ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА РФ В ОБЛАСТИ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
Жуков Даниил Эдуардович
студент группы БИб15-И1 Сибирского автомобильно-дорожного университета, г. Омск
E-mail: tech@mail.ru
СибАДИорганизацию проведение мероприятий по выполнению требований законодательства в области КИИ.
Толкачева Елена Викторовна
канд. техн. наук, доцент кафедры информационной безопасности Сибирского государственного автомобильно-дорожного университета, г. Омск
E-mail: tolkacheva ev@mail.ru
АННОТАЦИЯ
Целью работы является выявление объектов критической информационной инфраструктуры в мед ц нском учреждении. В работе проанализированы требован я законодательства к информационной безопасности объектов
критической нформац онной инфраструктуры, а также сформирована сводная таблица выявленных нформационных систем, программного обеспечения и критическ х процессов.
Ключевые слова: критическая информационная структура (КИИ), защита информации, критические процессы.
Согласно законодательству Российской Федерации [1] объекты информационной инфраструктуры, функционирование которых критически важно для экономики государства называются объектами критической
информационной инфраструктуры (КИИ). Функционирование информационной инфраструктуры медицинских учреждений безусловно относится к критически важным.
Требования законодательства по обеспечению информации должны быть выполнены субъектами КИИ – теми организациями, которым принадлежат объекты КИИ или которые обеспечивают их взаимодействие [2]. Таким образом, руководители медицинских учреждений должны обеспечить
Для выполнения требований законодательства в части обеспечения информационной безопасности КИИ первостепенной задачей является категорирование – выявление объектов критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов критической информационной инфраструктуры [3-4].
В основу категорирования положено выявление критических процессов медицинского учреждения как субъекта КИИ – процессов, для которых
20
нарушение функционирования информационной инфраструктуры приводят к критическим последствиям, относящимся к одной из категорий [5-6]:
-социальные последствия – последствия, приводящие к опасности для здоровья и жизни людей;
-экономические последствия – последствия, приводящие к экономическому ущербу для медицинского учреждения.
СибАДИ |
||
Анализ информационной среды медицинского учреждения показал, что к |
||
социальным последствиям приводят нарушения таких процессов, как: |
||
- процесс амбулаторной медицинской консультации и лечебной помощи ; |
||
- |
процесс зап си пац ента к врачу; |
|
- |
процесс пр ема врача-специалиста в поликлинике; |
|
- |
процесс оказан я скорой медицинской помощи; |
|
- |
процесс реан мац |
и анестезиологии; |
- |
процесс паракл н |
ческой деятельности (диагностика) ; |
- |
процесс мед ц нского газосна жения |
|
- |
процесс фармацевт ческой деятельности; |
|
- |
процесс орган зац |
о щественного питания; |
- |
процесс веден я ухгалтерского учёта; |
|
- |
процесс обслуж ван я IT инфраструктуры; |
|
- |
процесс обеспечен я охраны учреждения; |
|
- процесс обеспечения пожарной безопасности; |
||
К экономическим последствиям приводят нарушения таких процессов, как: |
||
- |
процесс фармацевтической деятельности; |
|
- процесс обслуживания IT инфраструктуры; - процесс ведения бухгалтерского учёта; - процесс обеспечения охраны учреждения;
- процесс обеспечения пожарной безопасности; - процесс обеспечения пожарной безопасности;
- процесс осуществления деятельности контрактной службы.
Таким образом, в результате оценки последствий нарушений информационной безопасности информационных систем медицинского учреждения были выявлены Информационные системы медицинского учреждения выявляются специальной комиссией по категорированию К . Комиссией по категорированию критической информационной инфраструктуры были выявлены в следующие системы:
- ИС «Организационная деятельность медицинского учреждения»: - подсистема «Кадры»;
-подсистема «Бухгалтерия»;
-подсистема «Планово-экономическая»;
-подсистема «Организационно-методическая»;
-ИС «Медицинская деятельность»:
-подсистема «Амбулаторно-поликлиническая»;
-подсистема «Приемное отделение»;
-подсистема «Лабораторно-диагностическая»;
21
-подсистема «Реанимация»;
-подсистема «Скорая медицинская»;
-подсистема «Стационар»;
-подсистема «Фармацевтическая».
Втаблице 1 представлены информационные системы медицинского учреждения, выявленные в ходе категорирования КИИ.
|
|
|
|
|
Таблица 1. |
СибАДИ |
|||||
|
водная таблица выявленных информационных систем, программного |
||||
|
|
|
обеспечения и критических процессов |
||
|
Код |
|
Назван е |
Процессы, |
Используемые |
|
|
|
подс стемы |
происходящие в |
электронные ресурсы и |
|
|
|
|
подсистеме |
ПО |
|
|
ИС «Орган зац онная деятельность медицинского учреждения» |
|||
|
ОД-1 |
|
Подс стема «Кадры» |
Кадровый учет |
ЕГИСЗ, 1С Зарплата и |
|
|
|
|
|
кадры |
|
ОД-2 |
|
Подс стема |
Ведение |
ЕГИСЗ, 1С Бухгалтерия, |
|
|
|
«Бухгалтер я» |
ухгалтерского учета |
1С Бухгалтерский учет, |
|
|
|
|
|
БАРС, Сбис++, |
|
|
|
|
|
Сбербанк Онлайн, УРМ |
|
|
|
|
|
«АС-Бюджет», 1 |
|
|
|
|
|
Аптека, Меркурий, |
|
|
|
|
|
Формы статистической |
|
|
|
|
|
отчетности |
|
ОД-3 |
|
Подсистема |
Взаимодействие со |
Единая информационная |
|
|
|
«Планово- |
страховыми |
система в сфере закупок |
|
|
|
экономический |
компаниями |
(zakupki.gov.ru).ГИС |
|
|
|
отдел» |
Организация |
Омской области в сфере |
|
|
|
|
общественного |
закупок |
|
|
|
|
питания |
(zakupki.omskportal.ru). |
|
|
|
|
Осуществление |
Торговые площадки |
|
|
|
|
деятельности |
(РТС-Тендер, Сбербанк). |
|
|
|
|
контрактной службы |
Парус 8 Онлайн |
|
|
|
|
|
(управление гос. |
|
|
|
|
|
закупками) |
|
ОД-4 |
|
Подсистема |
Проведение |
Мед нфо, СТАРТ |
|
|
|
«Организационно- |
организационно- |
|
|
|
|
методический отдел» |
методической работы |
|
|
|
|
ИС «Медицинская деятельность» |
||
|
МД-1 |
|
Подсистема |
Амбулаторная |
Мед нфо, Мед нфо |
|
|
|
«Амбулаторно- |
медицинская |
родовые сертификаты, |
|
|
|
поликлиническая |
консультация и |
портал omskzdrav.ru, |
|
|
|
служба» |
лечебная помощь |
МедДент, PMain, ТМ |
|
|
|
|
Запись пациента на |
МИС. |
|
|
|
|
прием к врачу |
|
22
|
Код |
Название |
Процессы, |
Используемые |
|
|
подсистемы |
происходящие в |
электронные ресурсы и |
|
|
|
подсистеме |
ПО |
|
|
|
Прием врача- |
|
|
|
|
специалиста |
|
|
|
|
поликлиники |
|
|
|
|
Процесс выдачи |
|
|
|
СибАДИ |
||
|
|
|
больничных листов |
|
|
|
|
Процесс выдачи |
|
|
|
|
справок |
|
|
|
|
Выдача родовых |
|
|
|
|
сертификатов |
|
|
МД-2 |
Подс стема |
Прием пациентов |
МедИнфо |
|
|
«Пр емное |
поступивших по |
|
|
|
отделен е» |
скорой медицинской |
|
|
|
|
помощи |
|
|
МД-3 |
Подс стема |
Параклиническая |
МедИнфо |
|
|
«Лабораторно- |
деятельность |
|
|
|
д агност ческая |
(диагностика) |
|
|
|
служ а» |
|
|
|
МД-4 |
Подсистема |
Реанимация |
и |
|
|
«Реанимация» |
анестезиология |
|
|
МД-5 |
Подсистема |
Оказание |
ТМ МИС |
|
|
«Стационар» |
медицинской |
|
|
|
|
помощи в дневном |
|
|
|
|
стационаре |
|
|
|
|
Оказание медпомощи |
|
|
|
|
в круглосуточном |
|
|
|
|
стационаре |
|
|
|
|
Консервативное |
|
|
|
|
лечение |
|
|
|
|
Оперативное лечение |
|
|
|
|
Акушерство |
|
|
|
|
гинекология |
|
|
|
|
Процесс выдачи |
|
|
|
|
справок |
|
|
МД-6 |
Подсистема «Скорая |
Оказание скорой |
Мед нфо |
|
|
медицинская |
медицинской |
|
|
|
помощь» |
помощи |
|
|
МД-7 |
Подсистема |
Фармацевтическая |
1С Аптека |
|
|
«Фармацевтическая |
деятельность |
|
|
|
служба» |
|
|
23
Сформированный перечень информационных систем, программного обеспечения в дальнейшем будет использован для обеспечения информационной безопасности объектов критической информационной инфраструктуры в медицинских учреждениях в соответствии с требованиями законодательства Российской Федерации и иными нормативно-правовыми актами.
СибАДИ |
||||||||
писок литературы: |
|
|
|
|
|
|
||
1. Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности |
||||||||
критической |
нформац онной инфраструктуры Российской Федерации". |
|||||||
2. Постановлен е Правительства РФ от 8 февраля 2018 г. № 127 “Об |
||||||||
утвержден |
Прав л категорирования объектов критической информационной |
|||||||
инфраструктуры Росс йской Федерации, а также перечня показателей |
||||||||
критериев |
знач мости |
о ъектов |
критической |
информационной |
||||
инфраструктуры Росс |
йской Федерации и их значений”. |
|
|
|||||
3. Пр каз |
Федеральной |
служ ы |
по техническому |
и |
экспортному |
|||
контролю от 21 дека ря 2017 г. № 235 "Об утверждении Требований к |
||||||||
созданию |
с стем |
езопасности |
значимых |
объектов |
критической |
|||
информац онной |
нфраструктуры Российской Федерации |
обеспечению их |
||||||
функцион рован |
я”. |
|
|
|
|
|
|
|
4. Приказ ФСТЭК России от 22.12.2017 № 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" (Зарегистрировано в Минюсте России 13.04.2018 N 50753)
5. Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (Зарегистрировано в Минюсте России 26.03.2018 N 50524).
6. Постановление Правительства РФ от 17.02.2018 № 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
24