21 Марта, 2019

Требования по ЗИ от Минздрава и КИИ

Валерий Комаров


   Рассмотрим важность  Приказа Минздрав  для субъектов КИИ (медицинских, фармацевтических и органов исполнительной власти субъектов Российской Федерации).
   С подписанным приказом можно ознакомится здесь . В силу вступает с 01.07.2019.
      Чем он грозит для медицинских и фармацевтических организаций, являющихся субъектами КИИ?
name='more'>
        1. Обязательность применения сертифицированных СЗИ, даже для защиты незначимых объектов КИИ. Для ЗОКИИ требования Минздрава ужесточают требования 239 Приказа ФСТЭК – только сертифицированные СЗИ
       2. Если по 239 приказу ФСТЭК (проект 2019 года) ограничения по размещению программно-технических средств ЗОКИИ территорией РФ устанавливаются только для 1 категории значимости + предусмотрены исключения для зарубежных филиалов, а также законодательных исключений, то по требованиям Минздрава никаких исключений не предусмотрено и ограничения относятся ко всем ОКИИ, включая незначимые.
      3. Установлено требование о бесперебойном круглосуточном функционировании ИС в непрерывном режиме. Если это ИС, с помощью которых оказываются госуслуги населению, то автоматом попадаете под 1 категории значимости КИИ. Смотрим показатели в ПП127, п .5.              Даже если брать 4 часа в месяц, отведенные Минздравом на ремонт и обслуживание ИС, это все равно меньше 6 часов (показатель 1 категории). Ну или пытаться доказать при проверках, что в ПП127 расчетный период не указан в ПП127 и его правильно считать годовым.
       Что можно использовать субъекту КИИ с пользой:
       В приказе описаны функции медицинских и фармацевтических ИС. Соответственно, смотрим на объекты информатизации в конкретной организации и выявляем те, которые обеспечивают указанный в приказе функционал. Это будут ОКИИ. Отнесение остальных ИС к ОКИИ – на усмотрение оператора.
        Имеем следующие объекты КИИ в МО:
1. Электронная регистратура.
2. Электронная медицинская карта
3. ….
       Из раздела 4 приказа Минздрава берем информацию для выполнения пп.а,б,в. П.5 ПП127 и используем в работе комиссии по категорированию.
      Для примера:
      Критические процессы МО:
    1. Процесс управления и планирования потока пациентов при оказании первичной медико-санитарной помощи и специализированной медицинской помощи в стационарных условиях (расписание приема специалистами, учет занятости коечного фонда).
    2. Процесс мониторинга доступности записи на прием к врачу (соблюдение установленных сроков).
    3. Процесс учета населения, прикрепленного к МО (ФОМС).
    4. Процесс мониторинга доступности медицинской помощи.
    Объект, обрабатывающий информацию, необходимую для обеспечения выполнения критических процессов - ИС «Электронная регистратура»
    5. Использовать эту информацию для заполнения п.1.5. формы по 236 приказу ФСТЭК вряд ли удастся. Скорее всего приказ Минздрава вступит в силу уже после изменения 236 приказа ФСТЭК и информацию об процессах предоставлять во в ФСТЭК не потребуется.
                  Сейчас:
1.1.
Наименование объекта
ИС «Электронная регистратура»
1.5.
Критические процессы (управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, функции управления и контроля), которые обеспечиваются объектом
управленческие процессы
Будет:

1.5.
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)
 информационная система


Для фармацевтических организаций все аналогично.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога