Аттестация для подключения к «Документам ОМС» в ГИС ОМС: регуляторные требования и руководство к действию

Интеграция медицинских организаций, страховых компаний и органов власти с Государственной информационной системой обязательного медицинского страхования (ГИС ОМС) является обязательным требованием законодательства. Ключевым модулем системы является подсистема «Документы ОМС», обеспечивающая обмен данными в сфере здравоохранения.

Подключение к ГИС ОМС накладывает на участников строгие обязательства по информационной безопасности. Данная статья разбирает нормативную базу и предлагает алгоритм действий для обеспечения соответствия требованиям регуляторов.

Важно: Статья носит информационный характер и не является юридической консультацией. При подготовке документов рекомендуется обращаться к официальным источникам правовых актов.

---

1. Нормативная база: основные документы со ссылками

Работа в контуре ГИС ОМС регулируется следующими ключевыми документами:

Федеральное законодательство

Документ	Ссылка
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»	КонсультантПлюс
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»	КонсультантПлюс
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»	КонсультантПлюс

Постановления Правительства РФ

Документ	Ссылка
Постановление Правительства РФ от 11.06.2021 № 901 «Об утверждении Правил функционирования ГИС ОМС»	Гарант
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных…»	КонсультантПлюс
Постановление Правительства РФ от 12.04.2018 № 447 «О единой государственной информационной системе в сфере здравоохранения»	Гарант

Приказы ФСТЭК России

Документ	Ссылка
Приказ ФСТЭК России от 11.02.2013 № 17 «Требования о защите информации… в государственных информационных системах»	ФСТЭК
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер…»	ФСТЭК
Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления…»	ФСТЭК

Методические документы ФСТЭК России

Документ	Ссылка
«Методический документ. Меры защиты информации в государственных информационных системах» (от 11.02.2014)	ФСТЭК
«Методика определения актуальных угроз безопасности персональных данных…» (от 14.02.2008)	ФСТЭК
«Базовая модель угроз безопасности персональных данных…» (от 15.02.2008)	ФСТЭК
«Методика оценки угроз безопасности информации» (утв. 05.02.2021)	Контур.Норматив
Банк данных угроз безопасности информации ФСТЭК России	bdu.fstec.ru

ГОСТы и стандарты

Документ	Ссылка
ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»	CNTD
ГОСТ Р 56939-2016 / 2024 «Защита информации. Разработка защищенного программного обеспечения»	CNTD
ГОСТ Р 59547-2021 «Защита информации. Термины и определения»	CNTD

---

2. Кто обязан обеспечивать защиту и проходить аттестацию?

Согласно п. 10 Правил № 901, участниками информационной системы являются оператор (ФФОМС), субъекты (Минздрав, ТФОМС, медицинские организации, СМО) и пользователи.

Обязанности Оператора (ФФОМС)

Оператор несет ответственность за аттестацию самой ГИС ОМС. Согласно п. 24 Правил № 901, в ходе развития и эксплуатации системы осуществляется аттестация информационной системы на соответствие требованиям к защите информации.

Обязанности Субъектов (Медицинских организаций и др.)

Для медицинских организаций и иных субъектов подключение к ГИС ОМС означает необходимость приведения своих информационных систем (ИС) в соответствие с требованиями безопасности для обеспечения защищенного взаимодействия.

• Если ваша ИС является государственной: На нее напрямую распространяются Требования № 17. Такая система подлежит классификации и аттестации.
• Если ваша ИС не является государственной: Согласно п. 23 Правил № 901, программно-технические средства, используемые для взаимодействия, должны соответствовать ряду жестких требований (локализация, сертифицированные средства защиты).

Полезные ресурсы для подключения:

• Инструкции по подключению к ГИС ОМС на сайте ФФОМС
• Технологическая инструкция по подключению пользователей к ГИС ОМС (ТФОМС Удмуртии)

---

3. Ключевые требования к инфраструктуре

Прежде чем говорить об аттестации, необходимо убедиться, что инфраструктура соответствует базовым требованиям п. 23 Правил № 901:

1. Локализация: Программно-технические средства должны располагаться на территории Российской Федерации.
2. Язык: Обеспечение размещения информации на государственном языке РФ.
3. Сертификация средств защиты: Необходимо наличие действующих сертификатов ФСТЭК России и/или ФСБ России на средства защиты информации (СЗИ), включая антивирусную защиту, средства от несанкционированного доступа (НСД) и криптографию (п. 23 «в» Правил № 901, п. 11 Требований № 17).
   • Система сертификации ФСБ России
   • Порядок проведения сертификации (Приказ ФСТЭК от 01.12.2023 № 240)
4. Учет операций: Автоматизированное ведение электронных журналов учета операций (размещение, изменение, удаление информации) с фиксацией времени и пользователя (п. 23 «г» Правил № 901).

---

4. Пошаговое руководство по подготовке к подключению

Ниже приведен алгоритм действий для субъекта информационной системы (например, медицинской организации), направленный на выполнение регуляторных требований.

Шаг 1. Классификация информационной системы

Если ваша система подпадает под действие Требований № 17 (как ГИС или приравниваемая к ней в рамках соглашения с ТФОМС), необходимо определить класс защищенности.

• Основание: п. 14.2 Требований № 17 и Приложение № 1.
• Методика: Класс защищенности (К1, К2, К3) зависит от уровня значимости информации (УЗ 1, 2, 3) и масштаба системы (федеральный, региональный, объектовый).
  • УЗ 1 (Высокий): Существенные негативные последствия при нарушении безопасности.
  • УЗ 2 (Средний): Умеренные последствия.
  • УЗ 3 (Низкий): Незначительные последствия.
• Результат: Акт классификации информационной системы. Для большинства медицинских организаций, взаимодействующих с ГИС ОМС на региональном уровне, актуальны 2-й или 3-й классы защищенности.

Шаг 2. Определение угроз безопасности

Необходимо разработать модель угроз безопасности информации.

• Основание: п. 14.3 Требований № 17.
• Источник данных: Банк данных угроз безопасности информации ФСТЭК России.
• Методические основы:
  • «Методика определения актуальных угроз безопасности персональных данных…»
  • «Базовая модель угроз безопасности персональных данных…»
  • «Методика оценки угроз безопасности информации» (2021)
• Содержание: Описание системы, возможностей нарушителей, уязвимостей и последствий нарушения конфиденциальности, целостности и доступности.

Шаг 3. Выбор и реализация мер защиты

На основе класса защищенности и модели угроз выбираются меры защиты.

• Основание: п. 21, 22 Требований № 17 и Приложение № 2.
• Базовый набор мер: Включает идентификацию и аутентификацию, управление доступом, антивирусную защиту, регистрацию событий безопасности, контроль целостности и др.
• Методическая поддержка:
  • «Методический документ. Меры защиты информации в государственных информационных системах»
  • «Методический документ. Состав и содержание мероприятий и мер по защите информации…»
• Профили защиты сертифицированных средств:
  • Профили защиты межсетевых экранов
  • Профили защиты операционных систем
  • Профили защиты средств антивирусной защиты
  • Профили защиты средств доверенной загрузки

Шаг 4. Организационные меры

Защита информации не ограничивается программным обеспечением.

• Назначение ответственных: Назначение должностных лиц, ответственных за защиту информации (п. 9 Требований № 17).
• Документация: Разработка организационно-распорядительных документов (политики безопасности, инструкции пользователей, регламенты реагирования на инциденты) (п. 16.2 Требований № 17).
• Обучение: Информирование и обучение персонала не реже 1 раза в два года (п. 18.6 Требований № 17).
• Дополнительные требования при обработке персональных данных:
  • Постановление Правительства РФ от 01.11.2012 № 1119
  • Постановление Правительства РФ от 15.09.2008 № 687 (Положение об особенностях обработки ПДн)
  • Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)

Шаг 5. Аттестация информационной системы

Если ваша ИС классифицирована как ГИС или это требуется договором с оператором региональной системы ОМС:

• Основание: п. 17 Требований № 17, п. 24 Правил № 901.
• Процесс: Проведение аттестационных испытаний (экспертно-документальный метод, анализ уязвимостей, попытки НСД).
• Нормативная база по аттестации:
  • Положение по аттестации объектов информатизации по требованиям безопасности информации
  • Информационное сообщение ФСТЭК России от 23.06.2021 № 240/24/3057
• Результат: Аттестат соответствия, который выдается на весь срок эксплуатации системы (п. 17.4 Требований № 17).
• Важно: Ввод в действие системы осуществляется при наличии аттестата соответствия (п. 17.5 Требований № 17).

Шаг 6. Организация доступа и взаимодействие

Для непосредственного подключения к ГИС ОМС необходимо выполнить требования по доступу.

• Идентификация: Доступ субъектов к подсистемам осуществляется после регистрации и авторизации с использованием Единой системы идентификации и аутентификации (ЕСИА) (п. 14 «б» Правил № 901).
• Электронная подпись: При формировании и обмене документами используются усиленные квалифицированные или неквалифицированные электронные подписи (п. 7 Правил № 901).
  • Приказ ФСБ России от 10.07.2014 № 378 (Требования к СКЗИ)
• Соглашения: Заключение соглашений об информационном взаимодействии с оператором региональной системы ОМС (п. 28 Правил № 901).
• Методические рекомендации по интеграции:
  • Методические рекомендации по организации информационного взаимодействия МИС с ЕГИСЗ

---

5. Типовые ошибки и риски

1. Использование несертифицированных СЗИ: Применение средств защиты без сертификатов ФСТЭК/ФСБ является нарушением п. 23 «в» Правил № 901 и п. 11 Требований № 17.
   • Проверка сертификатов: Реестр сертификатов ФСТЭК, Реестр сертификатов ФСБ
2. Отсутствие журналов аудита: Невозможность предоставить логи действий пользователей нарушает требование о ведении электронных журналов учета операций.
3. Неактуальная модель угроз: Если в системе изменились технологии или масштаб, класс защищенности и модель угроз должны быть пересмотрены (п. 14.2 Требований № 17).
4. Нарушение локализации: Размещение данных или использование серверов за пределами РФ запрещено (п. 23 «а» Правил № 901).
5. Игнорирование требований к КИИ: Если информационная система медицинской организации отнесена к объектам критической информационной инфраструктуры, применяются дополнительные требования:
   • Федеральный закон № 187-ФЗ «О безопасности КИИ»
   • Приказ ФСТЭК России от 25.12.2017 № 239 (Требования к безопасности КИИ)

---

6. Заключение

Подключение к модулю «Документы ОМС» в рамках ГИС ОМС требует комплексного подхода к информационной безопасности. Для медицинских организаций и иных субъектов это означает не только техническую интеграцию, но и приведение своих информационных систем в соответствие с Постановлением № 901 и Приказом ФСТЭК № 17.

Краткий чек-лист готовности:

• [ ] Серверное оборудование и ПО расположены в РФ.
• [ ] Установлены сертифицированные средства защиты информации (ФСТЭК/ФСБ).
• [ ] Определен класс защищенности системы (для ГИС).
• [ ] Разработана модель угроз безопасности с использованием Банка данных угроз ФСТЭК.
• [ ] Внедрены меры защиты согласно базовому набору (Приложение № 2 к Приказу № 17) и Методическому документу ФСТЭК.
• [ ] Настроена интеграция с ЕСИА для доступа пользователей.
• [ ] Получен аттестат соответствия (если требуется для вашей категории системы).
• [ ] Заключено соглашение об информационном взаимодействии с ТФОМС/ФФОМС.
• [ ] Выполнены требования по защите персональных данных (Постановление № 1119).

Соблюдение этих требований гарантирует не только легальность работы в системе ОМС, но и защиту персональных данных застрахованных лиц и медицинской информации от утечек и несанкционированного доступа.

Статья подготовлена на основе открытых источников и актуальных нормативных правовых актов Российской Федерации по состоянию на май 2026 года.