Страницы

среда, 20 марта 2019 г.

Требования по ЗИ от Минздрава и КИИ



   Рассмотрим важность Приказа Минздрав для субъектов КИИ (медицинских, фармацевтических и органов исполнительной власти субъектов Российской Федерации).
   С подписанным приказом можно ознакомится здесь. В силу вступает с 01.07.2019.
      Чем он грозит для медицинских и фармацевтических организаций, являющихся субъектами КИИ?

        1. Обязательность применения сертифицированных СЗИ, даже для защиты незначимых объектов КИИ. Для ЗОКИИ требования Минздрава ужесточают требования 239 Приказа ФСТЭК – только сертифицированные СЗИ
       2. Если по 239 приказу ФСТЭК (проект 2019 года) ограничения по размещению программно-технических средств ЗОКИИ территорией РФ устанавливаются только для 1 категории значимости + предусмотрены исключения для зарубежных филиалов, а также законодательных исключений, то по требованиям Минздрава никаких исключений не предусмотрено и ограничения относятся ко всем ОКИИ, включая незначимые.
      3. Установлено требование о бесперебойном круглосуточном функционировании ИС в непрерывном режиме. Если это ИС, с помощью которых оказываются госуслуги населению, то автоматом попадаете под 1 категории значимости КИИ. Смотрим показатели в ПП127, п .5.              Даже если брать 4 часа в месяц, отведенные Минздравом на ремонт и обслуживание ИС, это все равно меньше 6 часов (показатель 1 категории). Ну или пытаться доказать при проверках, что в ПП127 расчетный период не указан в ПП127 и его правильно считать годовым.
       Что можно использовать субъекту КИИ с пользой:
       В приказе описаны функции медицинских и фармацевтических ИС. Соответственно, смотрим на объекты информатизации в конкретной организации и выявляем те, которые обеспечивают указанный в приказе функционал. Это будут ОКИИ. Отнесение остальных ИС к ОКИИ – на усмотрение оператора.
        Имеем следующие объекты КИИ в МО:
1. Электронная регистратура.
2. Электронная медицинская карта
3. ….
       Из раздела 4 приказа Минздрава берем информацию для выполнения пп.а,б,в. П.5 ПП127 и используем в работе комиссии по категорированию.
      Для примера:
      Критические процессы МО:
    1. Процесс управления и планирования потока пациентов при оказании первичной медико-санитарной помощи и специализированной медицинской помощи в стационарных условиях (расписание приема специалистами, учет занятости коечного фонда).
    2. Процесс мониторинга доступности записи на прием к врачу (соблюдение установленных сроков).
    3. Процесс учета населения, прикрепленного к МО (ФОМС).
    4. Процесс мониторинга доступности медицинской помощи.
    Объект, обрабатывающий информацию, необходимую для обеспечения выполнения критических процессов - ИС «Электронная регистратура»
    5. Использовать эту информацию для заполнения п.1.5. формы по 236 приказу ФСТЭК вряд ли удастся. Скорее всего приказ Минздрава вступит в силу уже после изменения 236 приказа ФСТЭК и информацию об процессах предоставлять во в ФСТЭК не потребуется.
                  Сейчас:
1.1.
Наименование объекта
ИС «Электронная регистратура»
1.5.
Критические процессы (управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, функции управления и контроля), которые обеспечиваются объектом
управленческие процессы
Будет:

1.5.
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)
 информационная система


Для фармацевтических организаций все аналогично.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

9 комментариев:

  1. Привязка к 183-ФЗ и 127-ПП чисто синтетическая. Источник "вдохновения" по отнесения процессов к критическим, а систем к ЗОКИИ не очевиден. Законодательство, на основе которой создан приказ, указано в части 7, и состоит из 149-ФЗ и 152-ФЗ. На 183-ФЗ и 127-ПП ссылок нет. Требования по ИБ, перечисленные в приказе, представляют собой нормализованный свод из 17 и 21 приказов ФСТЭК.

    ОтветитьУдалить
    Ответы
    1. 1. В чем синтетика привязки? Вы не считаете, что минздрав требует автоматизировать процессы в медучреждении, "нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим последствиям"? Защите информации в приказе минздрава отведен лишь один раздел, в остальных описывается функционал самих медицинских ИС. Зачем минздрав обязывает всю страну тратить деньги на некритичные ИС? Да еще с жесткими нормативами по неотказуемости?

      Удалить
    2. 2. Про отнесение к ЗОКИИ я не писал. Все МИС МО будут ОКИИ в силу определения 187-ФЗ. А к ЗОКИИ это уже по результату оценки показателей категорий значимости. И кроме показателей, влияющих на жизнь и здоровье, придется учитывать и доступность госуслуг.

      Удалить
    3. 3.Приказ минздрава основан на 323-ФЗ, о чем прямо написано в самом тексте приказа. На реализацию требований 152-ФЗ и 149-ФЗ направлен только раздел 2. Сами требования по ЗИ имеют мало общего с 21 и 17 приказами ФСТЭК.

      Удалить
  2. Вот тут возникает вопрос, а зачем вообще это КИИ надо? У нас же есть ФОИВ, осуществляющие регулирование в той или иной установленной сфере деятельности. Причем эти ФОИВ могут устанавливать и требования по ЗИ, для профильных, так сказать, информационных систем. Так сделал Минздрав. Обоснованно они это сделали? Да, их системы очень важны. Может так сделать Росатом? Может, их системы не менее важны. Тут даже и водоканалы могут присоединиться (кто регулирует их деятельность?), ведь и у них АСУ не забавы ради.

    ОтветитьУдалить
    Ответы
    1. А компетенция в области защиты информации у них есть? Какие свои требования они могут разработать? Фактически отраслевики просо ужесточают требования от профильных регуляторов.

      Удалить
  3. Дык, я о том и говорю. Зачем ФСТЭК париться и регулировать КИИ, если отраслевик может для своей сферы установить такие требования?

    ОтветитьУдалить
    Ответы
    1. Проблема в том, что регуляторы не тянут старую схему, когда задавались жесткие рамки (меры, требования) по ЗИ. Слишком много нюансов из-за применения ИТ-технологий с конкретикой по отраслям, невозможно задать готовые шаблоны мер. А перейти на другую модель невозможно - нет в стране необходимого количества специалистов по ЗИ с требуемой квалификацией. Не тянет страна "засекречивания" всего подряд.

      Удалить
  4. Приказ Минздрава России от 24.12.2018 N 911н
    "Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций"
    (Зарегистрировано в Минюсте России 19.06.2019 N 54963), после регистрации в Минюсте - срок вступления в силу перенесен на 01.01.2020

    ОтветитьУдалить