За последнее время вышло два нормативных документа, предусматривающих ужесточение требований к применению отечественного программного обеспечения. Эти изменения, на наш взгляд, вынудят разработчиков и заказчиков медицинских информационных систем осуществить серьезную модернизацию продуктов, вплоть до замены применяемых решений на более современные аналоги. Рассмотрим эти требования подробнее.
Обзор нормативных актов по импортозамещению
Во-первых, Министерство здравоохранения опубликовало проект приказа «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций», документ доступен по адресу https://regulation.gov.ru/projects#npa=82712.
Во-вторых, Министерство цифрового развития издало приказ №335 от 04.07.2018 «Об утверждении методических рекомендаций по переходу органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления муниципальных образований Российской Федерации на использование отечественного офисного программного обеспечения, в том числе ранее закупленного офисного программного обеспечения», документ доступен по адресу http://d-russia.ru/wp-content/uploads/2018/07/metodicheskie-rekomendatsii-regionyi-190618-iyun.pdf.
Оба этих нормативных акта имеют отсылку к Постановлению Правительства Российской Федерации от 16 ноября 2015 г. №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд», которое за последние 3 года постоянно расширялось и дополнялось.
Наиболее серьезные ужесточения в этой части были введены Постановлением Правительства Российской Федерации от 23.03.2017 г. №325 «Об утверждении дополнительных требований к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения, и внесении изменений в Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных» (далее – «Дополнительные требования»). Документ доступен здесь: http://government.ru/docs/all/110847/.
Отличие между приказами Минздрава и Минкомсвязи состоит в том, что Приказ Минкомсвязи №335 касается только региональных органов исполнительной власти и имеет для них рекомендательный характер. В отличие от него, Приказ Минздрава после его издания будет касаться не только ОУЗ, но и подведомственных ему организаций. Более того, им предусмотрена достаточно жесткая формулировка о том, что применение отечественного ПО носит обязательный характер. П.10 этого приказа Минздрава гласит:
«Программно-технические средства информационных систем должны отвечать следующим требованиям … для ГИС субъектов Российской Федерации, а также для МИС МО и информационных систем фармацевтических организаций, принадлежащих государственным или муниципальным организациям, обязательно соответствие нормам постановления Правительства Российской Федерации от 16 ноября 2015 г. №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
Начнем с того, что уточним – каких именно организаций касаются требования о применении отечественного ПО? Приказ Минкомсвязи №335 разработан для помощи органам исполнительной власти (ОИВ) субъектов РФ и органам местного самоуправления (муниципалитетам). Региональные комитеты, департаменты и министерства здравоохранения, являющиеся непосредственными кураторами и организаторам информатизации здравоохранения, напрямую к ним относятся. Приказом Минздрава предусмотрено, что требования касаются также государственных и муниципальных операторов медицинских и фармацевтических информационных систем – т.е. медицинских и фармацевтических организаций.
Каких информационных систем это касается?
Уточним, каких именно программных продуктов касаются эти требования. С МИС МО и информационными системами фармацевтических организаций (ИС ФО) все понятно – это как правило единые продукты, и поэтому если государственный заказчик применяет МИС МО или ИС ФО – то ему необходимо обеспечить соблюдение требований в целом на весь такой продукт.
С государственными информационными системам в сфере здравоохранения (ГИС СЗ) все несколько сложнее. Дело в том, что в настоящее время редко где региональная ГИС СЗ представлена одним единственным продуктом. Чаще всего имеется ситуация, когда применяется стек интегрированных между собой отдельных решений, каждое из которых является компонентом (подсистемой) ГИС СЗ. Бывает даже, что применяемые в регионе решения поставлены разными разработчиками. Поэтому необходимо уточнить, а какие именно продукты являются частью ГИС СЗ? Для этого проанализируем проект требований Минздрава, согласно которому к ГИС СЗ относятся следующие решения:
- Сервис ведения нормативно-справочной информации
- Электронная регистратура
- Система скорой и неотложной медицинской помощи
- Телемедицинская система
- Система учета медико-демографических показателей (рождаемость, смертность)
- Система учета ресурсов здравоохранения (паспорт МО, регистр медработников)
- Нозологические регистры
- Система лекарственного обеспечения
- Интегрированная электронная медицинская карта
- Региональная информационно-аналитическая система
- База данных стандартов лечения
- Система службы переливания крови
- Система санитарно-эпидемиологического мониторинга
- Система профилактических осмотров населения
- Система иммунопрофилактики
- Лабораторная информационная система (ЛИС)
- Региональная система хранения медицинских изображений (центральный архив медицинских изображений)
- Система мониторинга родовспоможения, мониторинг беременных
- Интеграционная шина.
Итоговые требования к МИС в части импортозамещения
Таким образом, если субъект РФ применяет МИС МО, ИС ФО или какую-то из вышеперечисленных региональных информационных систем (назовем их все одним общим термином «МИС») – то ОУЗ и его подведомственным организациям необходимо обеспечить, чтобы применяемое ПО соответствовало следующим требованиям:
- Решение должно быть отечественным программным обеспечением
- Решение должно соответствовать «дополнительным требованиям к программам для электронных вычислительных машин и базам данных, утвержденным постановлением Правительства Российской Федерации от 23.03.2017 №325»
- Если продукт используется по модели облачных технологий – то рекомендуется использовать для этого инфраструктуру электронного правительства, но по решению субъекта РФ может применятся и иная внешняя инфраструктура.
Изучив внимательно существующие нормативные документы по поддержке отечественного программного обеспечения, мы составили итоговый список требований к МИС, которым они должны соответствовать:
– Сведения о решении должны быть размещены в «Едином реестре российских программ для электронных вычислительных машин и баз данных», https://reestr.minsvyaz.ru/.
– Система должна обеспечивать работу пользователей на ПК и терминалах (тонких клиентах).
– Если в системе используется идентификации и аутентификации пользователей, то она должна обеспечиваться в том числе с помощью ЕСИА.
– Интерфейс должен быть на русском языке.
– Система не должна требовать установки дополнительного ПО и шрифтов, имеющих ограничения на его свободное распространение на территории РФ.
– Обновление системы должно осуществляться только после подтверждения со стороны пользователя.
– Если доступ к системе осуществляется через браузер, то должна быть обеспечена возможность применения не менее 3 браузеров разных производителей, сведения хотя бы об одном из которых включены в единый реестр российского ПО.
– Клиентская часть системы должна работать под управлением не менее 2 различных ОС, включенных в единый реестр российского ПО, а также под управлением сертифицированных версий Microsoft Windows версии 7 и выше.
– Серверная часть системы должна работать под управлением не менее 2 различных ОС, включенных в единый реестр российского ПО, а также под управлением сертифицированных версий Microsoft Windows Server версии 2008 и выше.
– Мобильная часть системы должна работать под управлением мобильной операционной системы, сведения о которой включены в единый реестр российского ПО или временно, до конца 2018 г. (на основании Постановления Правительства РФ от 07.03.2018 г. №234) операционных систем Android или iOS.
– В системе должны быть реализованы и задокументированы программные интерфейсы (API) для интеграции с другими системами.
– В случае, если система должна поддерживать импорт/экспорт данных, то должна быть обеспечена поддержка следующих форматов:
• Open Document Format (ГОСТ Р ИСО/МЭК 26300-2010),
• Office Open XML (OOXML, DOCX, XLSX, PPTX, проект ISO/IEC IS 29500:2008),
• PDF/A-1, соответствующий стандарту ISO 19005-1:2005 "Управление документацией. Формат файлов электронных документов для долгосрочного сохранения. Часть I: Использование формата PDF 1.4 (PDF/A-1)" (Document management - Electronic document file format for long-term preservation - Part I: Use of PDF 1.4 (PDF/A-1) в соответствии с законодательством РФ,
• распространенные файлы обмена аудио- и видеоинформацией, электронными текстовыми документами (например, bmp, jpg, jpeg, png, gif, tif, tiff, rtf, txt, zip, avi, mpeg, mp3).
– Документация, поставляемая с системой, должна содержать материалы в электронной форме на русском языке, в том числе:
• руководство пользователя,
• руководство по установке,
• руководство по администрированию,
• системные требования,
• информацию о новой версии программного обеспечения.
Кроме этого, разработчик программного продукта должен соблюдать ряд дополнительных требований при оказании услуг технической поддержки:
• Информационная поддержка пользователей должна осуществляться всей территории РФ без ограничений.
• Сопровождение пользователей обеспечивается по телефону и электронной почте на русском языке в круглосуточном режиме.
• Контактная и иная информация должна быть доступна на официальном сайте компании-производителя.
Требования к применяемым операционным системам
Программ, относящихся к классу «Операционные системы», в реестре российского ПО достаточно большое количество (в настоящее время более 40), но реально применимы не все из них. Например, можно сразу исключить специализированные решения, такие как ОС для систем хранения данных и т.д. Проанализировав состояние реестра на август 2018 г., мы составили список из 10 ОС, представленный ниже.
№ | Наименование | № в реестре | Сайт разработчика | Комментарии |
1 | Альт Линукс СПТ | 9 | http://sptlinux.ru/ | Сертифицированный унифицированный дистрибутив |
2 | Операционная система специального назначения «Astra Linux Special Edition» | 369 | http://astralinux.ru/products/astra-linux-special-edition/ | Сертифицированный унифицированный дистрибутив |
3 | Альт Рабочая станция | 1292 | https://www.basealt.ru/products/alt-workstation/ | Настольная ОС |
4 | Альт Сервер | 1541 | https://www.basealt.ru/products/alt-server/ | Серверная ОС |
5 | Sailfish Mobile OS RUS | 1543 | http://omprussia.ru/ | Мобильная ОС |
6 | Общее программное обеспечение «Эльбрус» | 3199 | http://www.mcst.ru/opo | Комплекс ПО для аппаратной платформы Эльбрус |
7 | AlterOS | 3801 | https://alter-os.ru/ | Унифицированный дистрибутив |
8 | Операционная система Альт 8 СП | 3405 | http://altsp.su/ | Сертифицированный унифицированный дистрибутив |
9 | Операционная система "ОСь" | 4423 | https://os-rt.ru/ | Унифицированный дистрибутив |
10 | Операционная система общего назначения «Astra Linux Common Edition» | 4433 | http://astralinux.ru/products/astra-linux-common-edition/ | Унифицированный дистрибутив |
В реестре есть еще ряд ОС, которые потенциально применимы для МИС, но они либо по каким-то характеристикам уступают ОС из приведенного выше списка, либо их поддержка в настоящее время неоправдана по различным причинам.
Особенности применения серверов и служб
Серверная часть любой современной информационной системы для здравоохранения – это, как правило, не просто отдельная программа, а целый комплекс ПО, в котором используются готовые промышленные решения разных разработчиков. Любая МИС немыслима без использования СУБД, а веб-система еще и без веб-сервера и сервера приложений. Также в системе могут использоваться другие виды ПО: серверы обмена сообщениями, кеш-серверы, почтовые службы и т.д.
Как правило, разработчик МИС не пишет полностью всю систему с нуля, а реализует только необходимый прикладной функционал, максимально задействовав имеющиеся возможности стороннего ПО. Поэтому требование «Серверная часть системы должна работать под управлением не менее 2 различных ОС, включенных в единый реестр российского ПО, а также под управлением сертифицированных версий Microsoft Windows Server версии 2008 и выше» следует трактовать как для программ МИС, так и для используемых ею серверов и дополнительных приложений.
В этом случае соблюдать требования регуляторов возможно двумя способами:
- Использовать стороннее ПО как встраиваемый компонент МИС. При наличии технической и юридической возможности допустимо использовать стороннее ПО как библиотеку или встраиваемый программный модуль в составе МИС. Если лицензия стороннего ПО не препятствует его применению таким образом, то саму программу можно не устанавливать отдельно, а просто встроить в дистрибутив МИС. В этом случае стороння программа перестает считаться как самостоятельный продукт. К сожалению, этот способ применим весьма редко.
- Использовать стороннее ПО из комплекта поставки отечественной операционной системы. Если операционная система размещена в реестре российского ПО и содержит в дистрибутиве или собственном репозитории какие-то дополнительные приложения и службы, то разработчик МИС может использовать их в работе системы. Нередко в состав таких программ входит СУБД, веб-сервер, почтовая система, сервер приложений и т.д. В этом случае, если разработчик МИС использует эти компоненты, то с юридической точки зрения это считается как использование части российской ОС.
Здесь нужно учесть следующие нюансы. Во-первых, требование работы «под управлением сертифицированных версий Microsoft Windows Server версии 2008 и выше» выполняется, даже если используется программа из состава российской ОС, которые как правило принадлежат к семейству Linux. Т.к. в нормативных требованиях явно сказано, что «для обеспечения функционирования … программного обеспечения под управлением операционных систем для серверного оборудования могут быть использованы средства виртуализации», то для запуска программы из дистрибутива российской ОС на Microsoft Windows Server придется установить данную ОС в виде виртуальной машины, используя идущий в составе ОС семейства Microsoft Windows Server гипервизор Hyper-V.
Во-вторых, использование программы как компонента ОС накладывает следующее ограничение: нельзя установить, обновить или переустановить программу, используя неофициальные репозитории ОС или другие дистрибутивы ОС, даже если они также числятся в реестре российского ПО. Кроме этого, нельзя применять сборку ПО из исходных кодов, если исходный код не поставляется вместе с дистрибутивом ОС.
Таким образом, для того, чтобы определить, какие серверные компоненты и службы можно использовать в работе МИС, мы проанализировали не только продукты, самостоятельно размещенные в реестре, но и продукты, включенные в состав дистрибутивов и репозиториев операционных систем, размещенных в реестре.
Перечень допустимых для применения СУБД
С точки зрения систем управления базами данных (СУБД) и соответствия требованиям по переходу на отечественное ПО, МИС может использовать один из следующих продуктов, представленных в реестре и соответствующих требованиям:
№ | Наименование | № в реестре | Сайт разработчика | Комментарии |
1 | Система управления базами данных «Ред База Данных» | 1 | http://reddatabase.ru/ | Реляционная СУБД |
2 | СУБД Postgres Pro | 104 | https://postgrespro.ru/ | Реляционная СУБД |
3 | СУБД PostgreSQL 9.2-10 | - | https://www.postgresql.org/ | Реляционная СУБД, входящая в состав ОС: Альт Линукс, Астра Линукс, Ось |
4 | Реляционная система управления базами данных ЛИНТЕР БАСТИОН (РСУБД ЛИНТЕР БАСТИОН, RDBMS Linter Bastion) | 105 | https://www.linter.ru/ru/ | Сертифицированная реляционная СУБД |
5 | Реляционная система управления базами данных ЛИНТЕР версия 6.0 (РСУБД ЛИНТЕР версия 6.0, RDBMS Linter SQL 6.0) | 116 | https://www.linter.ru/ru/ | Реляционная СУБД |
6 | Реляционная система управления базами данных ЛИНТЕР версия 6.1 (РСУБД ЛИНТЕР версия 6.1, RDBMS Linter SQL 6.1) | 117 | https://www.linter.ru/ru/ | Реляционная СУБД |
7 | Реляционная система управления базами данных ЛИНТЕР СТАНДАРТ (РСУБД ЛИНТЕР СТАНДАРТ, RDBMS Linter Standard) | 3894 | https://www.linter.ru/ru/ | Реляционная СУБД |
8 | СУБД MariaDB 10.1 | - | https://mariadb.org/ | Реляционная СУБД, входящая в состав ОС: Альт Линукс и Астра Линукс |
По нашей информации, многие из применяемых сейчас медицинских информационных систем, включая популярные и лидирующие на рынке решения, используют СУБД иностранного производства, например Microsoft SQL Server или Oracle Database, что автоматически делает их несоответствующими законодательным требованиям.
Перечень допустимых для применения серверов
Посмотрев на составленные выше списки программ, можно отметить, что в отношении ОС и СУБД ситуация достаточно хорошая: есть из чего выбрать, есть продукты, которые долго присутствуют на рынке и продолжают развиваться, имеется взаимная поддержка со стороны ОС и прикладного ПО. В отношении остального серверного ПО, такого как серверы приложений и веб-серверы, ситуация сложнее, т.к. ПО данных классов практически в реестре не представлено. Разработчику МИС придется использовать такое общесистемное ПО из состава дистрибутивов ОС, представленных в реестре.
№ | Наименование | Сайт разработчика | Комментарии |
1 | Apache | https://httpd.apache.org/ | Штатный веб-сервер из всех серверных редакций ОС |
2 | nginx | http://nginx.org/ | Веб-сервер, включен в состав Альт Линукс, Ось |
3 | Lighttpd | http://www.lighttpd.net/ | Веб-сервер, есть в Альт Линукс и Астра Линукс |
4 | Apache Tomcat 8 со средой исполнения OpenJDK 1.8 | http://tomcat.apache.org/ | Сервер приложений, есть в составе Альт Линукс и Астра Линукс |
5 | Python 3 | https://www.python.org/ | Интерпретатор, имеющийся в составе Альт Линукс и Астра Линукс |
6 | Redis | https://redis.io/ | Сервер смарт-кеша, есть в составе Альт Линукс и Астра Линукс |
Перечень поддерживаемых браузеров
Для пользовательской (клиентской части) в современных ИС, как правило, используется только веб-браузер. В реестре российского ПО в настоящее время 2 программных продукта, относящихся к браузерам. Кроме этого, практически в настольных ОС (или в настольных редакциях ОС) в качестве браузера используется Firefox. В Альт Линукс и Астра Линукс в репозиториях также присутствует браузер Chromium.
№ | Наименование | Сайт разработчика | Комментарии |
1 | Спутник | https://browser.sputnik.ru/ | Браузер в «Реестре», №779 |
2 | Яндекс.Браузер | https://yandex.ru/support/browser/ | Браузер в «Реестре», №3722 |
3 | Firefox | https://www.mozilla.org/ru/firefox/ | Есть в ОС |
4 | Chromium | https://www.chromium.org/Home | Есть в Альт Линукс и Астра Линукс |
Учитывая требования к браузерам, разработчик МИС должен обязательно обеспечить работу клиентской части в браузере Спутник, т.к. только он «работает под управлением не менее 2 различных ОС, включенных в единый реестр российского ПО, а также под управлением сертифицированных версий Microsoft Windows версии 7 и выше», а именно Альт Линукс и Astra Linux. Соответственно, если МИС является веб-приложением, то для обеспечения требований законодательства в части поддержки отечественного ПО необходимо в обязательном порядке протестировать и убедится, что система корректно работает в браузере «Спутник».
Отдельно следует сказать про браузеры, идущие в составе ОС семейства Microsoft Windows: Microsoft Internet Explorer, а также пришедший ему на смену браузер Microsoft Edge. Ожидается, что использование «сертифицированных версий Microsoft Windows версии 7 и выше», а также обычных версий Microsoft Windows будет только в рамках некоторого переходного периода, пока не произойдет полное импортозамещение на отечественные ОС. Соответственно после этого поддержка браузеров от компании Microsoft станет попросту не нужной. Поэтому для новых разрабатываемых МИС МО и ГИС СЗ включение поддержки браузеров Microsoft Internet Explorer и Microsoft Edge можно считать не обязательной и даже нецелесообразной при наличии альтернативного ПО. Но, с одним важным уточнением. Требования к ПО относятся к «закрытой» клиентской части (например, рабочий компьютер врача в МО), но у некоторых решений, таких как «Электронная регистратура» или «Телемедицинская система», есть еще публичная клиентская часть (любой компьютер, подключенный к сети Интернет). Если для рабочего места сотрудника МО можно действительно ограничиться поддержкой ограниченного набора браузеров в соответствии с требованиями, то, например, для сайта электронной регистратуры наоборот нужно обеспечить поддержку как можно большего количества популярных браузеров, включая Internet Explorer разных версий, чтобы услугами сервиса могло воспользоваться большее количество людей, независимо от того, каким ПО и оборудованием они пользуются.
Особенности поддержки электронной подписи
Обратим внимание еще на один важный нюанс. Согласно прорабатываемому в настоящее время федеральному проекту «Создание единого цифрового контура в здравоохранении на основе ЕГИСЗ», в ближайшее время развитие МИС МО и ГИС СЗ должно обеспечить переход на юридически значимый электронный документооборот. В частности, проектом предусмотрено, что «Решение поставленных задач в рамках федерального проекта будет осуществляться посредством внедрения и развития медицинских информационных систем в медицинских организациях государственной и муниципальной систем здравоохранения субъектов Российской Федерации и государственных информационных систем в сфере здравоохранения субъектов Российской Федерации, создания механизмов юридически значимого электронного медицинского документооборота между медицинскими организациями, органами управления здравоохранением, а также при межведомственном взаимодействии».
Ключевой технологией обеспечения юридической значимости электронного документооборота является использование квалифицированной электронной подписи. Для того, чтобы реализовать эту поддержку, при выборе клиентской ОС должно корректно работать соответствующее специальное программное обеспечение для работы с электронными подписями (средства электронной подписи). Например, одно из популярных средств ЭП Крипто Про CSP 4.0 работает на следующих ОС из реестра (https://www.cryptopro.ru/products/csp/compare):
- ОС семейства Альт Линукс https://www.basealt.ru/
- ОС семейства Astra Linux http://astralinux.ru/
- Ось https://os-rt.ru/
Сама программа ЭП Крипто Про CSP 4.0 естественно также присутствует в реестре отечественного ПО и полностью соответствует требованиям в части импортозамещения.
Область действия требований
Обратим внимание на еще одну важную деталь. Минкомсвязь в своем приказе №335 прямо предусмотрел, что переход на использование отечественного программного обеспечения необходимо осуществлять в отношении иностранного офисного ПО и ПО, сведения о котором не включены в реестр отечественного ПО.
При этом положения этого приказа относится к:
- ранее установленному и/или уже используемому ПО,
- предустановленному ПО, например, в составе какого-то аппаратного обеспечения или программно-аппаратных комплексов,
- ПО, используемому в рамках закупленных ранее товаров, работ или услуг,
- ПО, планируемому к приобретению и/или использованию,
- обновлениям используемого ПО и/или его компонентов (подсистем),
- свободному ПО.
При этом неважно, как давно и каким способом попала МИС к заказчику, включая даже использование свободного (иными словами – бесплатного) ПО. Если оно используется или планируется к использованию – оно должно быть отечественным и применять отечественное общесистемное ПО, без каких-либо лазеек и оговорок.
Если какое-то ПО еще не внедрено, но регион планирует его использовать (как самостоятельный продукт или в составе какого-то приложения) в ближайшее время – то ему рекомендовано внести изменения в целевые программы, стратегии, концепции и (или) иные документы, предусматривающие мероприятия по информатизации на период до 2020 года включительно и последующие периоды, включив в них требования приоритетного использовании российских информационно-коммуникационных технологий.
Дополнительно до конца 2019 года необходимо исключить из региональных правовых актов и документов положения, связанные с использованием конкретных наименований производителей иностранного ПО, проприетарных шрифтов, принадлежащих компаниям-правообладателям иностранного офисного ПО, а также форматов и расширений, применяемых для создания и сохранения электронных документов и используемых в иностранном ПО. Соответствующие изменение рекомендуется внести в правовые акты государственных органов или органов местного самоуправления, в том числе в сфере делопроизводства и документооборота, в проектную и эксплуатационную документацию на информационные системы, операторами/заказчиками которых являются государственные органы или органы местного самоуправления.
Автор: Александр Гусев
Источник: компания К-МИС