КИИ в здравоохранении. Как определить и что делать дальше!

КИИ в здравоохранении. Разбираемся как определить и что делать потом если все-таки угораздило. С примерами, шаблонами и экспресс-тестом.

В последнее время к нам поступает большое количество заявок от медицинских организаций на консультацию по теме безопасности КИИ в здравоохранении, а точнее о необходимости выполнения требований по категорированию критической информационной инфраструктуры в медицинских учреждениях (далее – КИИ) ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», в связи с чем появилась необходимость написать поясняющую статью.

Хотелось бы отметить, что действие ФЗ № 187 распространяется только на организации, которые являются субъектом КИИ.

Согласно ФЗ 187 субъектами критической информационной инфраструктуры являются – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

То есть, для определения принадлежности к субъекту КИИ, необходимо определить тип организации, сферу деятельности, наличие информационных систем в этой сфере и на каком основании принадлежат эти ИС организации.

Для наглядности, рассмотрим процесс категорирования объектов кии в здравоохранении, а именно процесс оценки необходимости выполнения требований ФЗ № 187 на примере медицинского учреждения «Клиника»

Медицинское учреждение «Клиника» является юридическим лицом и имеет согласно ОКВЭД следующие виды деятельности: Основной вид деятельности: – 86.22 Специальная врачебная практика. Дополнительные виды деятельности: – 85.30 Обучение профессиональное; – 86.21 Общая врачебная практика.

Медицинские организации как правило являются юридическими лицами или государственными учреждениями. В рассматриваемом примере организация – юридическое лицо. Для государственного учреждения в сфере здравоохранения дальнейший анализ проводится аналогично.

Первоначально необходимо определить сферу деятельности. Основным видом деятельности организации является ОКВЭД 86.22 «Специальная врачебная практика», и дополнительным ОКВЭД 86.21 «Общая врачебная практика», которые входят в группу 86 «Деятельность в области здравоохранения», соответственно медицинское учреждение функционирует в сфере здравоохранения. Помимо сферы здравоохранения, в некоторых случаях, организация может функционировать в других сферах. В таком случае рассматриваются обе сферы.

Теперь необходимо определить, согласно ФЗ-187, принадлежат ли организации на праве собственности, аренды или на ином законном основании информационные системы, информационно-телекоммуникационные сети и/или автоматизированные системы, функционирующим в сфере здравоохранения, т.е. высокотехнологичное компьютеризированное оборудование (томографы, лаборатории, рентгены и т.п.).

Пройдите экспресс-тест и определите является ли ваше учреждение субъектом КИИ. Заполнив данную форму, вы узнаете стоит ли вам готовиться к работам по выполнению требований ФЗ-187, а также, мы пришлем вам шаблон акта, который понадобится вам вне зависимости от того является ли учреждение здравоохранения субъектом КИИ или нет.

 ОПРЕДЕЛИТЬ

Здесь возможны два варианта.

  1. Предположим, что организации не принадлежат описанные системы. Такое возможно если организация имеет только неавтоматизированное медицинское оборудование (например, стоматологическая установка) и бумажный документооборот. В этом случае, согласно анализу определено, что Клиника является юридическим лицом, функционирующим в сфере здравоохранения, но системы, функционирующие в этой сфере, отсутствуют, следовательно, организация не является субъектом КИИ хоть и функционирует в сфере здравоохранения, и в выполнении требований ФЗ № 187 нет необходимости. В этом случае для обоснования отсутствия объектов КИИ в организации можно использовать данный шаблон.  Скачать «АКТ о выполнении требований ФЗ №187»
  2. Теперь предположим, что организация имеет высокотехнологичное автоматизированное компьютеризированное оборудование (например, рентгенодиагностические аппараты с цифровым терминалом, гамма-камера, автоматизированные лаборатории и иное). В этом случае организации принадлежат на праве собственности, аренды или на ином законном основании автоматизированные системы, функционирующие в сфере здравоохранения, поэтому Клиника является субъектом КИИ, и необходимо выполнять требования ФЗ № 187.

Здесь необходимо обратить внимание на определение права собственности. Принадлежит — числится на балансе, оборудование физически размещено в организации, информационные системы документально введены в эксплуатацию и т.п. Если имеющееся система используется, но не принадлежит Клинике (система вышестоящей организации, для которой Клиника просто пользователь, например, информационная система «Инфоклиника» – принадлежит МИАЦ, Федеральный Регистр сахарного диабета принадлежит ФГБУ Эндокринологический Научный Центр и т.п.), то такую систему рассматривать не нужно.

Если же по результатам анализа вы являетесь субъектом КИИ, то вам необходимо проводить работы по категорированию.

ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ

Отправьте нам запрос, и мы БЕСПЛАТНО проконсультируем вас по вопросам безопасности критической информационной инфраструктуры.

 

Вот перечень действий для организации, субъекта КИИ в здравоохранении, для выполнения требований ФЗ №187 «О безопасности КИИ в РФ»:

  1. Создать комиссию по категорированию (Приказа о создании комиссии в по категорированию объекты КИИ);
  2. Определить и направить в ФСТЭК перечень объектов КИИ, утвержденный Информационным сообщением ФСТЭК от 24 августа 2018 г. № 240/25/3752 (Образец перечня объектов КИИ подлежащих категорированию);
  3. Провести анализ актуальных угроз;
  4. Провести категорирование в соответствии с Постановлением Правительства №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  5. Составить акт результатов категорирования;
  6. Направить сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в ФСТЭК. Форма сведений в ФСТЭК утверждена Приказом N 236 от 22 декабря 2017 г. «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (Образец формы для подачи сведений о результатах присвоения категории объекту КИИ).

Межтекстовые Отзывы
Посмотреть все комментарии
guest