А
Доброго времени суток коллеги. Не подскажите, начальник 2го Управления ФСТЭК России, на имя которого надо отправлять список объектов КИИ, Швецов Дмитрий Николаевич?
Size: a a a
2018 November 07
IO
Шевцов
А
Спасибо. А всё остальное правильно?
И
Alexey Lukatsky
Попробуйте представить, что вы оцениваете работу скорой в 60-х годах. Насколько изменилась работа скорой с тех пор? Изменились сроки вызова? Существенно снизилась смертность? Сильно изменились процессы? Что-то мне подсказывает, что автоматизация не сильно сказалась на работе именно скорой. И если ИС упадет, то это не должно влиять на показатели работы бригад. Тут надо смотреть схему процесса, но скорее всего время от звонка до вызова проходит минимальное, чтобы сильно зависеть от системы автоматизации. ИС нужна скорее для накопления и хранения информации и подготовки статистических отчетов
Видите как получается,универсальных решений по 187 фз нет и не будет. Каждый случай нужно рассматриватьочень скурпулезно. Поэтому не может быть общих универсальных методик, только частные случаи и опыт. На текущий момент, если мы рассматриваем здрав, у большинства случаев заболевания, имеется федеральный стандарт, по которому должна оказываться помощь, в том числе и скорая медицинская. Сроки оказания помощи напрямую могут зависить от от вида заболевания или предполагаемого недуга. Так скорая, например, имея информацию о том что у кого-то температура, а у кого-то приступ сердечный,должна оказатьпомощь всем,но по времени первым должен быть приступ - как более критичный для человека. В данном случае время- это жизнь.
АС
Нам на семинаре говорили что при определении ущерба следует рассматривать самый негативный сценарий и без компенсационных мер
A
Нам на семинаре говорили что при определении ущерба следует рассматривать самый негативный сценарий и без компенсационных мер
Только если компенсационные меры не выражены чём-то, на что невозможно воздействовать через КА, например, аналоговые, некомпьютеризированные меры.
И
Нам на семинаре говорили что при определении ущерба следует рассматривать самый негативный сценарий и без компенсационных мер
Да так и есть, "армагедон" - минимальные воздействия максимальный результат, но компенсация должна быть полностью независимой от рассматриваемого окии
AL
Это ты зря, подходы изменились. Сейчас по некоторым заболеваниям (например, острый коронарный синдром) есть нормативы времени оказания помощи. А по каждой смерти пациента прокуратура докапывается, не было ли нарушения стандартов лечения. Нарушение норматива - это потенциально уголовка по неоказанию помощи. И если до 187-ФЗ сбой автоматизации диспетчерской мог считаться обстоятельством непреодолимой силы, то теперь - фигушки.
Дима, а нормативы как-то учитывают автоматизацию?
И
Alexey Lukatsky
Дима, а нормативы как-то учитывают автоматизацию?
Тут обратный должен быть подход - автоматизация должна соответствовать нормативу, не наоборот.
VM
Иван
Тут обратный должен быть подход - автоматизация должна соответствовать нормативу, не наоборот.
Это-то понятно, а нет ли ссылочки на нормативы? Или яндексить?
AL
Иван
Тут обратный должен быть подход - автоматизация должна соответствовать нормативу, не наоборот.
Воооот! То есть нормативы надо выполнять независимо от автоматизации. Предположу, что скорее всего они и разрабатывались без учета автоматизации, которая меняется чаще, чем у нас обновляют нормативы.
VM
Alexey Lukatsky
Воооот! То есть нормативы надо выполнять независимо от автоматизации. Предположу, что скорее всего они и разрабатывались без учета автоматизации, которая меняется чаще, чем у нас обновляют нормативы.
Скорее всего, будет ответ, мол, если вы тут всё автоматизировали, но надо уменьшать нормативы(((
И
Alexey Lukatsky
Воооот! То есть нормативы надо выполнять независимо от автоматизации. Предположу, что скорее всего они и разрабатывались без учета автоматизации, которая меняется чаще, чем у нас обновляют нормативы.
Нормативы разрабатывались давно, да это так, и стандарты и требования. Некоторые даже есть свежие. Ну и что?! Если ССМП информатизирована и уменьшает сроки нормативов положимна 5 минут - это только плюс. Она постепенно уходит от бумаги. И вот наступает 187 фз. Куда им деваться?! Никуда. Возвращаться в прошлое?! Это бред. Зачем весь этот путь?!
И
Это-то понятно, а нет ли ссылочки на нормативы? Или яндексить?
Если для скорой есть приказ МЗ РФ 388н, помоему он действует досих пор. Предполагалоь изменить нормативы,но отказались
И
Это-то понятно, а нет ли ссылочки на нормативы? Или яндексить?
От приема вызова до прибытия скорой сейчас регламент говорит 4+20 мин. 24 минуты и время на оказание помощи до 30мин. Время очень урезано. Поэтому если информатизация позволяетего уменьшить-это большой плюс. Но в силу того, что информатизация сопрежена с наличием ИС и прочего, то да это все нужно защищать. И требования 187 ФЗ исполнить надо. Вопрос только в другом, насколько учреждение может минимизировать те затраты, которые обязана потратить! Не хочется предлагать скрывать или сообщать регулятору недостоверную информацию. Во многих случаех, я уверен, есть варианты решения. Как в описанном мной случае - иметь возможность дублировать данные
АС
Работу лабораторий до сих пор регламентирует приказ СССР
И
Работу лабораторий до сих пор регламентирует приказ СССР
Вопрос в том, что прописано в регламенте и что на текущий момент реализовано посредством информационных ресурсов и насколько это тесно переплетено с процессами учреждения. От этого и надо отталкиваться при разборе требований 187 фз на ИС вашего учреждения. Так рассуждать, так вообще у нас все должно быть отлично. Сейчас автопилоты на дорогах, которые могут быть окии, а раньше вообще паровые двигатели стояли размером со шкаф.
AL
Иван
Нормативы разрабатывались давно, да это так, и стандарты и требования. Некоторые даже есть свежие. Ну и что?! Если ССМП информатизирована и уменьшает сроки нормативов положимна 5 минут - это только плюс. Она постепенно уходит от бумаги. И вот наступает 187 фз. Куда им деваться?! Никуда. Возвращаться в прошлое?! Это бред. Зачем весь этот путь?!
Нет, стоп. Есть две разных (совершенно) темы. Автоматизация скорой для уменьшения времени оказания услуги и выполнение требований по ИБ. Они между собой вообще не связаны 🙂 Сейчас у вас задача - категорировать. Надо понимать ее конечную цель. В чем она? В составлении набора защитных мероприятий и их реализации. Но у вас мероприятия УЖЕ должны были быть реализованы в рамках персданных. Там мероприятия практически не отличаются. Поэтому категорирование - это процесс вырожденный. Он ни на что не влияет. Ваша задача, как я бы ее видел, категорировать так, чтобы уже выстроенную систему защиты не надо было переделывать (если защита, конечно, есть). Вот и все. Поэтому я и пытаюсь показать, что по большому счету автоматизация никак не связана с предоставлением услуг скорой чисто по формальным признакам, что и является основанием для того, чтобы не категорировать даже под 3-ю категорию. А если уж категорировать, то под третью и подвести уже реализованные по Пр21 меры еще и под Пр239/Пр235. К реальной безопасности это все всё равно имеет очень опосредованное отношение. ИБ должна отталкиваться от потребностей организации, а не от того, что там напридумывали в ФСБ. Вы сейчас откатегорируете себя как 1-ю категорию (тоже можно по формальным признакам, если не копать), потом пропишете систему защиты на тучу миллионов. А денег нет... И кто будет крайним? Уж точно не руководитель скорой, которой быстро все спишет на единственного айтишника/безопасника, который таким образом пытался увеличить свой бюджет. А его не увеличили и он сам себя и загнал в угол 🙁
AE
Alexey Lukatsky
Попробуйте представить, что вы оцениваете работу скорой в 60-х годах. Насколько изменилась работа скорой с тех пор? Изменились сроки вызова? Существенно снизилась смертность? Сильно изменились процессы? Что-то мне подсказывает, что автоматизация не сильно сказалась на работе именно скорой. И если ИС упадет, то это не должно влиять на показатели работы бригад. Тут надо смотреть схему процесса, но скорее всего время от звонка до вызова проходит минимальное, чтобы сильно зависеть от системы автоматизации. ИС нужна скорее для накопления и хранения информации и подготовки статистических отчетов
Спасибо за идею, Алексей. И у меня вопрос: при каких условиях выгоднее - не следовать подходу "оцифруем всё и вся", если традиционные подходы проще, надёжнее, безопаснее и дешевле?
И
Alexey Lukatsky
Нет, стоп. Есть две разных (совершенно) темы. Автоматизация скорой для уменьшения времени оказания услуги и выполнение требований по ИБ. Они между собой вообще не связаны 🙂 Сейчас у вас задача - категорировать. Надо понимать ее конечную цель. В чем она? В составлении набора защитных мероприятий и их реализации. Но у вас мероприятия УЖЕ должны были быть реализованы в рамках персданных. Там мероприятия практически не отличаются. Поэтому категорирование - это процесс вырожденный. Он ни на что не влияет. Ваша задача, как я бы ее видел, категорировать так, чтобы уже выстроенную систему защиты не надо было переделывать (если защита, конечно, есть). Вот и все. Поэтому я и пытаюсь показать, что по большому счету автоматизация никак не связана с предоставлением услуг скорой чисто по формальным признакам, что и является основанием для того, чтобы не категорировать даже под 3-ю категорию. А если уж категорировать, то под третью и подвести уже реализованные по Пр21 меры еще и под Пр239/Пр235. К реальной безопасности это все всё равно имеет очень опосредованное отношение. ИБ должна отталкиваться от потребностей организации, а не от того, что там напридумывали в ФСБ. Вы сейчас откатегорируете себя как 1-ю категорию (тоже можно по формальным признакам, если не копать), потом пропишете систему защиты на тучу миллионов. А денег нет... И кто будет крайним? Уж точно не руководитель скорой, которой быстро все спишет на единственного айтишника/безопасника, который таким образом пытался увеличить свой бюджет. А его не увеличили и он сам себя и загнал в угол 🙁
Алексей, я говорю о том, что информатизация уже как свершившейся факт и она не зависит (точнее она должна соответствовать ему или быть лучше) от нормативов,а только позволяет их улучшить. Мероприятия по ИБ в рамках ПДн выполнены. Но мы рассуждаем в данном случае о том ,какой будет ущерб если вовремя эти данные не попадут бригаде. Даже не время оказания услуги (я привел коллеге данные из норм по скорой, не более) а сам факт ее оказания или нет! Категорирование влияет на учреждение. Мы не рассматриваем сейчас вопросы безопасности ПДн, мы рассматриваем вопросы связанные с нарушением процесса оказания помощи! И 1 категорию тут никак не получить, в моем примере объемы не те. Максимум 3. Но еще раз говорю, это можно избежать и вполне законным и правильным способом. И в данном случае, в случае с 187 фз, разговор идет не о потребностях учреждения, а о требованиях регулятора. Тут хочешь, или нет - выбора нет