sysadmin-pro.ru
КИИ в здравоохранении. Разбираемся как определить и что делать потом если все-таки угораздило. С примерами, шаблонами и экспресс-тестом.
В последнее время к нам поступает большое количество заявок от медицинских организаций на консультацию по теме безопасности КИИ в здравоохранении, а точнее о необходимости выполнения требований по категорированию критической информационной инфраструктуры в медицинских учреждениях (далее – КИИ) ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», в связи с чем появилась необходимость написать поясняющую статью.
Хотелось бы отметить, что действие ФЗ № 187 распространяется только на организации, которые являются субъектом КИИ.
Согласно ФЗ 187 субъектами критической информационной инфраструктуры являются – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
То есть, для определения принадлежности к субъекту КИИ, необходимо определить тип организации, сферу деятельности, наличие информационных систем в этой сфере и на каком основании принадлежат эти ИС организации.
Для наглядности, рассмотрим процесс категорирования объектов кии в здравоохранении, а именно процесс оценки необходимости выполнения требований ФЗ № 187 на примере медицинского учреждения «Клиника»
Медицинское учреждение «Клиника» является юридическим лицом и имеет согласно ОКВЭД следующие виды деятельности: Основной вид деятельности: – 86.22 Специальная врачебная практика. Дополнительные виды деятельности: – 85.30 Обучение профессиональное; – 86.21 Общая врачебная практика.
Медицинские организации как правило являются юридическими лицами или государственными учреждениями. В рассматриваемом примере организация – юридическое лицо. Для государственного учреждения в сфере здравоохранения дальнейший анализ проводится аналогично.
Первоначально необходимо определить сферу деятельности. Основным видом деятельности организации является ОКВЭД 86.22 «Специальная врачебная практика», и дополнительным ОКВЭД 86.21 «Общая врачебная практика», которые входят в группу 86 «Деятельность в области здравоохранения», соответственно медицинское учреждение функционирует в сфере здравоохранения. Помимо сферы здравоохранения, в некоторых случаях, организация может функционировать в других сферах. В таком случае рассматриваются обе сферы.
Теперь необходимо определить, согласно ФЗ-187, принадлежат ли организации на праве собственности, аренды или на ином законном основании информационные системы, информационно-телекоммуникационные сети и/или автоматизированные системы, функционирующим в сфере здравоохранения, т.е. высокотехнологичное компьютеризированное оборудование (томографы, лаборатории, рентгены и т.п.).
Пройдите экспресс-тест и определите является ли ваше учреждение субъектом КИИ. Заполнив данную форму, вы узнаете стоит ли вам готовиться к работам по выполнению требований ФЗ-187, а также, мы пришлем вам шаблон акта, который понадобится вам вне зависимости от того является ли учреждение здравоохранения субъектом КИИ или нет. | ОПРЕДЕЛИТЬ |
Здесь возможны два варианта.
- Предположим, что организации не принадлежат описанные системы. Такое возможно если организация имеет только неавтоматизированное медицинское оборудование (например, стоматологическая установка) и бумажный документооборот. В этом случае, согласно анализу определено, что Клиника является юридическим лицом, функционирующим в сфере здравоохранения, но системы, функционирующие в этой сфере, отсутствуют, следовательно, организация не является субъектом КИИ хоть и функционирует в сфере здравоохранения, и в выполнении требований ФЗ № 187 нет необходимости. В этом случае для обоснования отсутствия объектов КИИ в организации можно использовать данный шаблон. Скачать «АКТ о выполнении требований ФЗ №187»
- Теперь предположим, что организация имеет высокотехнологичное автоматизированное компьютеризированное оборудование (например, рентгенодиагностические аппараты с цифровым терминалом, гамма-камера, автоматизированные лаборатории и иное). В этом случае организации принадлежат на праве собственности, аренды или на ином законном основании автоматизированные системы, функционирующие в сфере здравоохранения, поэтому Клиника является субъектом КИИ, и необходимо выполнять требования ФЗ № 187.
Здесь необходимо обратить внимание на определение права собственности. Принадлежит — числится на балансе, оборудование физически размещено в организации, информационные системы документально введены в эксплуатацию и т.п. Если имеющееся система используется, но не принадлежит Клинике (система вышестоящей организации, для которой Клиника просто пользователь, например, информационная система «Инфоклиника» – принадлежит МИАЦ, Федеральный Регистр сахарного диабета принадлежит ФГБУ Эндокринологический Научный Центр и т.п.), то такую систему рассматривать не нужно.
Если же по результатам анализа вы являетесь субъектом КИИ, то вам необходимо проводить работы по категорированию.
| ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ |
Отправьте нам запрос, и мы БЕСПЛАТНО проконсультируем вас по вопросам безопасности критической информационной инфраструктуры.
|
Вот перечень действий для организации, субъекта КИИ в здравоохранении, для выполнения требований ФЗ №187 «О безопасности КИИ в РФ»:
- Создать комиссию по категорированию (Приказа о создании комиссии в по категорированию объекты КИИ);
- Определить и направить в ФСТЭК перечень объектов КИИ, утвержденный Информационным сообщением ФСТЭК от 24 августа 2018 г. № 240/25/3752 (Образец перечня объектов КИИ подлежащих категорированию);
- Провести анализ актуальных угроз;
- Провести категорирование в соответствии с Постановлением Правительства №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
- Составить акт результатов категорирования;
- Направить сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в ФСТЭК. Форма сведений в ФСТЭК утверждена Приказом N 236 от 22 декабря 2017 г. «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (Образец формы для подачи сведений о результатах присвоения категории объекту КИИ).
Читайте также:
