Шеф, все пропало!!!
Или о безопасности электронных инструментов в здравоохранении
Недавно в московских поликлиниках зависла ЕМИАС. Кто не знает, это Единая медицинская информационно-аналитическая система города Москвы.

Масштабы ее проникновения во все медицинские учреждения города лучше всего выражаются цифрами:

9 млн. москвичей воспользовались системой.

200 тыс. в день записей к врачу.

50 тыс. в день электронных рецептов.

1 млн. в неделю электронных документов.

Более 3 млн. скачиваний мобильных приложений.

Теперь я знаю, как выглядит ад… Толпы пациентов, которые не знают, во сколько у них прием врача, в процедурном кабинете прекратили прием анализов, потому что назначения в компьютере, а компьютер сдох, врачи, которые все же решились вести прием, не могут открыть карту пациента, пенсионеры требуют бумажных рецептов, но никто не знает, как их заполнять, потому что все уже делала МИС (медицинская информационная система)…

Поэтому я со всей серьезностью изучала документы, которые в этом году определяли основную траекторию развития электронного контура медицины.

Документов много, но главным для клиник частной системы здравоохранения сегодня будет вот этот: «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения. Версия 1.0 (утв. Министерством здравоохранения РФ 5 апреля 2021 г.). Это часть Федерального проекта "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)".

Чтобы не было сомнений в том, что частных клиник это касается, приведу цитату из приложения 3 к Методическим рекомендациям:

Перечень организаций сферы здравоохранения, на которые распространяется область действия настоящих методических рекомендаций: Создаваемые юридическими и физическими лицами медицинские организации, фармацевтические организации и иные организации частной системы здравоохранения, осуществляющие деятельность в сфере охраны здоровья.

То есть, да, к нам это относится также, как и ко всем остальным.

А теперь основные моменты, без которых двигаться дальше будет трудно.

Все организации, осуществляющие деятельность в сфере охраны здоровья, являются субъектами критической информационной инфраструктуры.

Организации сферы здравоохранения как субъекты критической информационной инфраструктуры должны установить соответствие принадлежащих им объектов критической информационной инфраструктуры критериям значимости и показателям их значений.

И поскольку нам предстоит участвовать в категорировании критической информационной инфраструктуры, необходимо сделать следующее:

- определения состава бизнес-процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям;

- составить список информационных систем, автоматизированных систем управления и информационно-телекоммуникационных сетей, которые обрабатывают информацию в медицинской организации;

- сформировать перечень объектов критической информационной инфраструктуры, подлежащих категорированию;

- оценить для каждого объекта критической информационной инфраструктуры масштаб возможных последствий в случае возникновения компьютерных инцидентов;

- присвоить каждому из объектов критической информационной инфраструктуры одну из категорий значимости либо принять решения об отсутствии необходимости присвоения ему одной из категорий значимости;

- подготовить сведения о результатах присвоения объекту критической информационной инфраструктуры организации сферы здравоохранения одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для направления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России).

Да, пока мы вообще не имеем представления о том, как это будет происходить. Мой совет, привлечь к работе специалиста из другой организации, в которой информационная безопасность уже норма жизни. Банк? Транспортные компании? Системы жизнеобеспечения?

Но сначала надо понять, а что мы будет категорировать.

В Методических рекомендациях сказано, что категорированию подлежат ИС (информационные системы), ИТКС (информационно-телекоммуникационные системы), АСУ (автоматизированные системы управления), которые обеспечивают управленческие, технологические, производственные, финансово-экономические и другие бизнес-процессы в организации.

А что у нас есть из названного. Да много чего: СРМ-системы, медицинские информационные системы, 1С- бухгалтерия, «Честный знак», онлайн-касса…

Каждый бизнес-процесс, в котором участвуют информационные инфраструктуры оценивается с трех позиций:

- социальная значимость (способность причинить ущерб жизни и здоровью людей);

- политическая значимость (способность оказывать влияние на функционирование органа государственной власти);

- экономическая значимость (способность оказывать влияние на возможность причинения прямого и косвенного ущерба предприятию).

Слава богу, небольшие частные клиники никак не влияют на функционирование государственной власти, а социальная и экономическая значимость остается. Ее придется оценить.

К чему, например, может привести отключение информационных систем?

- к бактериологическому, радиационному или химическому заражению;

- к отключению приборов, обеспечивающих жизненно важные функции организма;

- к нарушению технологий производства и хранения фармацевтической и медицинской продукции;

- к иным последствиям, пагубно влияющим на жизнь и здоровье людей.

Подчеркните для себя то, что касается ваших бизнес-процессов. Хотя бы работу термоиндикатора в холодильнике с препаратами ботулинического токсина, именно он передает на компьютер старшей медсестры информацию о температуре хранения лекарственных средств.

Экономическая значимость скорее всего будет выражены в аналитической, экспертной, учетной деятельности и взаимодействии с налоговыми органами. налоговые органы.

Так с чего же начать?

- провести ревизию и составить перечень информационных систем организации;

- оценить их участие в управлении, контроле и мониторинге бизнес-процессов;

- сформировать Перечень потенциально значимых объектов критической информационной структуры, подлежащей категорированию.

Ну сосчитать и перечислить системы информационные системы в бизнес-процессах мы сможем. Вполне возможно, что на всю клинику есть одна компьютерная программа, в которой и клиентская база, и экономические показатели, и медицинские карты.

Именно она, выражаясь высоким слогом нормативных документов взяла на себя следующие функции:

- интерпретации данных, заключающуюся в определении смысла данных;

- диагностики оборудования, включающую обнаружение неисправности и отклонений от нормы при выполнении основных функций бизнес-процесса;

- мониторинга интерпретации данных в реальном времени и сигнализации о выходе тех или иных параметров бизнес-процесса за допустимые пределы;

- прогнозирования последствий для бизнес-процесса событий или явлений на основании анализа имеющихся данных;

- планирования действий объектов, выполняющих основные функции бизнес-процесса;

- управления, заключающуюся в поддержании установленного режима деятельности при выполнении бизнес-процесса;

- поддержки принятия решений, заключающуюся в обеспечении необходимой информацией и рекомендациями.

Согласитесь, именно это нам обещали разработчики медицинских информационных систем, но признаемся себе, что и десятой части того, что могут эти системы мы не задействовали в управлении клиникой. Но возможность есть, а значит надо оценить и последствия выхода этих систем из строя.

Утвержденный руководителем Перечень объектов критической информационной инфраструктуры в течение десяти рабочих дней с сопроводительным письмом в произвольной форме направляется в ФСТЭК России.

В том случае, если ваши информационные системы будут признаны значимыми, далее предстоят внутренние работы по обеспечению их безопасности:

- средства защиты информации от несанкционированного доступа (включая встроенные в системное, прикладное программное обеспечение);

- межсетевые экраны;

- средства обнаружения (предотвращения) вторжений;

- средства антивирусной защиты;

- средства (системы) контроля (анализа) защищенности;

- средства управления событиями безопасности;

- средства защиты каналов передачи данных.

В самих Методических рекомендациях есть образцы всех внутренних документов, они понадобятся для контроля безопасности медицинских информационных систем, и образцы документов, которые организация должна передать во ФСТЭК.

И главный вопрос, который возникнет у тех, кто это дочитал до конца, а кто всем этим должен заниматься?

Ответ содержится в Указе Президента РФ от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"

В связи с текущими внешнеполитическими событиями на всех без исключения юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ (КИИ), наложен ряд обязанностей:

• руководителю необходимо создать отдельное структурное подразделение, осуществляющее функции по обеспечению информационной безопасности (ИБ), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.

• руководителю нужно определить своего зама, который будет обеспечивать ИБ, в том числе обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, а также реагировать на компьютерные инциденты. (Постановление Правительства РФ от 15 июля 2022 г. N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)")

• руководителю придется принимать решения о привлечении к осуществлению мероприятий по ИБ сторонних организаций (строго с лицензией на осуществление деятельности по технической защите конфиденциальной информации);

• руководителю нужно будет обеспечить для ФСБ круглосуточный (если нужно – удаленный) доступ ко всем информресурсам, доступ к которым организуется через Интернет, и незамедлительно исполнять все указания ФСБ России и ФСТЭК, если таковые рассылаются, касательно обеспечения ИБ.

И в заключение: в Госдуму внесли поправки об ответственности субъектов критической информационной инфраструктуры (Проект Федерального закона N 176874-8).

Депутаты хотят дополнить норму, по которой штрафуют субъектов критической информационной инфраструктуры (КИИ) за то, что те не представляют сведения в ФСТЭК или опаздывают их подать. Наказывать предлагают и за передачу недостоверных данных.

Собственно, статья в КОАП уже существует:13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

Штрафы по ней на юридическое лицо от 50 до 100 тысяч рублей (части 1и 2), увеличивать их не собираются, но планируют расширить поле деятельности статьи.