КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ МЕДИЦИНСКОГО УЧРЕЖДЕНИЯ
Погарский Павел Юрьевич
студент группы БИб15-И1 Сибирского государственного автомобильнодорожного университета, г.Омск
СибАДИинформации, содержащей персональные данные, врачебную тайну другие сведения, что, позволяет отнести медицинские информационные системы (МИС) к объектам критической информационной инфраструктуры (К И). Организация надежного уровня защиты данных, обрабатываемых в МИС должна удовлетворять требованиям действующего законодательства.
E-mail: pogkill@gmail.com
Анацкая Алла Георгиевна
канд. пед. наук, доцент кафедры «Информационная безопасность», ибирского государственного автомобильно-дорожного университета, г.Омск
E-mail: anatskaya.ag@gmail.com
АННОТАЦИЯ
В данной статье рассматриваются законодательные требования к обеспечен ю нформац онной езопасности в медицинских информационных системах. Целью является категорирование объектов критической информац онной нфраструктуры на примере медицинского учреждения на примере БУЗОО N. Определение критических процессов субъекта КИИ позволит орган зовать олее надежную защиту информации.
Ключевые слова: медицинские информационные системы, объекты критической информационной инфраструктуры, защита информации.
В настоящее время приоритетной задачей для систем здравоохранения является автоматизация деятельности и предоставляемых услуг, создание единой базы данных. Внедрение информационных технологий позволит как пациентам, так и медицинскому персоналу различных категорий быть
мобильными и предоставлять более качественные услуги.
Однако, процессы сбора, обработки и хранения информации могут быть подвержены рискам информационной безопасности. В медицинских учреждениях обрабатываются значительные объемы конфиденциальной
Безопасности объектов КИИ в настоящее время уделяется особое внимание. Так, с 1 января 2018г. вступил в силу ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации», где под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления и другие объекты, функционирование которых критически важно для экономики государства [1].
82
Данный закон не только создает основу правового регулирования, но и определяет принципы обеспечения безопасности КИИ.
Главной целью обеспечения безопасности КИИ является устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак. Одним из главных принципов обеспечения безопасности является предотвращение компьютерных атак [1].
Отнесение объектов информационной инфраструктуры к той или иной
СибАДИ |
|||
категории критичности осуществляется на основе критериев значимости: |
|||
социальной, политической, экономической, экологической, значимость для |
|||
обеспечен я обороны страны, безопасности государства и правопорядка. |
|||
К |
КИИ |
могут |
быть отнесены информационные объекты, |
функцион рующ е в сферах [2]: |
|||
|
здравоохранен |
е; |
|
|
наука; |
|
|
|
транспорт; |
|
|
|
связь; |
|
|
|
энергет |
ка; |
|
|
банковск й (ф нансовый) сектор; |
||
|
топл вно-энергетический комплекс; |
||
|
атомная энергетика; |
||
|
оборонная промышленность; |
||
|
ракетно-космическая промышленность; |
||
|
горнодо ывающая промышленность; |
||
|
металлургическая промышленность; |
||
|
химическая промышленность. |
||
Кроме этого КИИ являются системы, принадлежащие российским юридическим лицам или индивидуальным предпринимателям, обеспечивающие взаимодействие информационных систем или сетей в вышеуказанных сферах деятельности.
На практике ни государственные, ни частные медицинские учреждения не обходятся в своей деятельности без использования информационных систем для обработки персональных данных пациентов и медперсонала. Активная информатизация учреждений здравоохранения имеет своей целью объединение разнородных МИС в единое информационное пространство, в т.ч., внедрение
технологий электронной регистратуры |
единых электронных медицинских |
|
карт пациентов. |
|
|
Для определения критических процессов субъекта К |
выполняется их |
|
категорирование, и определяются критерии последствий. В таблице 1 представлены критические процессы характерные для медицинского учреждения (на примере БУЗОО N), связанные как с основной деятельностью, так и с обеспечивающими подсистемами.
83
Таблица 1.
Критические процессы медицинского учреждения
|
№ |
Наименование |
|
Описание процесса |
|
|
процесса |
|
|
||
|
|
|
|
|
|
|
1 |
Процесс |
|
Прикрепление пациента к медицинской |
|
|
|
амбулаторной |
|
организации на обслуживание. |
|
|
|
СибАДИ |
|
||
|
|
медицинской |
|
Заключение договоров на оказание медицинской |
|
|
|
консультации и |
|
помощи за счет средств пациента или иных |
|
|
|
лечебной помощи |
|
юридических/физических лиц. |
|
|
|
|
Прием и учет вызовов на оказание медицинской |
|
|
|
|
|
|
помощи на дому. |
|
|
|
|
|
Диспансерное наблюдение пациента. |
|
|
|
|
|
Проведение профосмотров/ медосмотров/ |
|
|
|
|
|
диспансеризации. |
|
|
|
|
|
Вакцинопрофилактика. |
|
|
1.1 |
Процесс зап си |
|
О служивание пациента в регистратуре. |
|
|
|
пац ента к врачу |
|
Запись на приём к врачу через интернет сайт. |
|
|
|
|
Запись на приём к врачу через терминал. |
|
|
|
1.2 |
Процесс приема |
|
Ведение амбулаторной карты пациента. |
|
|
|
врача-специалиста |
|
Осмотр пациента. |
|
|
|
в поликлинике |
|
Направление на госпитализацию в стационар |
|
|
|
|
|
(плановую экстренную). |
|
|
|
|
|
Назначение лечения. |
|
|
|
|
Направление пациента на процедуры. |
|
|
|
|
|
Направление пациента на консультацию к узким |
|
|
|
|
|
|
специалистам. |
|
|
|
|
Направление пациента на лабораторное/ |
|
|
|
|
|
|
диагностическое исследование. |
|
|
|
|
Контроль лечения путём повторного приёма. |
|
|
|
|
|
Выписка рецепта, в том числе льготного. |
|
|
|
2 |
Процесс приема |
|
Регистрация пациента. |
|
|
|
пациентов |
|
Приём пациента дежурным врачом. |
|
|
|
поступивших по |
Направление пациента на обследование. |
|
|
|
|
скорой |
|
||
|
|
|
Направление пациента на госпитализацию. |
|
|
|
|
медицинской |
Направление пациента на амбулаторное лечение. |
|
|
|
|
помощи |
|
||
|
|
|
Назначение лекарственных препаратов. |
|
|
|
|
|
|
||
|
3 |
Процесс оказания |
|
Оформление госпитализации (отказа от |
|
|
|
медицинской |
|
госпитализации) пациента в дневной стационар. |
|
|
|
помощи в |
|
Пребывание пациента в дневном стационаре. |
|
|
|
условиях |
|
Направление пациента на диагностические |
|
|
|
дневного |
|
исследования. |
|
|
|
стационара |
|
Направление пациента на консультации. |
|
84
|
№ |
Наименование |
|
Описание процесса |
|
|
процесса |
|
|
||
|
|
|
|
|
|
|
|
|
Направление пациента на процедуры. |
|
|
|
|
|
|
Назначение пациенту медикаментозного лечения. |
|
|
|
|
|
Исполнение лечебных назначений. |
|
|
|
|
Оформление выбытия пациента из дневного |
|
|
|
|
|
|
стационара. |
|
|
4 |
СибАДИ |
|
||
|
Процесс оказания |
|
Ведение плана госпитализации. |
|
|
|
|
мед ц нской |
|
Оперативное взаимодействие со Службой скорой |
|
|
|
помощи в |
|
и неотложной медицинской помощи. |
|
|
|
услов ях |
|
Оформление госпитализации (отказа от |
|
|
|
круглосуточного |
|
госпитализации) пациента. |
|
|
|
стац онара |
|
Маршрутизация пациента в пределах |
|
|
|
|
|
медицинского учреждения. |
|
|
|
|
|
Пре ывание пациента в лечебном отделении. |
|
|
|
|
|
Пре ывание пациента в отделении реанимации и |
|
|
|
|
|
интенсивной терапии. |
|
|
|
|
Направление пациента на диагностические |
|
|
|
|
|
|
исследования. |
|
|
|
|
Направление пациента на консультации. |
|
|
|
|
|
Оформление выбытия пациента из стационара. |
|
|
|
4.1 |
Процесс |
|
Проведение лечебных процедур |
|
|
|
консервативного |
|
Назначение пациенту медикаментозного лечения. |
|
|
|
лечения |
|
|
|
|
4.2 |
Оперативное |
|
Процесс подготовки к операции |
|
|
|
лечение |
|
Хирургическая деятельность (проведение |
|
|
|
|
|
операции). |
|
|
5 |
Процесс оказания |
|
Регистрация вызова. |
|
|
|
скорой |
|
Осмотр фельдшером скорой помощи по месту |
|
|
|
медицинской |
|
вызова. |
|
|
|
помощи |
|
Выполнение диагностических лечебных |
|
|
|
|
|
процедур (неотложная помощь). |
|
|
|
|
|
Госпитализация (при необходимости). |
|
|
6 |
Процесс |
|
Подготовка к родоразрешению. |
|
|
|
акушерства и |
|
Родоразрешение. |
|
|
|
гинекологии |
|
Послеродовой уход |
|
|
7 |
Процесс |
|
Проведения комплекса лечебных мероприятий, |
|
|
|
реанимации и |
|
направленный на оживление, т.е. восстановление |
|
|
|
анестезиологии |
|
жизненно важных функций у пациентов, |
|
|
|
|
|
находящихся в состоянии клинической смерти. |
|
|
|
|
|
Интенсивная терапия |
|
|
8 |
Процесс |
|
Диспетчеризация диагностических направлений. |
|
|
|
параклинической |
|
Лабораторная диагностика. |
|
85
|
№ |
Наименование |
|
Описание процесса |
|
|
процесса |
|
|
||
|
|
|
|
|
|
|
|
деятельности |
|
Проведение консультаций. |
|
|
|
(диагностика) |
|
Радиологическая диагностика. |
|
|
|
|
|
Функциональная диагностика. |
|
|
|
|
|
Восстановительное лечение. |
|
|
|
|
|
Патолого-анатомическая деятельность. |
|
|
|
СибАДИ |
|
||
|
|
|
|
Трансфузиология. |
|
|
9 |
Процесс |
Применение медицинских газов (кислород, закись |
|
|
|
|
мед ц нского |
азота, воздух, азот и т.д.), вакуумной системы и |
|
|
|
|
газоснабжен я |
с стемы доставки (разводки) медицинских газов в |
|
|
|
|
|
процессе лечения |
|
|
|
10 |
Процесс |
Аптечная деятельность, заказ лекарственных |
|
|
|
|
фармацевт ческой |
препаратов, продажа лекарственных препаратов |
|
|
|
|
деятельности |
|
|
|
|
11 |
Процесс |
Закупка продуктов для организации общественного |
|
|
|
|
орган зац |
п тания, хранение продуктов, приготовление пищи, |
|
|
|
|
общественного |
о служивание пациентов стационара в столовой |
|
|
|
|
питан я |
|
|
|
|
12 |
Процесс ведения |
С ор первичных данных, составление и отправка |
|
|
|
|
бухгалтерского |
отчётности и иных сведений, мин здрав, ИФНС, ПФР, |
|
|
|
|
учёта |
ФСС, Статистика. Начисление заработной платы. |
|
|
|
|
|
Ра ота с поставщиками. Работа с физическими |
|
|
|
|
|
лицами – платные услуги. |
|
|
|
13 |
Процесс |
Поддержание в работоспособном состоянии сетевой |
|
|
|
|
обслуживания IT |
инфраструктуры учреждения, настройка сетевых |
|
|
|
|
инфраструктуры |
устройств, поддержание безопасности локально- |
|
|
|
|
|
вычислительной сети. Инсталляция и настройка |
|
|
|
|
|
программных продуктов, обновление конфигураций |
|
|
|
|
|
программного обеспечения. Приобретение нового |
|
|
|
|
|
оборудования, комплектующих, расходных |
|
|
|
|
|
материалов, программного обеспечения. Проведение |
|
|
|
|
|
ремонта модернизации компьютерного парка и |
|
|
|
|
|
сопутствующего оборудования. Работа с |
|
|
|
|
|
провайдерами услуг хостинга, телефонии, интернета. |
|
|
|
|
|
Антивирусная защита рабочих станций, серверов и |
|
|
|
|
|
сети. Предотвращение внешних угроз и потери |
|
|
|
|
|
информации. Проведение резервного копирования |
|
|
|
|
|
информации по графику. |
|
|
|
14 |
Процесс |
|
Осуществление физической охраны: |
|
|
|
обеспечения |
|
осуществление контрольно-пропускного режима |
|
|
|
охраны |
|
граждан, осуществление контрольно-пропускного |
|
|
|
учреждения |
|
режима транспорта |
|
|
|
|
Осуществление пультовой охраны: постановка под |
|
|
86
|
№ |
Наименование |
|
Описание процесса |
|
|
|
процесса |
|
|
|||
|
|
|
|
|
||
|
|
|
|
|
охрану кабинетов, выезд группы быстрого |
|
|
|
|
|
|
реагирования по тревожному сигналу |
|
|
15 |
Процесс |
Здание оснащено автоматическими датчиками |
|
||
|
|
обеспечения |
дымоуловителей и автоматической системой |
|
||
|
|
пожарной |
оповещения людей о пожаре |
|
||
|
|
СибАДИ«03»; |
|
|||
|
|
безопасности |
|
|
|
|
|
16 |
Процесс |
|
Планирование закупок. |
|
|
|
|
осуществлен я |
|
Обоснование закупок. |
|
|
|
|
деятельности |
|
Обоснование начальной максимальной цены |
|
|
|
|
контрактной |
|
контракта. |
|
|
|
|
службы |
|
О щественные обсуждения закупок. |
|
|
|
|
|
|
|
Привлечение экспертов, экспертных организаций. |
|
|
|
|
|
|
Подготовка, размещение в единой |
|
|
|
|
|
|
информационной системе в сфере закупок |
|
|
|
|
|
|
извещения об осуществления закупки, |
|
|
|
|
|
|
документации о закупках, проектов контрактов и |
|
|
|
|
|
|
другой документации. |
|
|
|
|
|
|
Рассмотрение банковских гарантий организация |
|
|
|
|
|
|
осуществления уплаты денежных сумм по |
|
|
|
|
|
|
анковской гарантии. |
|
|
|
|
|
|
Организация заключения контрактов. |
|
|
|
|
|
Организация приёмки поставленного товара, |
|
|
|
|
|
|
|
выполненной работы, оказанной услуги. |
|
|
|
Критичностью данных процессов могут быть социальные или |
||||
|
экономические последствия. |
|
|
|||
|
|
Перечень объектов медицинского учреждения БУЗОО N можно |
||||
|
классифицировать на 3 группы [3]: |
|||||
|
|
1. |
Информационные системы: |
|||
|
|
|
«Электронная очередь»; |
|||
|
|
|
«СОЦ-Лаборатория»; |
|||
|
|
|
«Льготные рецепты»; |
|||
|
|
|
«М-Аптека»; |
|
|
|
«Экспресс-здоровье».
2.Автоматизированные системы управления:
Автоматизированная система оперативного управления диспетчерской службой скорой медицинской помощи;
АСУ пожаротушением;
АСУ рентген аппаратами;
АСУ томографом;
АСУ лучевой терапия.
87
3.Информационно-телекоммуникационные сети:
корпоративная сеть медицинского учреждения.
Входе реализации мероприятий по обеспечению безопасности значимых объектов должны приниматься организационные меры и внедряться средства защиты информации на таких объектах, направленные на блокирование угроз безопасности информации. В состав мер по защите информации для объектов
КИИ входят следующие мероприятия:
СибАДИ |
|
|
аудит безопасности; |
реагирование на инциденты ИБ; |
|
|
управлен е конф гурацией; |
|
управлен е обновлениями ПО; |
|
план рован е мероприятий по обеспечению безопасности; |
|
обеспечен е действий в нештатных (непредвиденных) ситуациях; |
|
нформ рован е и о учение персонала. |
Кроме этого нео ход мо учитывать следующие ограничения [4]: |
|
|
не допускается наличие прямого удаленного доступа к значимому |
|
объекту; |
не допускается передача информации, в т.ч. технологической, разработч ку/производителю значимого объекта без ведома субъекта КИИ.
При отсутствии возможности реализации отдельных мер защиты информации, в первую очередь рассматриваются меры по обеспечению промышленной физической езопасности объекта.
Защита конфиденциальной информации должна быть одним из главных приоритетов медицинских учреждений, при автоматизации деятельности. Создание комплексной системы защиты информации значимых объектов КИИ на основе законодательных требований, позволит минимизировать риски информационной безопасности, обеспечит бесперебойное функционирование процесса предоставления медицинских услуг.
Список литературы:
1. Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
2. Критическая информационная инфраструктура на пороге 2019 года. [Электронный ресурс] – Режим доступа: https://rtmtech.ru/articles/kriticheskaya- informatsionnaya-infrastruktura-2019/
3.Брюсов С. КИИ. Категорирование объектов, часть 3. [Электронный ресурс] – Режим доступа: https://www.securitylab.ru/blog/personal/sborisov/ 344274.php
4.Категорирование объектов КИИ, требования к системам безопасности и обеспечению безопасности значимых объектов КИИ. [Электронный ресурс] –
Режим доступа: https://rvision.pro/blog-posts/kategorirovanie-obektov-kii- trebovaniya-k-sistemam-bezopasnosti-obespecheniyu-bezopasnosti-znachimyh- obektov-kii/
88