Рассмотрим важность Приказа Минздрава для субъектов КИИ (медицинских, фармацевтических и органов исполнительной власти субъектов Российской Федерации).
С подписанным приказом можно ознакомится здесь. В силу вступает с 01.07.2019.
Чем он грозит для медицинских и фармацевтических организаций, являющихся субъектами КИИ?
1. Обязательность применения сертифицированных СЗИ, даже для защиты незначимых объектов КИИ. Для ЗОКИИ требования Минздрава ужесточают требования 239 Приказа ФСТЭК – только сертифицированные СЗИ
2. Если по 239 приказу ФСТЭК (проект 2019 года) ограничения по размещению программно-технических средств ЗОКИИ территорией РФ устанавливаются только для 1 категории значимости + предусмотрены исключения для зарубежных филиалов, а также законодательных исключений, то по требованиям Минздрава никаких исключений не предусмотрено и ограничения относятся ко всем ОКИИ, включая незначимые.
3. Установлено требование о бесперебойном круглосуточном функционировании ИС в непрерывном режиме. Если это ИС, с помощью которых оказываются госуслуги населению, то автоматом попадаете под 1 категории значимости КИИ. Смотрим показатели в ПП127, п.5. Даже если брать 4 часа в месяц, отведенные Минздравом на ремонт и обслуживание ИС, это все равно меньше 6 часов (показатель 1 категории). Ну или пытаться доказать при проверках, что в ПП127 расчетный период не указан в ПП127 и его правильно считать годовым.
Что можно использовать субъекту КИИ с пользой:
В приказе описаны функции медицинских и фармацевтических ИС. Соответственно, смотрим на объекты информатизации в конкретной организации и выявляем те, которые обеспечивают указанный в приказе функционал. Это будут ОКИИ. Отнесение остальных ИС к ОКИИ – на усмотрение оператора.
Имеем следующие объекты КИИ в МО:
1.Электронная регистратура.
2. Электронная медицинская карта
3.Из раздела 4 приказа Минздрава берем информацию для выполнения пп.а,б,в. П.5 ПП127 и используем в работе комиссии по категорированию. Для примера:
Критические процессы МО:
1. Процесс управления и планирования потока пациентов при оказании первичной медико-санитарной помощи и специализированной медицинской помощи в стационарных условиях (расписание приема специалистами, учет занятости коечного фонда).
2. Процесс мониторинга доступности записи на прием к врачу (соблюдение установленных сроков).
3. Процесс учета населения, прикрепленного к МО (ФОМС).
4. Процесс мониторинга доступности медицинской помощи.
Объект, обрабатывающий информацию, необходимую для обеспечения выполнения критических процессов - ИС «Электронная регистратура»
5. Использовать эту информацию для заполнения п.1.5. формы по 236 приказу ФСТЭК вряд ли удастся. Скорее всего приказ Минздрава вступит в силу уже после изменения 236 приказаФСТЭК и информацию об процессах предоставлять во в ФСТЭК не потребуется.
Сейчас:
1.1. |
Наименование объекта |
ИС «Электронная регистратура» |
1.5. |
Критические процессы (управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, функции управления и контроля), которые обеспечиваются объектом |
управленческие процессы |
Будет:
1.5. |
Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть) |
информационная система |
Для фармацевтических организаций все аналогично.