6 ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ

Система (подсистема) ЛЛО является подсистемой государственной информационной системы в сфере здравоохранения субъекта Российской Федерации. Информация, содержащаяся в Системе (подсистеме) ЛЛО, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, законодательством Российской Федерации в области охраны здоровья граждан, требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, законодательством Российской Федерации в области персональных данных и требованиями раздела II приказа Минздрава России от 24.12.2018 N 911н.

Защита информации, содержащейся в Системе (подсистеме) ЛЛО, обеспечивается путём принятия и реализации организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности такой информации.

Безопасность информации ограниченного доступа и персональных данных при их обработке в Системе (подсистеме) ЛЛО обеспечивается оператором и (или) лицом, предоставляющим ему вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора.
Для обеспечения безопасности информации в Системе (подсистеме) ЛЛО должны применяться средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям безопасности информации.

Система (подсистема) ЛЛО должна иметь подтверждение соответствия требованиям безопасности информации в соответствии с действующими документами ФСТЭК России.

При передаче информации по каналам связи между Системой (подсистемой) ЛЛО и информационными системами участников информационного взаимодействия должна быть обеспечена защита информации с применением средств криптографической защиты информации, сертифицированных ФСБ России.

Создание Системы (подсистемы) ЛЛО должно осуществляться в соответствии с требованиями законодательства Российской Федерации и нормативных правовых актов в области защиты информации, указанных в Приложении 6, и на основании технического задания с учётом модели угроз безопасности информации, а также уровней защищённости персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных.

Модель угроз безопасности информации и техническое задание на создание Системы (подсистемы) ЛЛО согласуются с ФСТЭК России и ФСБ России в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации. Техническое задание на создание Системы (подсистемы) ЛЛО должно включать требования к защите информации, содержащейся в Системе (подсистеме) ЛЛО, сформированные в соответствии с нормативными документами в области безопасности информации.

Основанием для ввода Системы (подсистемы) ЛЛО в эксплуатацию является правовой акт органа исполнительной власти о вводе Системы (подсистемы) ЛЛО в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода Системы (подсистемы) ЛЛО в эксплуатацию и устанавливающий срок начала эксплуатации.

Ввод Системы (подсистемы) ЛЛО в эксплуатацию не допускается в случае невыполнения установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации.

При разработке требований к доработке медицинских информационных систем медицинских организаций и информационных систем фармацевтических организаций в рамках проектирования взаимодействия Системы (подсистемы) ЛЛО с медицинскими информационными системами медицинских организаций и информационными системами фармацевтических организаций при автоматизации процессов, указанных в абзаце 1 Введения к настоящему документу, необходимо учитывать, что информация, содержащаяся в этих информационных системах, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, законодательством Российской Федерации в области охраны здоровья граждан, законодательством Российской Федерации в области персональных данных и требованиями раздела II приказа Минздрава России от 24.12.2018 N 911н.

При определении уровня защищенности персональных данных при их обработке в медицинских информационных системах медицинских организаций и информационных системах фармацевтических организаций должно учитываться количество субъектов персональных данных, персональные данные которых доступны для обработки при информационном взаимодействии медицинских информационных системах медицинских организаций и информационных систем фармацевтических организаций с ЕГИСЗ и ГИС субъекта Российской Федерации.

В соответствии с пунктами 7 и 8 статьи 2 Федерального закона от 26.07.2017 N 187-ФЗ, государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на законном основании принадлежат информационные системы, функционирующие в сфере здравоохранения, являются субъектами критической информационной инфраструктуры, а их информационные системы являются объектами критической информационной инфраструктуры.

Оператором (владельцем) информационной системы в сфере здравоохранения — субъектом критической информационной инфраструктуры должна быть обеспечена безопасность такой информационной системы как объекта критической информационной инфраструктуры.

Если Вам понравилась и была полезна информация, то делитесь ей со своими друзьями и сохраняйте в своих любимых социальных сетях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *