Внедрение Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) стало обязательным этапом цифровизации отрасли. Для медицинских организаций (МО) и разработчиков медицинских информационных систем (МИС) подключение к ЕГИСЗ подразумевает не только техническую интеграцию, но и строгое соблюдение требований по защите информации.
В обиходе процесс подтверждения соответствия системы требованиям безопасности часто называют «аттестацией для ЕГИСЗ». Данная статья разбирает нормативную базу, уровни защищённости и пошаговый алгоритм действий для успешного подключения.
1. НОРМАТИВНО-ПРАВОВАЯ БАЗА: НА КАКИЕ ДОКУМЕНТЫ ОПИРАТЬСЯ
Требования к защите информации при взаимодействии с ЕГИСЗ регламентированы несколькими ключевыми документами. Игнорирование любого из них может стать основанием для отказа в подключении.
| Документ | Что регулирует | Ссылка |
|---|---|---|
| ФЗ-152 «О персональных данных» | Базовые принципы обработки ПДн, обязанности оператора, права субъектов | consultant.ru |
| ФЗ-149 «Об информации…» | Требования к защите информации в ГИС | consultant.ru |
| ФЗ-187 «О безопасности КИИ» | Требования к критической информационной инфраструктуре | consultant.ru |
| Постановление Правительства РФ № 140 | Положение о ЕГИСЗ: структура, участники, защита информации | garant.ru |
| Постановление Правительства РФ № 447 | Правила взаимодействия «иных ИС» с ЕГИСЗ, требование аттестата | garant.ru |
| Постановление Правительства РФ № 1119 | Требования к защите ПДн, 4 уровня защищённости | consultant.ru |
| Приказ ФСТЭК России № 21 | Состав и содержание мер защиты ПДн | fstec.ru |
| Приказ ФСТЭК России № 17 | Требования к защите информации в ГИС | fstec.ru |
| Приказ ФСТЭК России № 239 | Требования к безопасности значимых объектов КИИ | fstec.ru |
| Приказ ФСБ России № 378 | Меры криптографической защиты ПДн | garant.ru |
| Методические рекомендации Минздрава (2020) | Порядок взаимодействия МИС частных МО с ЕГИСЗ | garant.ru |
2. КТО ДОЛЖЕН ОБЕСПЕЧИВАТЬ БЕЗОПАСНОСТЬ?
В соответствии с п. 63–65 Положения о ЕГИСЗ (Постановление № 140) и п. 11 Постановления № 447, защита информации обеспечивается на двух уровнях:
- Оператор ЕГИСЗ (Минздрав России): Отвечает за защиту центральной инфраструктуры, подсистем и каналов связи федерального уровня.
- Участники информационного взаимодействия (МО, владельцы МИС): Обязаны обеспечить защиту информации в своих локальных системах (МИС) перед передачей данных в ЕГИСЗ.
Согласно п. 11 Постановления № 447, к заявке на подключение «иной информационной системы» должен быть приложен аттестат соответствия системы защиты информации требованиям безопасности.
Важно: Аттестация проводится в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации.
3. КЛЮЧЕВЫЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
На основе анализа нормативных документов можно выделить пять ключевых блоков требований.
3.1. Защита персональных данных (ПДн)
Медицинские данные относятся к специальной категории ПДн (состояние здоровья). Согласно Постановлению № 1119, необходимо определить уровень защищённости ИСПДн (всего их 4).
Факторы влияния:
- Объём обрабатываемых данных (более или менее 100 000 субъектов);
- Тип угроз (1, 2 или 3 тип) — определяется по Базовой модели угроз ФСТЭК и Методике определения актуальных угроз;
- Категория данных (специальные, биометрические, иные).
Меры защиты: Регламентируются Приказом ФСТЭК № 21. Включают 15 групп мер: идентификация и аутентификация, управление доступом, антивирусная защита, регистрация событий и др.
Для актуализации угроз рекомендуется использовать Банк данных угроз ФСТЭК и Методику оценки угроз безопасности информации (ФСТЭК, 2021).
3.2. Локализация данных
Согласно п. 6 Постановления № 447 и ч. 5 ст. 18 ФЗ-152, программно-технические средства, обрабатывающие сведения о гражданах РФ, должны располагаться на территории Российской Федерации. Запись и хранение ПДн граждан РФ на серверах за пределами РФ запрещены.
3.3. Использование сертифицированных средств защиты (СЗИ)
Для нейтрализации актуальных угроз необходимо применять средства защиты информации, прошедшие оценку соответствия (сертифицированные ФСТЭК или ФСБ России).
Требования к классам СЗИ (п. 12 Приказа ФСТЭК № 21):
| Уровень защищённости ПДн | Класс СЗИ | Уровень доверия | Класс СВТ |
|---|---|---|---|
| 1 | не ниже 4 | не ниже 4 | не ниже 5 |
| 2 | не ниже 5 | не ниже 5 | не ниже 5 |
| 3 | 6 | 6 | не ниже 5 |
| 4 | 6 | 6 | не ниже 6 |
Порядок сертификации СЗИ установлен Приказом ФСТЭК России от 01.12.2023 № 240.
Криптографическая защита: Передача данных в ЕГИСЗ должна осуществляться по защищённым каналам связи с применением сертифицированных ФСБ средств (Приказ ФСБ № 378).
3.4. Безопасность критической информационной инфраструктуры (КИИ)
Согласно Разделу 5 Методических рекомендаций Минздрава и ФЗ-187, российские юридические лица, которым принадлежат информационные системы в сфере здравоохранения, являются субъектами КИИ.
Необходимые действия:
- Провести категорирование объекта КИИ (Постановление Правительства № 127);
- Выполнить требования Приказа ФСТЭК № 239 для значимых объектов;
- Подключиться к системе ГосСОПКА (Приказ ФСТЭК № 236).
3.5. Организационные меры
Безопасность не ограничивается «железом» и софтом. Требуется:
- Назначение ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152);
- Разработка комплекта документации: политика обработки ПДн, регламенты, приказы (п. 1 ст. 18.1 ФЗ-152);
- Обучение сотрудников;
- Регулярный контроль (не реже 1 раза в 3 года согласно п. 17 Постановления № 1119).
Дополнительные методические указания содержатся в Методическом документе «Меры защиты информации в государственных информационных системах» (ФСТЭК, 2014).
4. ПОШАГОВОЕ РУКОВОДСТВО К ДЕЙСТВИЯМ
Процесс подготовки информационной системы к подключению к ЕГИСЗ можно разделить на следующие этапы.
Этап 1. Аудит и моделирование угроз
- Инвентаризация: Составьте полный перечень ИС, серверов, рабочих мест и каналов связи, участвующих в обмене данными с ЕГИСЗ.
- Классификация ИСПДн: Определите уровень защищённости ПДн согласно Постановлению № 1119.
- Модель угроз: Разработайте модель угроз безопасности ПДн на основе Базовой модели угроз ФСТЭК и Методики определения актуальных угроз.
Этап 2. Проектирование системы защиты
- Выбор мер: На основе модели угроз и уровня защищённости выберите необходимые меры из Приказа ФСТЭК № 21.
- Подбор СЗИ: Выберите сертифицированные средства защиты (межсетевые экраны, средства криптографии, антивирусы, системы обнаружения вторжений). При выборе руководствуйтесь соответствующими профилями защиты:
- Профили защиты межсетевых экранов
- Профили защиты операционных систем
- Профили защиты средств антивирусной защиты
- Архитектура: Обеспечьте сегментацию сети, настройку защищённого канала связи (ЗКС) для взаимодействия с ЕГИСЗ.
Этап 3. Внедрение и настройка
- Установка СЗИ: Разверните средства защиты в соответствии с техническими паспортами и ГОСТ Р 51583-2014.
- Настройка политик: Реализуйте правила разграничения доступа, парольную политику, регистрацию событий безопасности.
- Локализация: Убедитесь, что базы данных физически расположены в РФ.
Этап 4. Аттестация и подтверждение соответствия
- Предаттестационные испытания: Проверьте работоспособность системы защиты.
- Аттестация: Проведите аттестацию информационной системы по требованиям безопасности информации в соответствии с Положением по аттестации объектов информатизации. По итогам выдается Аттестат соответствия.
Важно: Согласно п. 11 Постановления № 447, наличие аттестата является обязательным документом для подачи заявки на подключение к ЕГИСЗ.
- Категорирование КИИ: Параллельно проведите процедуру категорирования объекта КИИ и уведомьте ФСТЭК (если система признана значимой).
Этап 5. Подача заявки на подключение
- Формирование пакета: Подготовьте заявку в Минздрав России (форма утверждается Минздравом).
- Приложение документов: Включите в пакет:
- Копию Аттестата соответствия;
- Выписки из ЕГРЮЛ/ЕГРИП;
- Описание сервисов и состава информации (согласно п. 10–11 Постановления № 447).
- Тестирование: После предварительного согласования проведите тестирование информационного взаимодействия с подсистемами ЕГИСЗ.
5. ТИПИЧНЫЕ ОШИБКИ И РИСКИ
| Ошибка | Последствие | Нормативное основание |
|---|---|---|
| Отсутствие аттестата ИС | Отказ в подключении на этапе рассмотрения заявки Минздравом | п. 14 Постановления № 447 |
| Неверный уровень защищённости ПДн | Предписания от Роскомнадзора или ФСТЭК, штрафы по ст. 13.11 КоАП РФ | Постановление № 1119, сайт Роскомнадзора |
| Использование несертифицированных СЗИ | Невозможность прохождения аттестации, риск утечки данных | п. 12 Приказа ФСТЭК № 21, Реестр сертифицированных СЗИ |
| Игнорирование требований КИИ | Штрафы за нарушение законодательства о безопасности КИИ (ст. 187.1 УК РФ) | ФЗ-187, Приказ ФСТЭК № 239 |
| Передача данных без шифрования | Нарушение врачебной тайны и требований ФЗ-152, риск блокировки канала | Приказ ФСБ № 378 |
| Отсутствие уведомления об обработке ПДн | Штрафы, приостановка деятельности | ст. 22 ФЗ-152, Реестр операторов Роскомнадзора |
6. ЗАКЛЮЧЕНИЕ
Подключение к ЕГИСЗ — это не только техническая интеграция API, но и комплексный проект по обеспечению информационной безопасности. Требования регуляторов (Минздрав, ФСТЭК, ФСБ, Роскомнадзор) жестко формализованы и требуют системного подхода.
Ключевые рекомендации:
- Начинайте работы по приведению системы защиты в соответствие с требованиями Постановлений № 1119 и № 447 минимум за 3–6 месяцев до планируемой даты подключения.
- Используйте актуальные методические документы ФСТЭК: Банк данных угроз, Методику оценки угроз (2021), профильные руководства по выбору СЗИ.
- Обеспечьте взаимодействие с уполномоченными органами: регистрация в Реестре операторов Роскомнадзора, уведомление ФСТЭК о категорировании КИИ.
- Документируйте все этапы: модель угроз, политику безопасности, результаты испытаний — это упростит прохождение аттестации и проверок.
Соблюдение этих требований не только открывает доступ к государственным сервисам, но и минимизирует риски утечки конфиденциальных медицинских данных, защищая репутацию медицинской организации и обеспечивая непрерывность оказания медицинской помощи.