Новый приказ Минздрава для субъектов КИИ.

 

Рассмотрим важность Приказа Минздрава для субъектов КИИ (медицинских, фармацевтических и органов исполнительной власти субъектов Российской Федерации).

С подписанным приказом можно ознакомится здесь. В силу вступает с 01.07.2019.

Чем он грозит для медицинских и фармацевтических организаций, являющихся субъектами КИИ?
1. Обязательность применения сертифицированных СЗИ, даже для защиты незначимых объектов КИИ. Для ЗОКИИ требования Минздрава ужесточают требования 239 Приказа ФСТЭК – только сертифицированные СЗИ

2. Если по 239 приказу ФСТЭК (проект 2019 года) ограничения по размещению программно-технических средств ЗОКИИ территорией РФ устанавливаются только для 1 категории значимости + предусмотрены исключения для зарубежных филиалов, а также законодательных исключений, то по требованиям Минздрава никаких исключений не предусмотрено и ограничения относятся ко всем ОКИИ, включая незначимые.
3. Установлено требование о бесперебойном круглосуточном функционировании ИС в непрерывном режиме. Если это ИС, с помощью которых оказываются госуслуги населению, то автоматом попадаете под 1 категории значимости КИИ. Смотрим показатели в ПП127, п.5. Даже если брать 4 часа в месяц, отведенные Минздравом на ремонт и обслуживание ИС, это все равно меньше 6 часов (показатель 1 категории). Ну или пытаться доказать при проверках, что в ПП127 расчетный период не указан в ПП127 и его правильно считать годовым.

Что можно использовать субъекту КИИ с пользой:

В приказе описаны функции медицинских и фармацевтических ИС. Соответственно, смотрим на объекты информатизации в конкретной организации и выявляем те, которые обеспечивают указанный в приказе функционал. Это будут ОКИИ. Отнесение остальных ИС к ОКИИ – на усмотрение оператора.

Имеем следующие объекты КИИ в МО:

1.Электронная регистратура.

2. Электронная медицинская карта

3.Из раздела 4 приказа Минздрава берем информацию для выполнения пп.а,б,в. П.5 ПП127 и используем в работе комиссии по категорированию. Для примера:

      Критические процессы МО:

1. Процесс управления и планирования потока пациентов при оказании первичной медико-санитарной помощи и специализированной медицинской помощи в стационарных условиях (расписание приема специалистами, учет занятости коечного фонда).

2. Процесс мониторинга доступности записи на прием к врачу (соблюдение установленных сроков).

3. Процесс учета населения, прикрепленного к МО (ФОМС).

4. Процесс мониторинга доступности медицинской помощи.

Объект, обрабатывающий информацию, необходимую для обеспечения выполнения критических процессов - ИС «Электронная регистратура»

5. Использовать эту информацию для заполнения п.1.5. формы по 236 приказу ФСТЭК вряд ли удастся. Скорее всего приказ Минздрава вступит в силу уже после изменения 236 приказаФСТЭК и информацию об процессах предоставлять во в ФСТЭК не потребуется.

                  Сейчас:

1.1.

Наименование объекта

ИС «Электронная регистратура»

1.5.

Критические процессы (управленческие, технологические, производственные, финансово-экономические и (или) иные процессы, функции управления и контроля), которые обеспечиваются объектом

управленческие процессы

 

Будет:

 

1.5.

Тип объекта (информационная система, автоматизированная система управления, информационно-телекоммуникационная сеть)

 информационная система

 

Для фармацевтических организаций все аналогично.

 

 

источник