Приложение к Приказу от 01.04.2009 г № 338
1.Общие положения
Настоящий регламент устанавливает требования к защищенному юридически значимому электронному документообороту в Единой информационно-аналитической системе здравоохранения, требования к документам, почтовой системе, хранилищам данных.
Настоящий регламент рекомендуется к применению при формировании технического задания на приобретение и внедрение медицинских информационных систем для органов управления и учреждений здравоохранения Челябинской области, а также медицинских организаций различных организационно-правовых форм деятельности, направленной на оказание медицинской помощи населению Челябинской области.
Единая информационно-аналитическая система здравоохранения Челябинской области должна предоставлять возможность пользователям медицинских информационных систем посылать, запрашивать и хранить однозначно отображаемые юридически значимые электронные документы на языке XML. Все управляющие команды, указания и запросы к ЕИАСЗЧО также должны соответствовать требованиям к документу ЕИАСЗЧО.
Настоящий регламент устанавливает требования по формату и регламенту обмена документами, а также требования к информационной безопасности учреждений и организаций, входящих в ЕИАСЗЧО.
Настоящий регламент разработан на основании:
ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";
ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи";
СТО МОСЗ 91500.16.0002-2004 "Информационные системы в здравоохранении";
РД 78.36.003-2002 "Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств".
1.2.Используемые сокращения
| GUID | (Globally Unique Identifier): Статистически уникальный 128-битный идентификатор. Примечание - GUID способствует созданию уникального значения любым субъектом системы без использования единого разделяемого ресурса. |
| TLS | (Transport Layer Security) Криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети "Интернет". |
| URI | (Uniform Resource Identifier) Единообразный идентификатор ресурса. |
| ИНТЕРНЕТ | |
| XML | (eXtensible Markup Language) Расширяемый язык разметки. Примечание - Язык XML предназначен для хранения структурированных данных и для обмена информацией между программами. |
| XML-схема | Язык описания структуры текста, написанного на языке XML |
| Аутентификация | Возможность однозначно идентифицировать пользователя. |
| Веб-сервис | (web service) программная система, идентифицируемая строкой URI, чьи общедоступные интерфейсы определены на языке XML. |
| Документ | Однозначно отображаемый юридически значимый электронный документ на языке XML, который может включать одну или несколько однозначно интерпретируемых ссылок на файлыприложения. Примечание - Документ обязательно должен содержать следующие реквизиты: электронную цифровую подпись, дату и время подписания. Документ может быть подписан электронной цифровой подписью, если сертификат ключа подписи содержит информацию, подтверждающую права на подпись документов. |
| ЕИАСЗЧО | Единая информационно-аналитическая система здравоохранения Челябинской области |
| Конверт | Электронная обертка документа, содержащая реквизиты, необходимые для передачи документа от отправителя получателям и ссылающаяся на документ. |
| Независимый документ | Документ, сопровождаемый формой документа и формами тела документа, на основании которых он был создан. |
| Неотрекаемость | Исполнитель действия не может отказаться от совершенного действия. |
| Почта | Электронный ответственный юридически значимый обмен документами между почтовыми ящиками должностных лиц. Примечание - Почта использует хранилище для хранения документов и почтовых ящиков. Почта использует центр удостоверения актуальности для подтверждения целостности и юридической значимости пересылаемого документа. |
| Почтовый ящик | Электронный коммуникационный ресурс, закрепленный за должностным лицом и предназначенный для хранения конвертов. |
| Реестр | Обязательный справочник, предназначенный для реализации технологии юридически значимого документооборота. |
| Средство отображения | Программный продукт, позволяющий однозначно визуально отображать и подписывать независимый документ. |
| Тело документа | Часть документа, несущая информацию о предметной области на языке XML. |
| Файл-приложение | Электронный файл, сопровождаемый реквизитами, необходимыми для его однозначной визуализации. |
| Форма документа | XML-схема, определяющая правила создания и оперирования документом. |
| Форма тела документа | XML-схема, определяющая правила создания и заполнения содержания на языке XML. Примечание - Форма документа и форма тела документа могут быть объединены в одной XML-схеме. |
| ФСТЭК | Федеральная служба по техническому и экспортному контролю. |
| Хранилище | Программно-аппаратный комплекс, предназначенный для хранения документов, справочников, почтовых ящиков, средств отображения. |
| Хэш-код | Строка бит, получаемая при кодировании электронного документа. |
| Центр удостоверения актуальности | Программный комплекс, позволяющий проверить актуальность субъектов и объектов ядра системы ЕИАСЗЧО на определенную дату и время. |
| Ядро системы | Программно-аппаратный комплекс, входящий в центр обработки данных ЕИАСЗЧО, содержащий хранилище, почту и центр удостоверения актуальности. |
2.Общие требования
2.1.Ядро системы должно обеспечить функциональность, которая соответствует принципам ответственности, защищенности, юридической значимости по отношению к приему, хранению и передаче документов и данных.
2.2.Принцип защищенности должен обеспечиваться:
1) шифрованием данных сертифицированными средствами при передаче и хранении;
2) аутентификацией пользователей;
3) невозможностью изменения данных после сохранения;
4) невозможностью удаления инструментов, необходимых для придания документам юридической значимости.
2.3.Принципы ответственности и юридической значимости должны обеспечиваться:
1) технологией электронной цифровой подписи;
2) средством однозначного отображения документа;
3) поддержкой версионности данных, форм, справочников, программных средств;
4) хранением всех данных, попадающих в систему;
5) протоколированием всех действий пользователей и системы.
2.4.Ядро системы не должно позволять напрямую обращаться к хранилищу. Взаимодействие с хранилищем должно осуществляться посредством подсистем ядра.
2.5.Ядро системы несет ответственность за сохранность документа, возможность визуализации и пересылку его адресатам с момента сохранения документа в хранилище. Факт сохранения входящего документа в хранилище должен подтверждаться документом, который должен быть предоставлен создателю входящего документа.
2.6.Каждый сохраняемый в хранилище документ должен быть подписан должностным лицом, ответственным за хранение.
2.7.Должностное лицо должно собственноручно подписать документ на бумажном носителе о правилах пользования электронной цифровой подписью в корпоративной системе. Данные правила должны содержать следующий принцип: пользователь системы имеет право подписывать электронной цифровой подписью все виды документов, которые ему позволяет подписывать система ЕИАСЗЧО.
2.8.Ядро системы должно иметь возможность вычленить для внешнего использования независимый документ с соответствующим средством отображения.
3.Требования к документу
Документ должен содержать следующую информацию:
1) уникальный идентификатор;
2) наименование и версию формы документа;
3) тело документа;
4) электронную цифровую подпись одного или нескольких должностных лиц;
5) информацию, которая однозначно идентифицирует должностное лицо в штатном расписании определенной организации;
6) дату и время подписания документа каждым из должностных лиц;
7) наименование средства отображения;
8) версию средства отображения.
Информация, однозначно идентифицирующая должностное лицо в штатном расписании определенной организации, должна содержать:
1) информацию об организации;
2) структурное подразделение;
3) должность.
В качестве типа универсального идентификатора использовать GUID.
Документ может ссылаться на приложения в виде файлов.
Наложение подписи на документ должно осуществляться соответствующим средством отображения.
Электронная цифровая подпись должна состоять из сертификата ключа подписи и хэш-кода, полученного от средства отображения.
Документ, сохраненный в хранилище, не может быть изменен. При необходимости подписать документ, который был сохранен в хранилище, необходимо создать его копию и подписать.
Форма документа приведена в Приложении А.2 (не приводится).
3.1.Требование к форме тела документа
Форма тела документа предназначена для описания структуры и способа заполнения всех видов медицинских первичных и расчетных документов, служебных документов и запросов.
Пример: форма талона на прием, форма расчетной ведомости для страховой медицинской организации, форма запроса на получение почты.
Форма тела документа не может быть зарегистрирована в реестре, если ядро системы не содержит сертифицированного средства однозначного отображения для данной формы тела документа текущей версии. Ядро системы должно содержать средства отображения для операционных систем Windows и Linux.
Форма тела документа может включать в себя другие формы тела документа.
Форма тела документа должна содержать информацию о наименовании и версии формы тела документа.
Рекомендуется оформлять группы данных, которые можно использовать в других формах тела документа, в виде отдельных форм.
Пример: форма пациента, форма врача, форма оператора, форма полиса обязательного медицинского страхования.
Форма тела документа должна иметь наименование и версию. Форма тела документа, внесенная в реестр хранилища, не может быть изменена или удалена.
Версия формы тела документа должна иметь следующий формат: AA.BB.CC.DD. A, B, C, D могут принимать значения от 0 до 9. AA - обозначает наличие изменений в языке XML-схема. BB - обозначает структурные изменения формы. CC - обозначает логические изменения. DD - обозначает изменения, не влияющие на создание и обработку документа. При изменении версии формы необходимо увеличить на единицу соответствующую позицию.
Примеры.
Добавление, удаление элемента или атрибута является структурным изменением.
Изменение поля со значения "дата рождения" на "дата смерти" является логическим изменением. В данном примере воспринимать изменение чего-либо как удаление старого и создание нового.
Добавление, удаление элемента или
является логическим изменением.
Добавление удаление комментария , изменение текста в является изменением, не влияющим на анализ и обработку документа.
Форма тела документа должна формироваться в соответствии со следующими принципами:
- наличие обязательных для заполнения элементов;
- наличие прав и возможностей у заполняющего на получение всей необходимой информации для заполнения обязательных элементов формы;
- наличие прав у заполняющего на получение информации для заполнения необязательных элементов формы;
- использования всех возможностей языка XML-схема для исключения ошибок ввода информации.
Атрибуты формы тела документа с наименованием "name" должны заполняться латинскими символами.
Элементы формы тела документа должны иметь наименование на русском языке в теге .
При необходимости элементы формы тела документа могут иметь развернутый комментарий в теге на русском языке, характеризующий элемент или поясняющий порядок ввода информации.
Рекомендуемые формы тела документа приведены в Приложениях Б, В и Г (не приводятся).
3.2.Требования к файлу-приложению
Файл-приложение может содержать в себе множество других файлов-приложений.
Файл-приложение должен сопровождаться следующими реквизитами:
- наименование;
- наименование формата;
- версия формата;
- вид кодировки;
- ссылка на файл-приложение, в котором содержится текущий файл.
4.Требование к средству отображения
Средство отображения должно оперировать со следующим набором данных: документ, форма документа, иерархия форм тела документа.
Средство отображения должно реализовывать следующие функции:
1) визуально отображать документ;
2) вычислять и возвращать по запросу хэш-код документа, предназначенного для визуализации;
3) проверять по запросу соответствие хэш-кода какого-либо автора информации, предназначенной для визуализации;
4) проверять, соответствует ли средство отображения, описанное в документе, текущему средству отображения.
Средство отображения должно визуально отображать следующую информацию:
1) наименование средства отображения;
2) версия средства отображения;
3) наименование формы документа;
4) версия формы документа;
5) уникальный регистрационный номер сертификата ключа подписи, хэш-код, фамилия, имя, отчество должностных лиц, подписавших документ, в порядке их указания в документе;
6) тело документа;
7) наименование и содержимое всех файлов-приложений в порядке их указания в документе.
Средство отображения должно быть сертифицировано как средство однозначного отображения определенных форматов и версий форматов документов и файлов-приложений, включенных в реестр хранилища.
Средство отображения должно создавать хэш-код на основании ассиметричного закрытого ключа подписи, используя сертифицированный алгоритм электронной цифровой подписи, соответствующий ГОСТ Р 34.10.
Средство отображения должно соответствовать принципу: "подписывать только ту информацию, которую возможно однозначно визуально отобразить".
5.Требования к центру удостоверения актуальности
5.1.Центр удостоверения актуальности должен обеспечить следующие функции:
1) выдачу актуальных данных на определенную дату и время реестров, справочников, форм документа, форм тела документа, средства отображения;
2) проверку действительности сертификатов ключей подписи на определенную дату и время;
3) проверку документов на целостность и юридическую значимость;
4) ведение реестров и справочников хранилища.
5.2.Проверка документов на целостность и юридическую значимость должна содержать:
1) проверку наличия в реестре и активность формата формы документа;
2) проверку соответствия тела документа правилам, описанным в форме тела документа;
3) проверку наличия в реестре и активность форматов файлов приложений;
4) проверку действительности сертификатов ключей подписи на момент подписания;
5) проверку соответствия документа хэш-кодам авторов при помощи средства отображения.
5.3.Центр удостоверения актуальности должен поддерживать обмен данными с удостоверяющими центрами, которые выдают сертификаты ключей подписей.
6.Требования к почте
Почта предназначена для передачи конвертов, содержащих документы, между должностными лицами организаций посредством почтовых ящиков.
В обмене конвертами с документами почта выступает в роли сервера, а должностные лица организаций - в роли клиентов.
Почта должна пересылать конверты только с действительными документами. Для подтверждения действительности и целостности документа почта использует центр удостоверения актуальности.
Если центр удостоверения актуальности подтверждает действительность посылаемого документа, то необходимо:
1) сохранить посылаемый документ в хранилище;
2) положить в почтовый ящик отправителя посылаемый им конверт, в котором установить ссылку на сохраненный в хранилище документ;
3) положить в почтовый ящик получателя конверт, в котором установить ссылку на сохраненный в хранилище документ.
Конверт, посылаемый отправителем, попадает в почтовый ящик отправителя в том же виде, в котором он поступил, меняется только ссылка на документ.
Почта должна предоставить возможность должностному лицу забирать конверты из почтового ящика.
Почта должна фиксировать дату и время получения должностным лицом конверта с документом из почтового ящика.
Если центр удостоверения актуальности не подтверждает действительность посылаемого документа, то необходимо:
1) создать документ, уведомляющий об отказе в сохранении посылаемого документа с причиной отказа;
2) сохранить документ об отказе в хранении;
3) создать конверт, в котором указана ссылка на сохраненный документ;
4) положить в почтовый ящик отправителя конверт с документом, уведомляющим об отказе.
6.1.Требования к конверту
Конверт должен содержать следующую информацию:
1) уникальный идентификатор;
2) наименование и версию формы конверта;
3) документы;
4) дату и время отправления;
5) должностное лицо-отправитель;
6) перечень должностных лиц-получателей;
7) ссылку на руководящий документ, который является основанием для создания документов (рекомендуемая информация);
8) ссылку на документ, в состав которого должны войти отправляемые документы (рекомендуемая информация).
В качестве типа универсального идентификатора использовать GUID.
Форма конверта документа приведена в Приложении А.1 (не приводится).
6.2.Требования к передаче данных в организации, не входящие в ЕИАСЗЧО, и физическим лицам
Все данные, передаваемые организациям, не входящим в ЕИАСЗЧО, должны быть обезличены (неперсонифицированы).
Обезличенные данные не должны содержать фамилий, имен, отчеств, имени матери, адресов, внешних и внутренних номеров документов, кодов должностных лиц, сертификатов ключей подписей, наименования и кодов ЛПУ.
При запросе персональных данных физическое лицо должно подписать документ о выдаче ему документов, содержащих персональные данные.
7.Требования к хранилищу
Хранилище должно хранить документы, реестры, справочники, средства отображения, почтовые ящики.
Перед тем как сохранить документ хранилище подписывает его подписью должностного лица системы ЕИАСЗЧО при помощи соответствующего средства отображения.
Документ, сохраненный в хранилище, не может быть изменен.
Хранилище автоматически предоставляет почтовый ящик каждому должностному лицу, внесенному в реестр. Почтовый ящик может быть неактивен, но не может быть удален.
7.1.Требования к справочникам
Справочники предназначены для обеспечения ссылки на одну и ту же информацию из разных документов разных организаций.
Справочник не может быть удален. Записи справочника могут читаться и добавляться и не могут быть удалены или изменены.
Справочник должен содержать для каждой записи журнал событий со следующими данными: дату, время, состояние. Состояние записи может иметь следующие значения: "создана", "активизирована", "деактивизирована".
В качестве типа универсального идентификатора использовать GUID.
Справочники должны вестись в соответствии со стандартом организаций СТО МОСЗ 91500.16.0002 (Приложение Б - не приводится).
7.2.Требования к реестрам
Реестры должны удовлетворять всем требованиям, выдвинутым к справочникам (см. 7.1).
Реестр форм содержит утвержденные формы. Реестр форм содержит следующую информацию: наименование формы, версия формы, тело формы.
Реестр форматов файлов-приложений содержит перечень утвержденных форматов файлов, которые могут прикладываться к документу в качестве приложения. Реестр форматов файлов-приложений содержит следующую информацию: наименование формата, версию формата, вид кодировки.
Реестр справочников содержит утвержденные справочники. Реестр справочников содержит следующую информацию: наименование справочника, версию справочника, ссылку на справочник в хранилище.
Реестр средств отображения содержит сертифицированные средства отображения. Реестр средств отображения содержит следующую информацию: наименование средства, версию средства, ссылку на средство отображения в хранилище.
Реестр должностных лиц содержит следующую информацию: фамилия, имя, отчество, должность, организация.
Реестр доверенных удостоверяющих центров, выдающих сертификаты ключей подписей, содержит следующую информацию: наименование, уникальный регистрационный номер сертификата ключа подписи, веб-сервис.
7.3.Требования к информационной безопасности организаций, входящих в ЕИАСЗЧО
Хранилище организации должно обеспечить защиту информации при ее хранении, обработке и передаче сертифицированными средствами защиты. Средства защиты должны быть сертифицированы во ФСТЭК.
Защита информации обеспечивается:
1) шифрованием канала передачи данных от пользователя до базы данных или между базами данных;
2) шифрованием базы данных и страховых копий базы данных;
3) отсутствием возможности утечки данных посредством создания электронных копий.
Аутентификация пользователей и обеспечение юридически значимого документооборота реализуется на основе алгоритмов электронной цифровой подписи, соответствующих ГОСТ Р 34.10.
База данных должна обеспечить защищенное хранение данных, не позволяющее восстановить информацию после обесточивания аппаратного обеспечения, на котором она хранится, а также из архивных копий без носителя ключевой информации, который должен быть отчуждаемым. Носителем ключевой информации является асимметричный закрытый ключ подписи, созданный на основе алгоритмов, соответствующих ГОСТ Р 34.10.
Криптографическая защита информации в канале передачи данных должна основываться на использовании протокола TLS с двухфакторной аутентификацией и алгоритмами шифрования, соответствующими ГОСТ 28147 и ГОСТ Р 34.10.
Объект, в котором размещено хранилище, должен обеспечивать инженерно-техническую укрепленность в соответствии с требованиями РД 78.36.003 для объектов группы БП.
Объект должен быть оборудован системами охранной и тревожной сигнализации.
Должна быть исключена возможность несанкционированного физического доступа к программно-аппаратным элементам со стороны посторонних лиц.
8.Требования к сертификату ключа подписи
Сертификат ключа подписи должен быть выдан удостоверяющим центром, который должен соответствовать следующим требованиям:
1) должен быть зарегистрирован в Российской Федерации;
2) должен входить в "Единый государственный реестр сертификатов ключей подписей удостоверяющих центров";
3) должен предоставить оперативный круглосуточный доступ через сеть общего доступа "ИНТЕРНЕТ" к реестру действующих, аннулированных сертификатов и сертификатов, действие которых приостановлено.
Сертификат ключа подписи должен соответствовать формату Х.509 версии 3.
Примечание - Формат Х.509 рекомендован Международным Союзом по телекоммуникациям ITU-T.
В сертификате ключа подписи должна быть указана следующая информация о владельце: фамилия, имя, отчество, должность, структурное подразделение, наименование организации.
В сертификате ключа подписи поле "Использование ключа" должно содержать следующие позиции:
1) цифровая подпись;
2) неотказуемость;
3) шифрование ключей;
4) шифрование данных.
В сертификате ключа подписи поле "Улучшенный ключ" должно содержать следующие позиции:
1) пользователь Центра Регистрации (1.2.643.2.2.34.6);
2) проверка подлинности клиента (1.3.6.1.5.5.7.3.2).
Примечание - Поле "Использование ключа" равнозначно полю "Key Usage". Поле "Улучшенный ключ" равнозначно полю "Extended Key Usage".
Первый заместитель
Министра здравоохранения
Челябинской области
М.Г.МОСКВИЧЕВА