Определение значимых объектов КИИ в медицинских учреждениях

Обсуждение перенесено из Teleram-чата КИИ 187-ФЗ как узконаправленное:

vasiliy, [21.12.18 07:52]
Вопрос поликлиникам, зокии определили как аис основная и все? В процессе обсуждения у нас существует мнение что в поликлинике всем ИС не присваивать категорию, якобы при отключении всей сети услуги будут оказываться в любом случае

Vasya Kasyanov, [21.12.18 07:54]
Мне чисто ради интереса
какие из ваших ИС пообще поподают под критерии?
1)техногеннные
2)человеческие жертвы
и т.д

Ruslan Nigmatullin, [21.12.18 07:55]
[In reply to vasiliy]
Невозможно

Vasya Kasyanov, [21.12.18 07:55]
у вас же не поликлиника размером с ГОРОД

Иван, [21.12.18 07:55]
[In reply to vasiliy]
Вы говорите по ИС и в то же время про отключение сети. Это разные вещи и разные понятия

Даже если у Вас есть ис и итс то они хоть и окии, то уж точно без категории (я не знаю Ваших объектов, но нарушение в их работе врядли приведет к критериям)

Леонид, [21.12.18 07:59]
Полностью согласен.

vasiliy, [21.12.18 08:00]
[In reply to Vasya Kasyanov]
Хотябы основная аис поликлиника, на ней завязан весь учёт, но если она встанет на день ничего критичного не произойдёт, с учётом бэкапа конечно, на неделю перестанут отправляться счета в тфомс уже хуже, на месяц перестанут закупаться материалы для работы а это уже критично

Vasya Kasyanov, [21.12.18 08:00]
[In reply to vasiliy]
Это не проходит по критериям

а вы всегда можете сказать (не знаю процесса, но предположение) что в случае когда автомат неработает, то чтото жизненно важное для обеспечение (наверное спасения жизней) функционирования вы можете делать “руками”

Ruslan Nigmatullin, [21.12.18 08:45]
Кто работает в крупных больницах знает, что есть ССМП, реанимация, что в случае инсульта время идет на минуты (пару часов), есть специальные критерии по обеспечению бесперебойной работы больницы в качестве подачи электричества и т.д. Моя поликлиника маленькая и критических служб нет, но я бы точно не советовал списывать это со счетов. Безусловно в случае полного П. у нас в регионе есть регламент об изменении маршрутизации потокапациента, соседние города будут принимать больных, но те, что лежат в больнице, в реанимации и не транспортабельны или их много и столько не перевезти за раз и т.д. В общем там очень много НО, и думаю далеко за пределы 187 …

Алексей Лукацкий, [21.12.18 09:06]
[In reply to vasiliy]
Что не советует ФСТЭК, так это рассматривать только сиюминутную проблему доступности при оценке последствий. Что будет, если кому-то взбредет в голову подменить в МИС рецепты и назначения?

Иван, [21.12.18 09:06]
[In reply to Ruslan Nigmatullin]
Никто не списывает этот фз со счетов, просто многие учреждения настращали минздравы, департаменты и миацы. Поэтому лепят все и без раздумья в эти списки и шлют “так как им сказали”.И они не до конца осознают ту ответственность и те последствия, которые потом получаются. Коллега, есть много регламентирующих работу мед учреждений документов, помимо тех, что связаны с информатизацией (и стандарты оказания и гос гарантии и различные фз и регламенты бесперебойной работы, то же электричество). Но надо отметить следующее, что оказание мед помощи, именно сам процес и правила оказания в большинстве своем не связаны с информатизацией как таковой, так как речь идето работе людей, а не компьютера. И есть реально очень мало таких учреждений, где информатизация настолько тестно переплетена с реальной практической медицинской деятельностью, что от нарушения информационного процесса, страдать могут люди (во всяком случае я не могу вспомнить ни один ФАП, ВОП, Поликлинику, даже больницу среднего уровня). Даже та самая система развития ЕГИСЗ - только начало. Много будет и много всего там уже есть, но даже и это в основе своей не будет столь критично влять на последствия из 127 пп. Понятно, что в будущембудет иначе. Но сейчас…

Ruslan Nigmatullin, [21.12.18 09:08]
[In reply to Иван]
Я думаю любая ЦГБ / ЦРБ легко попадает именно в такой перечень “тесно переплетена”

Иван, [21.12.18 09:08]
[In reply to Ruslan Nigmatullin]
Не любая, я Вас уверяю

Ruslan Nigmatullin, [21.12.18 09:09]
[In reply to Иван]
Забыл маленькое, но важное обстоятельство, любая в моём регионе или скажем в Москве :slight_smile:

Алексей Лукацкий, [21.12.18 09:12]
Вчера услышал слух: в проекте новый редакции ПП-127 убраны незначимые объекты как как класс - нижняя граница 3-ей категории значимости начинается с нуля

Иван, [21.12.18 09:13]
[In reply to Алексей Лукацкий]
))) То есть все ОКИИ как минимум 3-категория?!

Леонид, [21.12.18 09:13]
[In reply to Алексей Лукацкий]
это как?

Алексей Лукацкий, [21.12.18 09:13]
[In reply to Иван]
В худшем сценарии развития событий да

Иван, [21.12.18 09:14]
[In reply to Алексей Лукацкий]
Тогда в этом случае нас всех ждет 239 приказ
[In reply to Алексей Лукацкий]
Но это не разумно. Вшивая ис, которая нужна только для отчетности, но является ис в сфере здрава, должна защищаться мерами в разы превосходящими по затратам стоимость, содержащейся в ней информации

Alexxiel, [21.12.18 09:16]
Это все пока только планируется. Обсуждение этого нововведения и других будут проводится на след неделе.

Иван, [21.12.18 09:16]
[In reply to Иван]
Единственное в этом варианте-делать такие ис не окии
[In reply to Alexxiel]
Подождем, увидим

Алексей Лукацкий, [21.12.18 09:19]
[In reply to Иван]
Логика такая: многие сейчас стараются выйти из под ЗОКИИ всеми правдами и неправдами. Надо этому препятствовать. А то, что кого-то заденет невиновного, увы…

Alexxiel, [21.12.18 09:26]
[In reply to Иван]
Не совсем так. Действительно предполагается изменить некоторые критерии, что теперь попасть в категорию довольно таки просто, но (уже) постоянно действующая комиссия по категорированию все ещё может принять решение об отсутствии необходимости присвоения категорий.
Ну и будет жесткий срок по завершению категорированию.

Иван, [21.12.18 09:30]
[In reply to Алексей Лукацкий]
Данную позицию, точнее опасения, регулятор выссказывал и на своих выступлениях. Но при таком подходе, регулятор может недополучать реальной информаци, ведь все будут комиссией говорить что нет окии. И все. Кто хочет тратить уйму денег на то, что, по мнению руководства, особенно бюджетного, не нуждается в столь огромном внимании и защите. Регулятор это никак не проверит. Толькоесли будет инцидент, да и то, скорее всего эти проблемы будут решаться на местах. Регулятор не уполномочен ходить и заглядывать в компьютеры и смотреть что за ИС есть и как она работает, да и не будет.

Игорь, [21.12.18 09:40]
[In reply to Алексей Лукацкий]
всё дублируется на бумаге

Алексей Лукацкий, [21.12.18 09:46]
[In reply to Игорь]
И что? Врач смотрит в экран и сверяет с бумагой? Или только в экран?

Игорь, [21.12.18 09:46]
мис только дополнение в больницах

Алексей Лукацкий, [21.12.18 09:46]
[In reply to Alexxiel]
И ответственность за некатегорирование :wink:
[In reply to Игорь]
Я про вообще медицинские системы. Любые

Игорь, [21.12.18 09:47]
ну какая к примеру может привести к ущербу для здоровья?

Алексей Лукацкий, [21.12.18 09:47]
[In reply to Иван]
Это другая сторона проблмы, которую будут решать потом :wink:

Иван, [21.12.18 09:48]
[In reply to Алексей Лукацкий]
Это всегда так! ))) вначале сделаем, потом думает ))

Иван, [21.12.18 09:49]
[In reply to Игорь]
не всегда

Игорь, [21.12.18 09:50]
был ли хоть один случай чтобы модификация данных в мис привела к ущербу для здоровья?

Алексей Лукацкий, [21.12.18 09:51]
[In reply to Иван]
Нет. Просто регулятор борется со следствиями, а не причиной. Привычными способами и доступными ресурсами.

Алексей Лукацкий, [21.12.18 09:51]
И в краткосрочном временном горизонте, не заглядывая дальше

Игорь, [21.12.18 09:52]
и что вы подразумеваете за мис? в общем организацию или программный комплекс

Molotilov Val - MIAC, [21.12.18 09:54]
[In reply to Игорь]
Радоваться надо что пока не было. У людей есть непереносимость лекарст, наркоз можно не все препараты. так что модификация данных в МИС (медицинская информационная система) может привести к летальному исходу
И если МИС региональная то шансов больше

Игорь, [21.12.18 09:54]
но только это ведь вклеивают в карту?
врач ведь смотрит что клеит или что распечатывает с этой мис

Алена, [21.12.18 09:55]
В этом году в Тюменском нейрохирургическом делали девочке операцию. А в результате атаки хакеров завершать операцию хирургу пришлось, полагаясь на профессионализм. Все приборы потухли

Molotilov Val - MIAC, [21.12.18 09:56]
[In reply to Игорь]
вы в соседнем городе требуетсся оперативное вмешательство - данные будут взяты из РМИС. и все вы умерли😩

Игорь, [21.12.18 09:57]
это всё на уровне сказки, на деле всё по другому
есть региональная мис куда врачи раз через раз забивают данные
и никто в серьез до сих пор не воспринимает, пока не уберут бумажные варианты
мб где-то в москве и забивают только в мис и никуда больше, но во многих регионах не так

Molotilov Val - MIAC, [21.12.18 10:00]
[In reply to Игорь]
Судя по тем усилиям которые МИнздрав прикладывает загоняя всех в цифру , то это скоро станет реальностью.
А так каждый сам принимает решение есть категория нет категории, и что учитывать что нет. Просто гипотетически возможно-возможно, нужно учитывать.

Алексей Манжелеев, [21.12.18 10:02]
Приезжает на провеку РосЗдравНадзор и смотрит бумажные журналы, амбулаторные карты и истории болезни и всем плевать что в МИС забито и что НЕ забито

Иван, [21.12.18 10:02]
Коллеги Вы все правы. Да в регионах все иначе. Ноэто только сейчас. В центральных районах - иначе и это уже факт. МЗ не стоит на месте. Но все-же к оценке надо подходить с большим вниманием, но использовать “армагедон” - не везде и не всегда корректно. Для кого-то это подходит, для кого-то нет

Molotilov Val - MIAC, [21.12.18 10:04]
[In reply to Иван]
Ни кто и не спорит у всех системы разные и информация разная.

Иван, [21.12.18 10:10]
[In reply to Алексей Манжелеев]
А вот тут Алексей, Вы наверное немного не в курсе текущего состояния дел по НПА и прочему. ГОСТ Р- 52636-2006 Электронная история болезни, 2007год, 2013 год - основные разделы электронной мед карты, за подписью Скворцовой, 2016 год - метод рекомендации по обеспечению функциональных возможностей МИС, за ее же подписью, 447пп о правилах взаимодействия информационных систем,ну и конечно же 555 постановление. Начал копать и нашел, что уже в 2007 году было прописано при каких условияю электронная история болезни является юридически значимой, таким образом не обязательно иметь бумагу! )) Есть еще требования к МИС, и ряд профильных документов, и законов. Поэтому, если все это учитывать и исключить бумажный документооборот, мы реально получим ЗОКИИ и не какой-то 3 категории а уже 1. Но повторюсь, если все вышеописанное учитывать! Но на текущий момент это есть далеко не везде

Алексей Манжелеев, [21.12.18 10:20]
[In reply to Иван]
Это всё хорошо, законы, распоряжения и т.п. Я не много не о том говорил. А говорил я о том, реально ли сейчас работать исключительно в МИС. Я пока не представляю как работать только в МИС исключая печать бумажных документов. У нас бывает элементарно по 3 раза в день электричество отключают и как работать тогда? Пациенты ждать будут ?! Так хоть вручную написал и вклеил.

Sergey Pariev, [21.12.18 12:00]
[In reply to Игорь]
А у вас есть средства/процессы/алгоритмы определения такой ситуации? Подозреваю , что нет … Поэтому и говорить, что таких ситуаций не было нельзя.

Sergey Pariev, [21.12.18 12:10]
Есть примеры, не из медицины правда, когда при разборе аварий приходили к выводу, что конфигурация системы изменялась на какой-то период времени, происходила авария, а затем конфигурация “чудесным образом” приходила в норму. При этом не было ни средств, ни возможности как-то зафиксировать (например, логами) эти самые изменения, т.к. такой вариант несанкционированного вмешательства даже не прогнозировался при проектировании.

Игорь, [21.12.18 12:11]
Тогда можно любой обьект подвести под значимый
Осталось только фантазию развить
Маразм…

Dmitry Kuznetsov, [21.12.18 12:38]
[In reply to Алексей Лукацкий]
Есть очень небольшое количество лечебных учреждений, в которых МИС первична. Их можно по пальцам пересчитать. В основной массе первичны бумажные истрии болезни и бумажные арзивы
[In reply to Игорь]
Есть передовой кардиоцентп в Нижнем Новгороде с вообше безбумажным лечением. Воачи бегают с планшетами. Там таких инцидентов пока ее былр, но они там возможны.

З.Ы. Да, знающие люди тут вот подсказывают, что норматив “количество больных на врача, ведущего палату” устанавливается с учетом того, что основные жизненные показатели саоих пациентов врач помнит.

Sergey Pariev, [21.12.18 12:43]
Имхо, все эти танцы с бубнами для систем напрямую влияющими на жизнь и здоровье пациентов и есть маразм … считайте средний поток пациентов и оцениваете время с течении которого вы достоверно определите компрометацию (+восстановление) системы … перемножайте - получите ущерб. Меньше 3-й категории в принципе не получится …

Dmitry Kuznetsov, [21.12.18 12:48]
[In reply to Sergey Pariev]
Медики говорят обратное. “…а кто считает иначе, пусть сперва покажет свой сертификат врача-лечебника” :slight_smile:

Иван, [21.12.18 12:51]
[In reply to Dmitry Kuznetsov]
Это верно, но мы о чем сейчас говорим? О стандартах лечения или влиянии на это лечение (точнее влияние комп атаки на последствия) технологий!? Ели первое, то да - с медиками спорить глупо. Если второе, то медики не совсем компетентны, точнее не им одним необходимо принимать решение. Корректней не так, не одно их мнение нужно учитывать!

Dmitry Kuznetsov, [21.12.18 12:55]
[In reply to Иван]
Медики в этом на голову компетентнее айтишников и бещопасников :).

  • А что будет, если кто-то подменит результаты анализов?
  • А ты думаешь на бумаге такого не бывает? Бывает и отдельные показатели путают, и пациентов. Но в человеческом организме всемвзаимосвязано, не может один показатель меняться независимо от остальных. Если результаты анализа не соответствуют клинической картине, то никто сгоряча ничего делать не будет, сперва все перепроверят.

Иван, [21.12.18 12:58]
[In reply to Dmitry Kuznetsov]
Уменя тоже медик “под рукой” )) И полностью разделяет позицию. Но увы зачастую решение медицинских вопросов идет не совсем вместе с вопросами ит обеспечения и тем более иб. Это у многих так. Я говорю о том, что принимать решения всегда нужно сообща не только узким кругом специалистов, а разностороннеохаватывающей аудиторией. И это увы тоже не всегда.
[In reply to Dmitry Kuznetsov]
Дословно: “У нас были случаи, когда открывали региональный мед центр по риему анализов, на первых этапах получали результаты, которые абсолютно не соответствовали клинической картине. Ведь там тоже люди. И если в поликлиники 4-5 лаборантов обслуживают город, то там обслуживали целый район. А результаты получали через интернет или с водителями. Хоть и вычисляет анализ машина, но пробирку кладет человек. Вот от туда и пошли проблемы. Все конечно уже нормализовалось, вошли в русло. Но факт есть факт. Приходилось самим у себя дополнительно людей “дырявить” и заного делать анализы”
[In reply to Dmitry Kuznetsov]
Именно об этом я и говорил. Сейчас это так. Но в будущем будет иначе. Поэтому категорировать необходимо с учетом текущих реалий натекущий момент

Dmitry Kuznetsov, [21.12.18 13:09]
[In reply to Иван]
Причем отличия могут быть даде на уровне отделений в одной больнице. Сосудистое по федеральной программе проапгрейдили, а травма работает, как и 50 лет нащад

Иван, [21.12.18 13:12]
[In reply to Dmitry Kuznetsov]
Согласен. Но если есть общая МИС, расспределенная по этим отделениям, даже если не используется в одном или частично в другом - результат один. Если есть категория , то защищать надо везде, где к ней есть доступ

Mikhail, [21.12.18 16:53]
[In reply to Алексей Лукацкий]
Давайте не будем бежать впереди паровоза. Подождем официальных заявлений ФСТЭК.
С учетом того, что 239 подразумевает значительную и кропотливую работу по созданию системы обеспечения ИБ - прописывать все предусмотренные меры для незначимых объектов кажется излишним :thinking:
[Forwarded from Факт дня]
[ Photo ]
До 7000 людей погибает каждый год из-за плохого почерка врачей, приводящего к врачебным ошибкам.
Здоровье пациентов, в первую очередь, зависит от людей, и это основные риски нанесения вреда здоровью. Риски взлома систем “хакерами” с целью поменять лекарства и навредить здоровью существенно ниже.