкретных требований по безопасности, установленных оператором регионального сегмента ЕГИСЗ Тюменской области. А также пример постановления о региональном сегменте Амурской области.


Само собой, любое взаимодействие между РС ЕГИСЗ и ФС ЕГИСЗ осуществляется по определенным правилам, установленным соответствующим регламентом.


Далее про требования к операторам иных информационных систем, т.е. к коммерческим организациям, которые оказывают услугу по передаче данных в ЕГИСЗ. Для них существует постановление Правительства № 447 от 12 апреля 2018 г.


И в завершении, требования к медицинским учреждениям:

 

 

Требования по защите ЕГИСЗ?

Для Федеральной ЕГИСЗ устанавливаются наивысшие требования по защите и аттестации информационной системы.

Общая информация содержится в указанном выше постановлении Правительства № 140. А конкретный класс/уровень защищенности устанавливается федеральным оператором по результатам обследования системы и моделирования угроз безопасности. Для федеральной ГИС это не ниже 2 класса / уровня защищенности.


Для Регионального сегмента ЕГИСЗ — требования по защите и аттестации информации устанавливает сам региональный оператор, опираясь на федеральные требования. Класс защищенности также не может быть ниже 2-го класса / уровня защищенности, при обработке данных не менее 100 тыс. субъектов персональных данных, иначе класс/уровень 3 (третий).

Рекомендуется устанавливать уровень/класс защищенности не ниже 2 (второго), так как региональный сегмент агрегирует данные от множества клиник.


Для оператора иных систем утверждены конкретные требования — это постановление Правительства № 447, которые прямо говорят о необходимости наличия аттестата соответствия по требованиям безопасности информации:

Класс/уровень защищенности рекомендуется устанавливать не ниже 2 (второго), так как оператор иных систем будет агрегировать у себя персональные данные от множества клиник и соответственно общий их объем точно перевалит за 100 тыс.


Для медицинских учреждений требования аналогичны операторам иных информационных систем, т.е. необходимо подготовить и аттестовать рабочие места для подключения и передачи данных в ЕГИСЗ по требованиям безопасности информации:

 

Это следует из постановления Правительства № 140:

  • пункт 48 говорит: Пользователи информации, содержащейся в единой системе, обязаны выполнять установленные нормативными правовыми актами Российской Федерации требования по защите информации, содержащейся в единой системе.

А нормативные правовые акты это:

В общем требуется подготовить и аттестовать компьютерную систему медицинского учреждения по требованиям безопасности персональных данных и государственных информационных систем, ну как минимум, те рабочие станции с которых осуществляется передача данных в ЕГИСЗ.


Внимание: класс/уровень защищенности рабочей станции для подключения к ЕГИСЗ  должен соответствовать классу/уровню защищенности федеральной, региональной ЕГИСЗ или оператору иной системы — в зависимости от того куда вы подключаетесь.

 

Аттестат ЕГИСЗ?

Федеральный сегмент ЕГИСЗ, региональный сегмент ЕГИСЗ, оператор иной информационной системы и медицинское учреждение (клиника) должны иметь аттестат соответствия не ниже 2 (второго) класса (уровня) защищенности, в соответствии с требованиями следующих нормативных документов:

Т.е. система должна иметь аттестат, подтверждающий ее соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам второго класса защищенности, а также соответствие требованиям безопасности информации, предъявляемым к информационным системам персональных данных второго уровня защищенности.

 

Средства защиты для ЕГИСЗ?

Согласно указанным требованиям, чтобы аттестовать компьютер по 2 (второму) уровню защищенности необходимо установить, как минимум следующий набор средств защиты информации (СЗИ):

  • средство защиты от НСД;
  • средство антивирусной защиты (АВЗ);
  • средство обнаружения вторжений (СОВ);
  • средство доверенной загрузки (СДЗ);
  • средство анализа защищенности (АНЗ);
  • средство резервного копирования и восстановления (СРКВ);
  • средства межсетевого экранирования (МЭ);
  • средство криптографической защиты информации (СКЗИ).

Только тогда можно будет пройти аттестацию ЕГИСЗ и получить заветный аттестат.

Внимание: данный набор СЗИ минимально необходим, но в отдельных случаях может быть дополнен в соответствии с актуальными угрозами безопасности информации, а также по решению владельца системы.

Конкретный набор средств защиты определяется по результатам обследования и проектирования системы защиты.

Как правило, это делается лицензиатом ФСТЭК России по договору.

У нас, кстати, богатый опыт проведения таких работ.

 

Контроль: аттестация ЕГИСЗ?

Периодический контроль аттестованной системы (аттестация ЕГИСЗ) для подключения к ЕГИСЗ устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года.

Это справедливо для систем 2 (второго) класса (уровня) защищенности.

Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Для оценки точной стоимости аттестации вашего АРМ вы можете свободно поинтересоваться по телефону:
8(800)-550-44-71
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

 

Срок: аттестация ЕГИСЗ?

Срок аттестации информационной системы занимает не один день, а достаточно продолжительное время.

Поэтому вот типовые сроки аттестации одной или нескольких рабочих станций в клинике:

  • Обследование и формирование требований к системе — около 1 нед.
  • Проектирование системы защиты — около 1 нед.
  • Закупка и внедрение средств защиты — около 1 нед.
  • Аттестационные испытания — около 1 нед.

Итого около 1 месяца.

Сроки во много зависят от:

  1. Скорости предоставления исходных данных
  2. Сроков согласования отчетных документов
  3. Качества коммуникации
  4. Сроки закупки средств защиты занимают от 2 до 4 недель

А для проектов с аттестацией шлюзов на базе серверного оборудования — сроки в разы выше.

 

Стоимость: аттестация ЕГИСЗ?

Цена прямо зависит от количественных (масштаба) и качественных (начинки) характеристик системы.

Для одного локального компьютера это одна стоимость, а для серверов и особенно в ЦОД — это другая стоимость.

Поэтому приведем ориентир подготовки и аттестации одного компьютера в небольшой клинике (малый бизнес):

Услуги — 90 тыс.

Средства защиты — 55 тыс.

Итого: 145 тыс «под ключ».

Для шлюза или в масштабе ИТ-инфраструктуры — это совершенно другая стоимость.

 

Скачать коммерческое предложение на аттестацию ЕГИСЗ
СКАЧАТЬ PDF

Как выглядит аттестат ЕГИСЗ?

Вот так:

аттестация егисз