КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Здравоохранение

Здравоохранение относится к сферам, работающим с наиболее критичной информацией – данными о состоянии здоровья пациентов. В силу этого обстоятельства к информационной безопасности медицинских организаций государством предъявляются специализированные требования в следующих нормативно-правовых актах:

Зачастую медицинские организации обрабатывают сведения о состоянии здоровья, которые относятся к специальной категории персональных данных и, следовательно, их информационные системы персональных данных как минимум относятся к третьему уровню защищенности (УЗ-3) составляющую врачебную тайну.

Согласно приказу ФСТЭК России №21 от 18.02.2013г. УЗ-3 обязывает организации, кроме использования стандартного набора средств защиты информации (антивирус и межсетевой экран), дополнительно использовать средства защиты от несанкционированного доступа, средства поиска и анализа уязвимостей, специализированные средства защиты виртуализации, а также обезличивать персональные данные на машинных носителях при их передаче между пользователями.

Согласно Федеральному закону №187-ФЗ - организации сферы здравоохранения относятся к субъектам КИИ, а имеющиеся у них информационные системы, автоматизированные системы и информационно-телекоммуникационные сети, в случае участия их в критических процессах, являются объектами КИИ.

При этом нельзя говорить о прямом соответствии имеющихся у организации ИСПДн и объектов КИИ, в силу самого различия процессов обработки персональных данных и критических процессов лечения пациентов. Ниже приведена иллюстрация сравнения типовых ИСПДн и объектов КИИ.



Сфера здравоохранения непосредственно связана с состоянием здоровья людей, поэтому практически все критические процессы в ней относятся к социальной категории критериев значимости объектов КИИ.



При этом, отнесение объектов КИИ к значимым или к незначимым зависит от степени информатизации того или иного процесса в каждой организации. Так МИС, отвечающие за регистрацию состояний здоровья пациентов могут быть незначимыми, если они используются исключительно с целью формирования статистических данных. И наоборот, если в МИС ведется полноценный документооборот и на основе введенных данных специалисты ставят диагнозы и планируют лечение пациентов, то такую МИС целесообразно относить к значимым объектам КИИ – т.к. сбои в ней могут повлечь причинение вреда здоровью хотя бы одного человека.

Еще одной особенностью объектов КИИ является то, что объектом КИИ может быть не только компьютерная сеть, но и отдельное, работающее автономно компьютеризированное медицинское оборудование, в частности: аппараты УЗИ  и лучевой диагностики, томографы, эндоскопы, лабораторные приборы экспресс-анализа и т.п.

Разрабатывая и внедряя системы безопасности значимых объектов КИИ в здравоохранении, нужно четко понимать, что в случае, если значимый объект КИИ является компьютеризированным медицинским оборудования, то необходимо продумывать компенсирующие меры безопасности, в виду невозможности прямого использования средств защиты информации.

При этом, если медицинское оборудование передает данные по внутренней сети на сервер или МИС, то каналы передачи таких данных должны быть зашифрованы и физически/логически ограждены от общей сети организации.

В силу того, что работа с ведением амбулаторных карт и регистрацией состояния здоровья пациентов ведется в электронном виде, требуется фиксация и визирование каждой записи квалифицированной электронной подписью врача.

Устройства, обеспечивающие хранение и передачу электронной подписи являются средствами криптографической защиты информации (СКЗИ)  и требуют соблюдения специализированных правил их эксплуатации и хранения. Данные правила регламентируются приказом ФАПСИ РФ №152 от 13.06.2001г.

С целью информационного обеспечения государственного регулирования в сфере здравоохранения, информационной поддержки деятельности медицинских организаций, обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения с 2017г. начала работу Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ).

Участие в ЕГИСЗ обязательно для всех государственных медицинских учреждений, включая организации федерального, регионального и муниципального подчинения. А с вступлением в силу с 01.01.2020г. Приказа Минздрава России от № 911н и для частных медицинских и фармацевтических организаций.

ЕГИСЗ включает в себя 13 групп подсистем:

  1. Федеральная интегрированная электронная медицинская карта
  2. Федеральная электронная регистратура
  3. Подсистема ведения специализированных регистров пациентов по отдельным нозологиям и категориям граждан, мониторинга организации оказания высокотехнологичной медицинской помощи и санаторно-курортного лечения
  4. Подсистема автоматизированного сбора информации о показателях системы здравоохранения из различных источников и предоставления отчетности
  5. Интеграционные подсистемы
  6. Федеральный регистр медицинских работников
  7. Федеральный реестр нормативно-справочной информации в сфере здравоохранения
  8. Федеральный реестр электронных медицинских документов
  9. Подсистема обезличивания персональных данных
  10. Федеральный реестр медицинских организаций
  11. Геоинформационная подсистема
  12. Защищенная сеть передачи данных
  13. Информационно-аналитическая подсистема мониторинга и контроля в сфере закупок лекарственных препаратов для обеспечения государственных и муниципальных нужд

При этом ЕГИСЗ также имеет 3 уровня:

I Уровень - Федеральный сегмент: Федеральная ГИСЗ, являющаяся центральным компонентом информационных систем в сфере здравоохранения и обеспечивающая доступ граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения;

II Уровень - РМИС Интеграционные системы (шины): ГИСЗ в сфере здравоохранения субъектов Российской Федерации;

III Уровень - МИС медицинских и фармацевтических организаций.

При подключении к ЕГИСЗ соблюдаются все требования, предъявляемые при подключении к ГИС, в соответствии с  мероприятиями Приказа ФСТЭК России №17 и классом  защищенности информационной системы.

При подключении к ЕГИСЗ необходимо:

 

С 01.01.2020г. вступил в силу Приказ Минздрава России № 911н от  24.12.2018г. «Об утверждении Требований к ГИС в сфере здравоохранения субъектов РФ, МИС медицинских организаций и ИС фармацевтических организаций».

Ключевыми особенностями Приказа Минздрава России № 911н является:

  • Приравнивание региональных МИС к ГИС;
  • Распространение требований в т.ч. на фармацевтические организации;
  • Регламентация необходимости ведения всего документооборота в ЭДО с использованием ЭП;
  • Регламентация использования исключительно отечественного ПО и ПАК.

Телемедицина – это технология осуществления медицинской деятельности с использованием компьютерных и телекоммуникационных технологий для обмена медицинской информацией между врачом и пациентом, а также  врачами в рамках проведения консилиумов.

Телемедицинские технологии могут применяться при оказании следующих видов медицинской помощи:

 

 

При этом для начала оказания медицинской помощи в формате телемедицинских технологий медицинской организации необходимо:

  • обеспечить аутентификацию пользователей через портал госуслуг (ЕСИА);
  • обеспечить взаимодействие с подсистемами ЕГИСЗ: Федеральным регистром медработников и Федеральным реестром мед. организаций;
  • использование усиленной квалифицированной электронной подписи медицинского работника;
  • обеспечить шифрование каналов связи;
  • обеспечить мероприятия по защите персональных данных, включая врачебную тайну;
  • обеспечить хранение всей информации, получаемой в ходе оказания медицинской помощи, включая хранение документации, аудио и видео записей кронсультаций.

 

Поделиться: