8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      КИИ в сфере здравоохранения. Кто относится и на основании чего.

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • КИИ в сфере здравоохранения. Кто относится и на основании чего.
      18 февраля 2019
      // КИИ
      КИИ в сфере здравоохранения. Кто относится и на основании чего.

      Субъекты КИИ в сфере здравоохранения согласно Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ"

      Обеспечить безопасность КИИ

      К субъектам КИИ в сфере здравоохранения, согласно Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», относятся государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения.

      А согласно Общероссийскому классификатору видов экономической деятельности к сфере здравоохранения относятся организации, имеющие ОКВЭД 86 – Деятельность в области здравоохранения. Под этот ОКВЭД подпадает довольно много организаций. Поэтому основной вопрос, на который стоит обратить внимание при проведении работ по КИИ в здравоохранении — имеются ли критические процессы, а также ИС и АСУ, обеспечивающие выполнение этих процессов.

      Под критическими процессами, понимаются процессы, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее – критические процессы).

      После составления перечня критических процессов определяем ИС и АСУ, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов.

      Согласно ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» под обработкой информации понимается совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. То есть фактически любая ИС или АСУ, хоть как-то связанная с критическим процессом, является объектом КИИ. Пока все просто.

       

      Информационная система как объект КИИ в сфере здравоохранения?

      В соответствии с п.1 ст.91 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» под информационными системами в сфере здравоохранения понимается:

      • федеральные государственные информационные системы в сфере здравоохранения;
      • информационные системы в сфере здравоохранения Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования;
      • государственные информационные системы в сфере здравоохранения субъектов Российской Федерации;
      • медицинские информационные системы медицинских организаций;
      • информационные системы фармацевтических организаций.

      Перечень государственных информационных систем в сфере здравоохранения указан на сайте министерства здравоохранения.

      Согласно определению, данному в методических рекомендациях по обеспечению функциональных возможностей медицинских информационных систем медицинских организаций (МИС МО) (утв. Министерством здравоохранения РФ 1 февраля 2016 г.) медицинская информационная система медицинской организации обозначается как «интегрированная или комплексная информационная система, предназначенная для автоматизации лечебно-диагностического процесса и сопутствующей медицинской деятельности медицинской организации».

      МИС МО предназначена для обеспечения:

      • информационной поддержки процесса оказания медицинской помощи на уровне медицинской организации, включая ведение электронной медицинской карты пациента, медико-технологических процессов в рамках медицинской организации;
      • информационной поддержки процесса управления медицинской организации, включая управление административно-хозяйственной деятельностью медицинской организации, формирование и передачу данных о затратах за оказанную медицинскую помощь и лекарственное обеспечение;
      • информационной поддержки процессов взаимодействия с пациентами, включая предоставление возможности записи и самозаписи пациента на прием к врачу, информационного наполнения личного кабинета пациента, выдачи пациенту электронных копий медицинских документов;
      • информационного взаимодействия между различными медицинскими организациями в рамках оказания медицинской помощи, включая направление пациентов в другие медицинские организации для проведения лабораторных и диагностических обследований, для получения медицинской помощи;
      • информационного взаимодействия с централизованными региональными и федеральными информационными ресурсами (ФЭР, ИЭМК, НСИ) в части обмена информацией, связанной с лечебно-диагностическим процессом.

      В документе описаны подсистемы, обеспечивающие базовые функциональные возможности, набор которых зависит от типа медицинской организации. Для каждой подсистемы определены обязательные и рекомендуемые функции.

      Среди функций имеется рекомендуемая функция интеграции с медицинским оборудованием. Это та функция, на основании которой система может стать АСУ.

      При составлении перечня объектов нужно обратить внимание на определение АСУ. По 187-ФЗ автоматизированная система управления — это комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами. То есть должны быть программные средства, должно производиться управление оборудование (исполнительных устройств).

      В проекте Приказа Министерства здравоохранения РФ “Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций” (подготовлен Минздравом России 31.07.2018) описаны требования и возможности государственных информационных систем в сфере здравоохранения субъектов Российской Федерации, медицинских информационных систем медицинских организаций и информационным системам фармацевтических организаций. В документе определены: цели создания и назначение информационных систем, требования к защите информации, требования к функциональным возможностям информационных систем.

      Таким образом, не каждая информационная система является информационной системой в сфере здравоохранения, которые должны соответствовать определенным требованиям.

      Иные информационные системы.

      В п.6 ст.91 323-ФЗ определены иные информационные системы – системы, предназначенные для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг. При этом иные информационные системы не входят в состав информационных систем в сфере здравоохранения, но могут подключаться к информационным системам в сфере здравоохранения.

      В Правилах взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями, утвержденных постановлением Правительства РФ от 12 апреля 2018 г. №447 (далее – Правила), определено что иная информационная система обеспечивает реализацию хотя бы одной из следующих функций:

      • взаимодействие с подсистемами единой системы с целью организации предоставления и получения сведений, обрабатываемых в единой системе, для медицинских организаций и граждан;
      • предоставление пользователям иных информационных систем информации о медицинских организациях, медицинских работниках и возможности получения медицинских услуг, предоставляемых медицинскими организациями;
      • предоставление сервиса записи на прием к врачу и вызова врача на дом;
      • оказание медицинской помощи с применением телемедицинских технологий;
      • информирование граждан об оказанной им медицинской помощи;
      • предоставление сервисов доступа медицинских работников к информации по вопросам осуществления медицинской деятельности, в том числе к нормативным правовым актам и справочной информации в сфере охраны здоровья;
      • получение, обработка и предоставление информации о взаимодействии пользователей иных информационных систем с медицинскими организациями и медицинскими работниками, а также ведение рейтингов медицинских организаций и медицинских работников;
      • организация и сопровождение получения гражданами Российской Федерации медицинских услуг за пределами территории Российской Федерации, иностранными гражданами медицинских услуг на территории Российской Федерации, в том числе оказание медицинской помощи российскими медицинскими организациями и медицинскими работниками за пределами территории Российской Федерации с применением телемедицинских технологий;
      • предоставление информации о медицинских организациях и медицинских услугах;
      • предоставление сервисов, позволяющих гражданам получать агрегированную информацию о состоянии здоровья, а также рекомендации по ведению здорового образа жизни;
      • организация и осуществление информационного обмена в сфере здравоохранения, в том числе по вопросам заключения договора об оказании медицинских услуг, получения информированного добровольного согласия на медицинское вмешательство или отказа от медицинского вмешательства, оформления первичной учетной документации и осуществления расчетов за оказанные медицинские услуги;
      • предоставление аналитической информации об оказываемой медицинскими организациями медицинской помощи, включая медицинские услуги;
      • прием жалоб, заявлений и предложений от граждан и медицинских работников по вопросам оказания медицинской помощи;
      • предоставление сервисов и услуг, сопутствующих оказанию медицинской помощи.

      В п.19. Правил указано, что Министерство здравоохранения Российской Федерации осуществляет ведение перечня иных информационных систем и обеспечивает размещение сведений из указанного перечня на своем официальном сайте в информационно-телекоммуникационной сети “Интернет”. Однако, такой перечень найти не удалось, только перечень ГИС (государственные информационные системы).


      Рекомендуем ознакомиться с этим материалом:

      • КИИ В ЗДРАВООХРАНЕНИИ. КАК ОПРЕДЕЛИТЬ И ЧТО ДЕЛАТЬ ДАЛЬШЕ!

       

       

      Телемедицина.

      Одной из функций иной информационной системы указано оказание медицинской помощи с применением телемедицинских технологий.

      Телемедицинские технологии определены ст.36.2 Федерального закона от 21.11.2011 N 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации” (далее – ФЗ323) и Порядке организации и оказания медицинской помощи с применением телемедицинских технологий, утвержденном приказом Министерства здравоохранения Российской Федерации от 30 ноября 2017 г. № 965н (далее – Порядок).

      В этих документах указано, что телемедицинские технологии используются для консультации в целях профилактики, сбора жалоб, наблюдения за состоянием пациента. Также врач может принять решение о необходимости проведения очного приема: при этом наблюдение за состоянием здоровья пациента возможно только после очного приема.

      Документирование информации об оказании медицинской помощи пациенту с применением телемедицинских технологий, включая внесение сведений в его медицинскую документацию, осуществляется с использованием усиленной квалифицированной электронной подписи медицинского работника.

      На практике (из договора оказания медицинских услуг с подобной организацией) по результатам консультации составляется письменное заключение для пациента. Письменное заключение не является диагнозом и носит рекомендательный характер. Также дается информация о специалистах, к которым следует обратиться для постановки/подтверждения/уточнения диагноза, о рекомендуемых методах диагностики, лечения, связанных с ними рисках, их последствиях и ожидаемых результатах и предоставляет иную подобную информацию.

       

      Что в итоге?

      Ситуация с определением объектов КИИ в сфере здравоохранения выглядит довольно запутанной. С одной стороны, есть определенные типы информационных систем в сфере здравоохранения и требования к ним, с другой стороны, имеются иные информационные системы, функции которых схожи. И к тому же оба типа систем обеспечивают одни процессы. Поэтому рекомендуем быть внимательным при составлении перечня объектов КИИ.


      Мы знаем на сколько сложный процесс выполнения требований 187-ФЗ «О безопасности КИИ», поэтому мы всегда готовы БЕСПЛАТНО проконсультировать вас по вопросам проведения работ. Для получения консультации, отправьте запрос, и мы вам поможем. БЕСПЛАТНАЯ КОНСУЛЬТАЦИЯ


       

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Организационно-распорядительной документация по обеспечению безопасности значимых объектов КИИ
        18 февраля 2021
      • 187-ФЗ «О безопасности КИИ РФ» официальная позиция ФСТЭК к выполнению требований субъектами
        21 декабря 2020
      • Ключевые изменения Приказа ФСТЭК №239 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ (КИИ)» внесенные приказом ФСТЭК №35
        16 сентября 2020
      • Что делать после категорирования? Как оценить требования по обеспечению безопасности объектов КИИ.
        19 марта 2020
      • Категорирование объектов КИИ – есть ли жизнь после?
        31 октября 2019
      • Безопасность КИИ: как определить, что делать и что если не делать
        19 сентября 2019
      • Категория значимости объекта КИИ. С 3 до 1 своими руками.
        20 августа 2019
      • 1 сентября - крайний срок чтобы предоставить перечень объектов КИИ
        18 июня 2019
      • Постановление 127 Правительства РФ в формате “Было-Стало”
        18 июня 2019
      • 187-ФЗ. Безопасность объектов КИИ организации
        29 апреля 2019
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.