КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Здравоохранение

Здравоохранение относится к сферам, работающим с наиболее критичной информацией – данными о состоянии здоровья пациентов, в силу этого обстоятельства к информационной безопасности организаций здравоохранения  государством предъявляются специализированные требования в следующих нормативно-правовых актах:

НПА Содержание основных требований к здравоохранительным организациям
Федеральный закон № 152-ФЗ  от 27.07.2006г. «О персональных данных» Обязанность обрабатывать и защищать персональные данные пациентов
Федеральный закон № 187-ФЗ от 26.07.2017г. «О безопасности критической информационной инфраструктуры РФ» Обязанность защищать имеющиеся объекты КИИ
Приказ ФАПСИ РФ № 152 от 13.06.2001г. «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайн»

Регламентация правил использования и хранения СКЗИ

Постановление Правительства РФ № 555 от 05.05.2018г. «О единой государственной информационной системе в сфере здравоохранения» Описание подсистем  ЕГИСЗ, их назначения и порядка ведения
Приказ Минздрава России № 911н от 24.12.2018г. «Об утверждении Требований к ГИС в сфере здравоохранения субъектов РФ, МИС медицинских организаций и ИС фармацевтических организаций» Регламентация требований к медицинским информационным системам медицинских и фармацевтических организаций в части взаимодействия с региональными ГИС, электронного документооборота и ЭП, использования отечественного ПО
Федеральный закон № 242-ФЗ  от 29.07.2017г.  «О внесении изменений в отдельные законодательные акты РФ по вопросам применения информационных технологий в сфере охраны здоровья» Особенности применения телемедицинских технологий и работы с ЕГИСЗ
Приказ Минздрава России № 965н от 30.11.2017г. «Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий» Регламентация правил оказания телемедицинских услуг, документирования и хранения информации, полученной по результатам оказания медицинской помощи с применением телемедицинских технологий

Особенности защиты персональных данных в здравоохранительных организациях

Т.к. зачастую медицинские организации обрабатывают информацию, составляющую врачебную тайну, относящуюся к специальной категории персональных данных, тогда, согласно Постановления Правительства № 1119 от 01.12.2012г. ИСПДн в сфере здравоохранения относятся минимум к третьему уровню защищенности (УЗ-3).

Согласно приказу ФСТЭК России №21 от 18.02.2013г. УЗ-3 обязывает организации, кроме использования стандартного набора средств защиты информации (антивирус и межсетевой экран), дополнительно использовать средства защиты от несанкционированного доступа, средства поиска и анализа уязвимостей, специализированные средства защиты виртуализации, а также обезличивать персональные данные на машинных носителях при их передаче между пользователями.

Объекты критической информационной инфраструктуры в сфере здравоохранения

Согласно Федеральному закону №187-ФЗ - организации сферы здравоохранения относятся к субъектам КИИ, а имеющиеся у них информационные системы, автоматизированные системы и информационно-телекоммуникационные сети, в случае участия их в критических процессах, являются объектами КИИ.

При этом нельзя говорить о прямом соответствии имеющихся у организации ИСПДн и объектов КИИ, в силу самого различия процессов обработки персональных данных и критических процессов лечения пациентов. Ниже приведена иллюстрация сравнения типовых ИСПДн и объектов КИИ.

Сфера здравоохранения непосредственно связана с состоянием здоровья людей, поэтому практически все критические процессы в ней относятся к социальной категории критериев значимости объектов КИИ.

Типовыми информационными процессами в здравоохранении являются:

  • Регистрация приема пациентов;
  • Регистрация состояния здоровья пациентов;
  • Диагностика состояния здоровья пациентов;
  • Лечение пациентов, включая оперативное;
  • Поддержание жизнеобеспечение пациентов;
  • Температурный контроль хранения специализированных медикаментов и биоматериалов.

На рисунке ниже приведены примеры объектов КИИ для разных типов организаций здравоохранения.

При этом, отнесение объектов КИИ к значимым или к не значимым зависит от степени информатизации того или иного процесса в каждой организации.   Так МИС, отвечающие за регистрацию состояний здоровья пациентов могут быть не значимыми, если они используются исключительно с целью формирования статистических данных. И наоборот, если в МИС ведется полноценный документооборот и на основе введенных данных специалисты ставят диагнозы и планируют лечение пациентов, то такую МИС целесообразно относить к значимым объектам КИИ – т.к. сбои в ней могут повлечь причинение вреда здоровью хотя бы одного человека.

Еще одной особенностью объектов КИИ является то, что объектом КИИ может быть не только компьютерная сеть, но и отдельное, работающее автономно компьютеризированное медицинское оборудование, в частности: аппараты УЗИ  и лучевой диагностики, томографы, эндоскопы, лабораторные приборы экспресс-анализа и т.п.

Разрабатывая и внедряя системы безопасности значимых объектов КИИ в здравоохранении, нужно четко понимать, что в случае, если значимый объект КИИ является компьютеризированным медицинским оборудования, то необходимо продумывать компенсирующие меры безопасности, в виду невозможности прямого использования средств защиты информации. К таким компенсирующим мерам можно отнести:

  • Опечатывание помещений и ведение журнала опечатывания;
  • Разграничение доступа сотрудников в помещение и регистрация событий доступов, в т.ч. с применением СКУД;
  • Видео-наблюдение;
  • Опломбирование USB и сетевых портов.

При этом, если медицинское оборудование передает данные по внутренней сети на сервер или МИС, то каналы передачи таких данных должны быть зашифрованы и физически/логически ограждены от общей сети организации.

 Использование и хранение СКЗИ

В силу того, что работа с ведением амбулаторных карт и регистрацией состояния здоровья пациентов ведется в электронном виде, требуется фиксация и визирование каждой записи квалифицированной электронной подписью врача.

Устройства, обеспечивающие хранение и передачу электронной подписи являются средствами криптографической защиты информации (СКЗИ)  и требуют соблюдения специализированных правил их эксплуатации и хранения. Данные правила регламентируются приказом ФАПСИ РФ №152 от 13.06.2001г.

Для соблюдения указанных правил организации необходимо:

  • Организовать поэкземплярный учет СКЗИ;
  • Обеспечить безопасность хранения СКЗИ, их документации и дистрибутивов в специализированных шкафах или сейфах;
  • Обеспечить охрану и организовать режим в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним.

Единая государственная информационная система в сфере здравоохранения

С целью информационного обеспечения государственного регулирования в сфере здравоохранения, информационной поддержки деятельности медицинских организаций, обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения с 2017г. начала работу Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ).

Участие в ЕГИСЗ обязательно для всех государственных медицинских учреждений, включая организации федерального, регионального и муниципального подчинения. А с вступлением в силу с 01.01.2020г. Приказа Минздрава России от № 911н и для частных медицинских и фармацевтических организаций.

ЕГИСЗ включает в себя 13 групп подсистем:

  1. Федеральная интегрированная электронная медицинская карта
  2. Федеральная электронная регистратура
  3. Подсистема ведения специализированных регистров пациентов по отдельным нозологиям и категориям граждан, мониторинга организации оказания высокотехнологичной медицинской помощи и санаторно-курортного лечения
  4. Подсистема автоматизированного сбора информации о показателях системы здравоохранения из различных источников и предоставления отчетности
  5. Интеграционные подсистемы
  6. Федеральный регистр медицинских работников
  7. Федеральный реестр нормативно-справочной информации в сфере здравоохранения
  8. Федеральный реестр электронных медицинских документов
  9. Подсистема обезличивания персональных данных
  10. Федеральный реестр медицинских организаций
  11. Геоинформационная подсистема
  12. Защищенная сеть передачи данных
  13. Информационно-аналитическая подсистема мониторинга и контроля в сфере закупок лекарственных препаратов для обеспечения государственных и муниципальных нужд

При этом ЕГИСЗ также имеет 3 уровня:

  • I Уровень - Федеральный сегмент: Федеральная ГИСЗ, являющаяся центральным компонентом информационных систем в сфере здравоохранения и обеспечивающая доступ граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения;
  • II Уровень РМИС - Интеграционные системы (шины): ГИСЗ в сфере здравоохранения субъектов Российской Федерации;
  • III Уровень - МИС медицинских и фармацевтических организаций.

При подключении к ЕГИСЗ соблюдаются все требования, предъявляемые при подключении к ГИС, в соответствии с  мероприятиями Приказа ФСТЭК России №17 и классом  защищенности информационной системы.

При подключении к ЕГИСЗ необходимо:

  • Разработать модели угроз или доработать имеющиеся, согласовать их со ФСТЭК России;
  • Разработать и утвердить внутренние организационно-распорядительные документы по правилам работы, доступа к рабочим местам, через которые осуществляется взаимодействие с ЕГИСЗ;
  • Установить и настроить СЗИ и СКЗИ в соответствии с классом  защищенности информационной системы;
  • Провести аттестацию системы защиты информации.

Дополнительные требования к ГИС в сфере здравоохранения субъектов РФ, МИС медицинских организаций и ИС фармацевтических организаций

С 01.01.2020г. вступил в силу Приказ Минздрава России № 911н от  24.12.2018г. «Об утверждении Требований к ГИС в сфере здравоохранения субъектов РФ, МИС медицинских организаций и ИС фармацевтических организаций».

Ключевыми особенностями Приказа Минздрава России № 911н является:

  • Приравнивание региональных МИС к ГИС;
  • Распространение требований в т.ч. на фармацевтические организации;
  • Регламентация необходимости ведения всего документооборота в ЭДО с использованием ЭП;
  • Регламентация использования исключительно отечественного ПО и ПАК.

 Требования к программно-техническим средствам и защите информации

Особенности использования телемедицинских технологий

Телемедицина – это технология осуществления медицинской деятельности с использованием компьютерных и телекоммуникационных технологий для обмена медицинской информацией между врачом и пациентом, а также  врачами в рамках проведения консилиумов.

Телемедицинские технологии могут применяться при оказании следующих видов медицинской помощи:

  • первичной медико-санитарной помощи;
  • специализированной, в том числе высокотехнологичной, медицинской помощи;
  • скорой, в том числе скорой специализированной, медицинской помощи;
  • паллиативной медицинской помощи.

При этом для начала оказания медицинской помощи в формате телемедицинских технологий медицинской организации необходимо:

  • обеспечить аутентификацию пользователей через портал госуслуг (ЕСИА);
  • обеспечить взаимодействие с подсистемами ЕГИСЗ: Федеральным регистром медработников и Федеральным реестром мед. организаций;
  • использование усиленной квалифицированной электронной подписи медицинского работника;
  • обеспечить шифрование каналов связи;
  • обеспечить мероприятия по защите персональных данных, включая врачебную тайну;
  • обеспечить хранение всей информации, получаемой в ходе оказания медицинской помощи, включая хранение документации, аудио и видео записей кронсультаций.