КХ
ЕМИАС скорее всего развёрнута на мощностях МИАЦ или минздрава. Армы поликлиники скорее всего по защищённому каналу идут в цод миац или минздрава, а там уже на федеральный уровень
Size: a a a
2018 December 07
D
Anna
Подскажите в таком вопросе. Мы обычная стоматология. Есть система для работы в ЕМИАС. Кроме как для работы в ЕМИАС больше не используется. Аттестована по ГИС 3 класса. Все, что делаем это вносим данные в электронную медицинскую карту и формируем запись на прием к врачу через госуслуги. Стоит ли включать это в перечень объектов КИИ? Своих серверов нет, доступ через веб-интерфейс.
ИМХО:
по аналогии с ПДн и т.д.: ЕМИАС сама система вне ваше ответственности. Но у вас есть АРМ (на балансе скорее всего). Их можно именовать как "ИС доступа к ЕМИАС" или как-то еще. Соответственно, если эта "Система" участвует в автоматизации критических для вас процессов, то подлежит категорированию. Соответственно категорируете именно АРМ и рассматриваете последствия от нарушения их функционирования из-за компьютерных атак.
С учетом того, что АРМ наверняка не один, что доступ по web, а потому сам АРМ как конкретная железка не уникален, да и то, что оказание медицинских услуг не встанет без такого АРМ, скорее всего будет решение об отсутствии необходимости присвоения категории.
Чуть шире "ИМХО" - по этой теме сейчас активные обсуждения и есть разные доводы и даже путаница, поэтому можете позвонить на горячую линию ФСТЭК России по вопросам 187-ФЗ и там спросить. При этом желательно обрисовать всю ситуацию, а еще лучше высказать свое предложение (например такое как я привел в начале или какое посчитаете разумным сами)
по аналогии с ПДн и т.д.: ЕМИАС сама система вне ваше ответственности. Но у вас есть АРМ (на балансе скорее всего). Их можно именовать как "ИС доступа к ЕМИАС" или как-то еще. Соответственно, если эта "Система" участвует в автоматизации критических для вас процессов, то подлежит категорированию. Соответственно категорируете именно АРМ и рассматриваете последствия от нарушения их функционирования из-за компьютерных атак.
С учетом того, что АРМ наверняка не один, что доступ по web, а потому сам АРМ как конкретная железка не уникален, да и то, что оказание медицинских услуг не встанет без такого АРМ, скорее всего будет решение об отсутствии необходимости присвоения категории.
Чуть шире "ИМХО" - по этой теме сейчас активные обсуждения и есть разные доводы и даже путаница, поэтому можете позвонить на горячую линию ФСТЭК России по вопросам 187-ФЗ и там спросить. При этом желательно обрисовать всю ситуацию, а еще лучше высказать свое предложение (например такое как я привел в начале или какое посчитаете разумным сами)
M
Anna
Подскажите в таком вопросе. Мы обычная стоматология. Есть система для работы в ЕМИАС. Кроме как для работы в ЕМИАС больше не используется. Аттестована по ГИС 3 класса. Все, что делаем это вносим данные в электронную медицинскую карту и формируем запись на прием к врачу через госуслуги. Стоит ли включать это в перечень объектов КИИ? Своих серверов нет, доступ через веб-интерфейс.
У вас нет системы. Вы пользователь системы
DK
Anna
Подскажите в таком вопросе. Мы обычная стоматология. Есть система для работы в ЕМИАС. Кроме как для работы в ЕМИАС больше не используется. Аттестована по ГИС 3 класса. Все, что делаем это вносим данные в электронную медицинскую карту и формируем запись на прием к врачу через госуслуги. Стоит ли включать это в перечень объектов КИИ? Своих серверов нет, доступ через веб-интерфейс.
Судя по вашему описанию, никакие лечебные процессы на систему не завязаны. От выхода системы из строя здоровье пациентов не пострадает. Остальные показатели из ПП127 к системе тоже не подходят. Значит, ваша система -заведомо не значимый объект.
Значит, вы можете или категорировать ее как незначимый ОКИИ (со всех сторон правильно, но требует бумаг) или вообще не считать ее ОКИИ (не очень честно, но ПП127 это допускает). Результат один и тот же - ничего, помимо уде сделанного, вам для ее защиты делать не нужно.
Значит, вы можете или категорировать ее как незначимый ОКИИ (со всех сторон правильно, но требует бумаг) или вообще не считать ее ОКИИ (не очень честно, но ПП127 это допускает). Результат один и тот же - ничего, помимо уде сделанного, вам для ее защиты делать не нужно.
DK
У вас нет системы. Вы пользователь системы
У них есть система - у них на нее даже аттестат соответствия есть :) Зачем они это сделали - другой вопрос, но теперь от признания этих АРМ информационной системой ответеться сложно
SP
У вас нет системы. Вы пользователь системы
А рабочая станция с браузером .. или может даже прикладом-клиентом .. это не система? .. С формальной (да и не формальной) это точно ИС, но, как я понимаю, фстэк хочет избежать позиционирования таких систем как ОКИИ
M
Любую ПЭВМ с ОС, программами и пользователем можно рассматривать как информационную систему. Только стоит ли ее признавать ОКИИ и ктатегорировать?🤔
SP
Судя по вашему описанию, никакие лечебные процессы на систему не завязаны. От выхода системы из строя здоровье пациентов не пострадает. Остальные показатели из ПП127 к системе тоже не подходят. Значит, ваша система -заведомо не значимый объект.
Значит, вы можете или категорировать ее как незначимый ОКИИ (со всех сторон правильно, но требует бумаг) или вообще не считать ее ОКИИ (не очень честно, но ПП127 это допускает). Результат один и тот же - ничего, помимо уде сделанного, вам для ее защиты делать не нужно.
Значит, вы можете или категорировать ее как незначимый ОКИИ (со всех сторон правильно, но требует бумаг) или вообще не считать ее ОКИИ (не очень честно, но ПП127 это допускает). Результат один и тот же - ничего, помимо уде сделанного, вам для ее защиты делать не нужно.
По первой части .. предположим, что такой арм атакован и в результате атаки в браузер встроен плагин, которым по воле злоумышленника может менять данные в веб формах ..
M
Может у меня АРМ Госуслуги или АРМ Gmail🤔
A
Ну да, там есть разные варианты подключения. Один это когда типовой сегмент и тогда распространяется весь Аттестат. Но это не наш вариант. У нас когда аттестовываешь свою ИС.
M
Владелец информационной системы определяет ее границы
DK
Sergey Pariev
По первой части .. предположим, что такой арм атакован и в результате атаки в браузер встроен плагин, которым по воле злоумышленника может менять данные в веб формах ..
Тогда в ЕМИАС уйдут неверные данные и, возможно, лечение пациента не будет оплачено страховой компанией. Но на само оказание помощи это не повлияет
A
Просто мнения разделились. Либо это не объект КИИ, либо объект, но не значимый
DK
Владелец информационной системы определяет ее границы
Они уже определили: написали во всех ьуманах, что эти компы - государственная информационная система и даже прошли оценку соответствия этой системы тпебованиям 17го приказа :)
DK
Anna
Просто мнения разделились. Либо это не объект КИИ, либо объект, но не значимый
Однофигственно :) в первом случае от вас совсем ничего не требуется, во втором - только проинформировать ФСТЭК о том, что этот объект не значимый. В случае инцидента вы, скорее всего, в любом случае в НКЦКИ о нем сообщите
A
В том-то и дело, что границы определены. Ирина границе ИС стоит оборудование, обеспечивающее защищённый vpn только к ЕМИАС.
SP
Тогда в ЕМИАС уйдут неверные данные и, возможно, лечение пациента не будет оплачено страховой компанией. Но на само оказание помощи это не повлияет
История болезни будет скомпрометирована?
DK
Sergey Pariev
История болезни будет скомпрометирована?
И что? :)
A
Ну у нас история болезни не храниться. Базы данных все в Цоде
M
Вы же не управляете системой. Вам выделены определенные права доступа и все