Требования по ЗИ от Минздрава и КИИ

Рассмотрим важность Приказа Минздрава для субъектов КИИ (медицинских, фармацевтических и органов исполнительной власти субъектов Российской Федерации).

С подписанным приказом можно ознакомиться здесь. В силу вступает с 01.07.2019.

Чем он грозит для медицинских и фармацевтических организаций, являющихся субъектами КИИ?

Источник материала >

• Обязательность применения сертифицированных СЗИ, даже для защиты незначимых объектов КИИ. Для ЗОКИИ требования Минздрава ужесточают требования 239 Приказа ФСТЭК – только сертифицированные СЗИ.
• Если по 239 приказу ФСТЭК (проект 2019 года) ограничения по размещению программно-технических средств ЗОКИИ территорией РФ устанавливаются только для 1 категории значимости + предусмотрены исключения для зарубежных филиалов, а также законодательных исключений, то по требованиям Минздрава никаких исключений не предусмотрено и ограничения относятся ко всем ОКИИ, включая незначимые.
• Установлено требование о бесперебойном круглосуточном функционировании ИС в непрерывном режиме. Если это ИС, с помощью которых оказываются госуслуги населению, то автоматом попадаете под 1 категории значимости КИИ. Смотрим показатели в ПП127, п. 5. Даже если брать 4 часа в месяц, отведенные Минздравом на ремонт и обслуживание ИС, это все равно меньше 6 часов (показатель 1 категории). Ну или пытаться доказать при проверках, что в ПП127 расчетный период не указан в ПП127 и его правильно считать годовым.

Что можно использовать субъекту КИИ с пользой:

В приказе описаны функции медицинских и фармацевтических ИС. Соответственно, смотрим на объекты информатизации в конкретной организации и выявляем те, которые обеспечивают указанный в приказе функционал. Это будут ОКИИ. Отнесение остальных ИС к ОКИИ – на усмотрение оператора.

Имеем следующие объекты КИИ в МО:

1. Электронная регистратура.
2. Электронная медицинская карта
3. ….

Из раздела 4 приказа Минздрава берем информацию для выполнения пп.а,б,в. П.5 ПП127 и используем в работе комиссии по категорированию. 

Для примера:

Критические процессы МО:

1. Процесс управления и планирования потока пациентов при оказании первичной медико-санитарной помощи и специализированной медицинской помощи в стационарных условиях (расписание приема специалистами, учет занятости коечного фонда).
2. Процесс мониторинга доступности записи на прием к врачу (соблюдение установленных сроков).
3. Процесс учета населения, прикрепленного к МО (ФОМС).
4. Процесс мониторинга доступности медицинской помощи. Объект, обрабатывающий информацию, необходимую для обеспечения выполнения критических процессов – ИС "Электронная регистратура"
5. Использовать эту информацию для заполнения п.1.5. формы по 236 приказу ФСТЭК вряд ли удастся. Скорее всего приказ Минздрава вступит в силу уже после изменения 236 приказа ФСТЭК и информацию об процессах предоставлять во в ФСТЭК не потребуется.

Сейчас:

Будет:

Для фармацевтических организаций все аналогично.