КИИ в сфере здравоохранения

КИИ в сфере здравоохранения
К субъектам КИИ в сфере здравоохранения, согласно Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» , относятся государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения.

А согласно Общероссийскому классификатору видов экономической деятельности к сфере здравоохранения относятся организации, имеющие ОКВЭД 86 – Деятельность в области здравоохранения. Под этот ОКВЭД подпадает довольно много организаций. Поэтому основной вопрос, на который стоит обратить внимание при проведении работ по КИИ в здравоохранении — имеются ли критические процессы, а также ИС и АСУ, обеспечивающие выполнение этих процессов.

Под критическими процессами, понимаются процессы, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы).

После составления перечня критических процессов определяем ИС и АСУ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

Согласно ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» под обработкой информации понимается совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. То есть фактически любая ИС или АСУ, хоть как-то связанная с критическим процессом, является объектом КИИ. Пока все просто.
Информационная система как объект КИИ в сфере здравоохранения?

В соответствии с п.1 ст.91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» под информационными системами в сфере здравоохранения понимается:
  • федеральные государственные информационные системы в сфере здравоохранения;
  • информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования;
  • государственные информационные системы в сфере здравоохранения субъектов Российской Федерации;
  • медицинские информационные системы медицинских организаций;
  • информационные системы фармацевтических организаций.
Перечень государственных информационных систем в сфере здравоохранения указан на сайте министерства здравоохранения.

Согласно определению, данному в методических рекомендациях по обеспечению функциональных возможностей медицинских информационных систем медицинских организаций (МИС МО) (утв. Министерством здравоохранения РФ 1 февраля 2016 г.) медицинская информационная система медицинской организации обозначается как «интегрированная или комплексная информационная система, предназначенная для автоматизации лечебно-диагностического процесса и сопутствующей медицинской деятельности медицинской организации».

МИС МО предназначена для обеспечения:
  • информационной поддержки процесса оказания медицинской помощи на уровне медицинской организации, включая ведение электронной медицинской карты пациента, медико-технологических процессов в рамках медицинской организации;
  • информационной поддержки процесса управления медицинской организации, включая управление административно-хозяйственной деятельностью медицинской организации, формирование и передачу данных о затратах за оказанную медицинскую помощь и лекарственное обеспечение;
  • информационной поддержки процессов взаимодействия с пациентами, включая предоставление возможности записи и самозаписи пациента на прием к врачу, информационного наполнения личного кабинета пациента, выдачи пациенту электронных копий медицинских документов;
  • информационного взаимодействия между различными медицинскими организациями в рамках оказания медицинской помощи, включая направление пациентов в другие медицинские организации для проведения лабораторных и диагностических обследований, для получения медицинской помощи;
  • информационного взаимодействия с централизованными региональными и федеральными информационными ресурсами (ФЭР, ИЭМК, НСИ) в части обмена информацией, связанной с лечебно-диагностическим процессом.
В документе описаны подсистемы, обеспечивающие базовые функциональные возможности, набор которых зависит от типа медицинской организации. Для каждой подсистемы определены обязательные и рекомендуемые функции.

Среди функций имеется рекомендуемая функция интеграции с медицинским оборудованием. Это та функция, на основании которой система может стать АСУ.

При составлении перечня объектов нужно обратить внимание на определение АСУ. По 187-ФЗ автоматизированная система управления — это комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. То есть должны быть программные средства, должно производиться управление оборудование (исполнительных устройств).

В проекте Приказа Министерства здравоохранения РФ “ Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций ” (подготовлен Минздравом России 31.07.2018) описаны требования и возможности государственных информационных систем в сфере здравоохранения субъектов Российской Федерации, медицинских информационных систем медицинских организаций и информационным системам фармацевтических организаций. В документе определены: цели создания и назначение информационных систем, требования к защите информации, требования к функциональным возможностям информационных систем.

Таким образом, не каждая информационная система является информационной системой в сфере здравоохранения, которые должны соответствовать определенным требованиям.
Иные информационные системы.

В п.6 ст.91 323-ФЗ определены иные информационные системы – системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг. При этом иные информационные системы не входят в состав информационных систем в сфере здравоохранения, но могут подключаться к информационным системам в сфере здравоохранения.

В Правилах взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями, утвержденных постановлением Правительства РФ от 12 апреля 2018 г. №447 (далее – Правила), определено что иная информационная система обеспечивает реализацию хотя бы одной из следующих функций:
  • взаимодействие с подсистемами единой системы с целью организации предоставления и получения сведений, обрабатываемых в единой системе, для медицинских организаций и граждан;
  • предоставление пользователям иных информационных систем информации о медицинских организациях, медицинских работниках и возможности получения медицинских услуг, предоставляемых медицинскими организациями;
  • предоставление сервиса записи на прием к врачу и вызова врача на дом;
  • оказание медицинской помощи с применением телемедицинских технологий;
  • информирование граждан об оказанной им медицинской помощи;
  • предоставление сервисов доступа медицинских работников к информации по вопросам осуществления медицинской деятельности, в том числе к нормативным правовым актам и справочной информации в сфере охраны здоровья;
  • получение, обработка и предоставление информации о взаимодействии пользователей иных информационных систем с медицинскими организациями и медицинскими работниками, а также ведение рейтингов медицинских организаций и медицинских работников;
  • организация и сопровождение получения гражданами Российской Федерации медицинских услуг за пределами территории Российской Федерации, иностранными гражданами медицинских услуг на территории Российской Федерации, в том числе оказание медицинской помощи российскими медицинскими организациями и медицинскими работниками за пределами территории Российской Федерации с применением телемедицинских технологий;
  • предоставление информации о медицинских организациях и медицинских услугах;
  • предоставление сервисов, позволяющих гражданам получать агрегированную информацию о состоянии здоровья, а также рекомендации по ведению здорового образа жизни;
  • организация и осуществление информационного обмена в сфере здравоохранения, в том числе по вопросам заключения договора об оказании медицинских услуг, получения информированного добровольного согласия на медицинское вмешательство или отказа от медицинского вмешательства, оформления первичной учетной документации и осуществления расчетов за оказанные медицинские услуги;
  • предоставление аналитической информации об оказываемой медицинскими организациями медицинской помощи, включая медицинские услуги;
  • прием жалоб, заявлений и предложений от граждан и медицинских работников по вопросам оказания медицинской помощи;
  • предоставление сервисов и услуг, сопутствующих оказанию медицинской помощи.
В п.19. Правил указано, что Министерство здравоохранения Российской Федерации осуществляет ведение перечня иных информационных систем и обеспечивает размещение сведений из указанного перечня на своем официальном сайте в информационно-телекоммуникационной сети “Интернет”. Однако, такой перечень найти не удалось, только перечень ГИС (государственные информационные системы).
Телемедицина.

Одной из функций иной информационной системы указано оказание медицинской помощи с применением телемедицинских технологий.

Телемедицинские технологии определены ст.36.2 Федерального закона от 21.11.2011 N 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации” (далее – ФЗ323) и Порядке организации и оказания медицинской помощи с применением телемедицинских технологий, утвержденном приказом Министерства здравоохранения Российской Федерации от 30 ноября 2017 г. № 965н (далее – Порядок).

В этих документах указано, что телемедицинские технологии используются для консультации в целях профилактики, сбора жалоб, наблюдения за состоянием пациента. Также врач может принять решение о необходимости проведения очного приема: при этом наблюдение за состоянием здоровья пациента возможно только после очного приема.

Документирование информации об оказании медицинской помощи пациенту с применением телемедицинских технологий, включая внесение сведений в его медицинскую документацию, осуществляется с использованием усиленной квалифицированной электронной подписи медицинского работника.

На практике (из договора оказания медицинских услуг с подобной организацией) по результатам консультации составляется письменное заключение для пациента. Письменное заключение не является диагнозом и носит рекомендательный характер. Также дается информация о специалистах, к которым следует обратиться для постановки/подтверждения/уточнения диагноза, о рекомендуемых методах диагностики, лечения, связанных с ними рисках, их последствиях и ожидаемых результатах и предоставляет иную подобную информацию.
Что в итоге?

Ситуация с определением объектов КИИ в сфере здравоохранения выглядит довольно запутанной. С одной стороны, есть определенные типы информационных систем в сфере здравоохранения и требования к ним, с другой стороны, имеются иные информационные системы, функции которых схожи. И к тому же оба типа систем обеспечивают одни процессы. Поэтому рекомендуем быть внимательным при составлении перечня объектов КИИ.
Alt text