5. Основные принципы и подходы к выбору и (или) разработке программного обеспечения информационных систем в сфере здравоохранения
Информационные системы в сфере здравоохранения применяются для обработки информации, необходимой для обеспечения критических процессов, и (или) для управления, контроля критических процессов, связанных с оказанием медицинской помощи. Нарушение или прекращение функционирования таких информационных систем может привести к причинению ущерба жизни и здоровья граждан <45>. Такие системы в соответствии с законодательством Российской Федерации относятся к значимым объектам критической информационной инфраструктуры и подлежат защите в соответствии с требованиями правовых актов Российской Федерации в области обеспечения безопасности значимых объектов критической информационной инфраструктуры. Таким образом, на все информационные системы в сфере здравоохранения распространяются требования по безопасной разработке прикладного программного обеспечения, установленные правовыми актами ФСТЭК России:
--------------------------------
<45> См. Постановление Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
- требования по безопасной разработке программного обеспечения;
- требования к испытаниям по выявлению уязвимостей в программном обеспечении;
- требования к поддержке безопасности программного обеспечения.
Требования по безопасной разработке программного обеспечения подразумевают:
- наличие руководства по безопасной разработке программного обеспечения;
- проведение анализа угроз безопасности информации программного обеспечения;
- наличие описания структуры программного обеспечения на уровне подсистем и результатов сопоставления функций программного обеспечения и интерфейсов, описанных в функциональной спецификации, с его подсистемами (для программного обеспечения, планируемого к применению в значимых объектах 1-й категории значимости).
Требования к проведению испытаний по выявлению уязвимостей в программном обеспечении подразумевают:
- проведение статического анализа исходного кода программы;
- проведение фаззинг-тестирования программы, направленного на выявление в ней уязвимостей;
- проведение динамического анализа кода программы (для программного обеспечения, планируемого к применению в значимых объектах 1-й категории значимости).
Требования к поддержке безопасности программного обеспечения подразумевают:
- наличие процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения;
- определение способов и сроков доведения разработчиком (производителем) программного обеспечения до его пользователей информации об уязвимостях программного обеспечения, о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения, способов получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности;
- наличие процедур информирования субъекта критической информационной инфраструктуры об окончании производства и (или) поддержки программного обеспечения (для программного обеспечения, планируемого к применению в значимых объектах 1-й категории значимости).
Указанные требования направлены на своевременное выявление и устранение ошибок и недостатков, приводящих к появлению уязвимостей в прикладном программном обеспечении информационных систем в сфере здравоохранения. Выполнение этих требований позволит минимизировать риски, связанные с использованием нарушителями таких уязвимостей.
Требования к безопасной разработке должны включаться в техническое задание при выборе, закупке, разработке и модернизации прикладного программного обеспечения для информационных систем в сфере здравоохранения. Выполнение требований по безопасной разработке оценивается на этапе проектирования системы и подтверждается при приемке информационной системы.
Прикладное программное обеспечение информационных систем в сфере здравоохранения, в котором реализованы функции безопасности, используемые при реализации мер защиты информации, является для защищаемых объектов средством защиты информации. Для такого программного обеспечения должна проводиться оценка соответствия требованиям к функциям безопасности в форме сертификации, испытаний или приемки. В случаях, установленных законодательством Российской Федерации, при выборе программного обеспечения информационной системы в сфере здравоохранения преимущественно должно использоваться российское программное обеспечение и оборудования, соответствующие требованиям безопасности, в том числе:
- требованиям по защите автоматизированного рабочего места разработчиков программного обеспечения
- требованиям по проверке наличия программных уязвимостей и ошибок конфигурации мобильных приложений, влияющих на информационную безопасность
- требованиям по применению дополнительных программных и программно-аппаратных защитных механизмов, в том числе установка необходимых обновлений для используемого программного обеспечения.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей