Страницы

среда, 13 июня 2018 г.

Чудеса с ЗИ в медицине


     Да сколько же у нас регуляторов по защите информации?
     Теперь и Минздрав установил  свои правила по защите информации. Интересно, а  кто будет надзор осуществлять за их выполнением?
Постановление Правительства РФ от 12.04.2018 N 447

    "Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями"

     ПП447 может очень сильно повлиять субъектов КИИ, работающих в сфере здравоохранения, так как в нем дается определение "информационные системы в сфере здравоохранения".
    Понятие "информационные системы в сфере здравоохранения" означает федеральные государственные информационные системы в сфере здравоохранения, информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования, государственные информационные системы в сфере здравоохранения субъектов Российской Федерации, медицинские информационные системы медицинских организаций и информационные системы фармацевтических организаций.
   При этом очень удивительно, что в ПП447 совершенно нет упоминания о 187-ФЗ, хотя вступило оно в силу в апреле 2018 года. Межведомственная раздробленность дает о себе знать.

   Еще очень интересные требования по ИБ:
   Для взаимодействия с единой системой и информационными системами в сфере здравоохранения иные информационные системы, обрабатывающие персональные данные и (или) сведения, составляющие врачебную тайну, помимо требований, предусмотренных пунктом 5 настоящих Правил, должны:

а) предотвращать несанкционированный доступ к информации и (или) передачу ее лицам, не имеющим права на доступ к информации;
б) обеспечивать своевременное обнаружение фактов несанкционированного доступа к информации;
в) обеспечивать предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
г) обеспечивать недопущение воздействия на технические и программные средства обработки информации, в результате которых нарушается их функционирование;
д) обеспечивать незамедлительное восстановление информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
е) обеспечивать постоянный контроль за обеспечением уровня защищенности информации;
ж) обеспечивать защиту информации при ее передаче по информационно-телекоммуникационным сетям;
з) обеспечивать применение сертифицированных по требованиям безопасности информации средств защиты информации;
и) обеспечивать защиту информации в ходе эксплуатации иной информационной системы;
к) обеспечивать обязательность учета и регистрации действий и идентификации участников, связанных с обработкой персональных данных в иных информационных системах;
л) обеспечивать соблюдение следующих организационных мер:
формирование требований к защите информации, содержащейся в иной информационной системе;
разработка и внедрение системы (подсистемы) защиты информации иной информационной системы;
минимизация состава обрабатываемых персональных данных, необходимых для решения возлагаемых на иные информационные системы задач;
декларирование и соответствие порядка обработки персональных данных целям их обработки;
определение информационного запроса как преимущественного способа получения в иных информационных системах сведений об объекте (субъекте) персональных данных;
хранение персональных данных в электронном виде в информационных системах по месту возникновения таких данных;
м) соответствовать требованиям по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования, утвержденным Министерством связи и массовых коммуникаций Российской Федерации, и требованиям к защите информации, содержащейся в информационных системах общего пользования, утвержденным Федеральной службой безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю.

    Основанием для выпуска ПП447 послужил Федеральный закон от 21 ноября 2011 года № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
    Статья 91. Информационное обеспечение в сфере здравоохранения
(в ред. Федерального закона от 29.07.2017 N 242-ФЗ)


5. Иные информационные системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг (далее - иные информационные системы), могут взаимодействовать с информационными системами в сфере здравоохранения и медицинскими организациями в порядке, на условиях и в соответствии с требованиями, установленными Правительством Российской Федерации.

    Но интересно, что сам 323-ФЗ не давал такого определения для ИС в сфере здравоохранения, там просто сокращение для дальнейшего использования в тексте закона. К тому же в 323-ФЗ указаны задачи для таких ИС "В информационных системах в сфере здравоохранения осуществляются сбор, хранение, обработка и предоставление информации об органах, организациях государственной, муниципальной и частной систем здравоохранения и об осуществлении медицинской и иной деятельности в сфере охраны здоровья."
    При этом, надо понимать, что еще предстоит выпуск аналогичного документа по ГИС. Это прописано в п.4 ст.91 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации":
 "Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций устанавливаются уполномоченным федеральным органом исполнительной власти."

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

5 комментариев:

  1. Валерий, а определение "ИС в сфере здравоохранения" корректно процетировано, а то очень на БСК смахивает. Может, что-то пропущено?

    ОтветитьУдалить
    Ответы
    1. Копировал дословно и весь пункт целиком. Специально курсивом выделял в заметке, что цитирование.
      "2. Понятие "информационные системы в сфере здравоохранения" означает федеральные государственные информационные системы в сфере здравоохранения, информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования, государственные информационные системы в сфере здравоохранения субъектов Российской Федерации, медицинские информационные системы медицинских организаций и информационные системы фармацевтических организаций."
      http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=295787&fld=134&dst=100001,0&rnd=0.4937409096767815#07893719433251991

      Удалить
  2. Надзор обычно осуществляет МИАЦ Территориальный

    ОтветитьУдалить
  3. Миац не является надзорной организацией, они могут давать рекомендации, не более того

    ОтветитьУдалить