SP
И что? :)
Человек может получить неверное лечение в будущем из-за этого
Size: a a a
2018 December 07
DK
Anna
Ну у нас история болезни не храниться. Базы данных все в Цоде
Именно. Компрометация истории болезни - это угроза для ЕМИАС. Это они должны категорировать систему, разработать меры защиты и довести их до вас в части, вас касающейся.
SP
Именно. Компрометация истории болезни - это угроза для ЕМИАС. Это они должны категорировать систему, разработать меры защиты и довести их до вас в части, вас касающейся.
Это угроза жизни и здоровью ) но, конечно, не прямая
M
Во всяком случае ваше рабочее место работает в справочной(информационной) сфере, а не медицинской (если ктатегорировать по "букве" закона)
DK
Sergey Pariev
Человек может получить неверное лечение в будущем из-за этого
Есть бумага за подписью главного врача, что не может :) Поэтому не может, а если кто-то не согласен, пусть сперва покажет свой сертификат врача-лечебника :)
Это я моделирую возможный диалог с проверяющим, если что :) Но в этом смысле провести категорирование и признать систему незначимой чуть геморройнее, но безопаснее
Это я моделирую возможный диалог с проверяющим, если что :) Но в этом смысле провести категорирование и признать систему незначимой чуть геморройнее, но безопаснее
A
Во всяком случае ваше рабочее место работает в справочной(информационной) сфере, а не медицинской (если ктатегорировать по "букве" закона)
Немного не поняла про справочную систему. Врач заносит туда данные о проведенном лечении, плюс заносят талоны для записи на прием через интернет
A
Есть бумага за подписью главного врача, что не может :) Поэтому не может, а если кто-то не согласен, пусть сперва покажет свой сертификат врача-лечебника :)
Это я моделирую возможный диалог с проверяющим, если что :) Но в этом смысле провести категорирование и признать систему незначимой чуть геморройнее, но безопаснее
Это я моделирую возможный диалог с проверяющим, если что :) Но в этом смысле провести категорирование и признать систему незначимой чуть геморройнее, но безопаснее
Я вот тоже за то чтобы признать систему незначимой и спать спокойно
И
Во всяком случае ваше рабочее место работает в справочной(информационной) сфере, а не медицинской (если ктатегорировать по "букве" закона)
Именно в медицинской, если по букве закона. На нее есть собственное пп. Там это прописано
И
Тогда в ЕМИАС уйдут неверные данные и, возможно, лечение пациента не будет оплачено страховой компанией. Но на само оказание помощи это не повлияет
Именно. В данном случае, со стороны той организации, у которой не цод, происходит занесение мед документации и данных. Но услуга (лечение или поиощь) оказывается в независимости от того функционирует ли ис илииее часть или нет. Конечно это повлияет на оплату по омс, но не сравнимо с бюджетом страны. Конечно в дальнейшем лечение может использовать данные из эл карты, но всегда первоочередное осмотр "живым специалистом". Вот если нас в будкщем буду лечить роботы и на основании даннах из эл карт-вот тогда это будет значимый кии.
И
Anna
Я вот тоже за то чтобы признать систему незначимой и спать спокойно
Это будет правильный подход. В нашем регионе почти 80 проц учреждений именно так и постурили. Не потому что просто "отписались", а по той причине, что так оно и есть. И это обоснованное и опирающееся на факты и здравый смысл решение. Показать регулятору объект и обосновать что он не значимый - правильное решение (я бы сделал так в вашем случае. Конечно можно было бы и вообще ничего не писать, но это было бы "не честный подход", как написал Дмитрий ранее, хоть и в рамках всех нпа)
RN
Константин Хабаров
ЕМИАС скорее всего развёрнута на мощностях МИАЦ или минздрава. Армы поликлиники скорее всего по защищённому каналу идут в цод миац или минздрава, а там уже на федеральный уровень
Я предлагаю не «предполагать», в каждом регионе по разному.
2018 December 08
А
⚠️ Обсуждение сертификации встроенных операционных систем перенесено как узконаправленное: https://rucybersecurity.ru/t/508/ Убедительная просьба ко всем участникам: обсуждать вопросы, прямо не относящеся к тематике КИИ и 187-ФЗ, на форуме https://rucybersecurity.ru/signup/
А@
Может я чего не понимаю? Читаю всякого рода методички по 187-ФЗ и категорирование. Начинаются они с призыва "составить перечень ИС, АС и т.п. с определением сферы функционирования и определить их попадание в одну из 13 сфер, записанных в 187ФЗ". Например - я банк с более чем 50 регионах. Сфера деятельности может быть только одна - банковская сфера. Смысла переписывать все свои ИС и АС вроде бы нет.
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
A
Может я чего не понимаю? Читаю всякого рода методички по 187-ФЗ и категорирование. Начинаются они с призыва "составить перечень ИС, АС и т.п. с определением сферы функционирования и определить их попадание в одну из 13 сфер, записанных в 187ФЗ". Например - я банк с более чем 50 регионах. Сфера деятельности может быть только одна - банковская сфера. Смысла переписывать все свои ИС и АС вроде бы нет.
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Подходить надо индивидуально. А инвентаризацию информационных ресурсов рекомендуют провести, чтобы понять, что принадлежит субъекту, что принадлежит кому-то другому.
https://tv.ib-bank.ru/video/372?fbclid=IwAR0Efe5raazdNPTD-ReYZuJwtOpd4hrS_Lx7Ip6IJ-MK0m_UoCMbcvjnG_8
https://tv.ib-bank.ru/video/372?fbclid=IwAR0Efe5raazdNPTD-ReYZuJwtOpd4hrS_Lx7Ip6IJ-MK0m_UoCMbcvjnG_8
АК
Может я чего не понимаю? Читаю всякого рода методички по 187-ФЗ и категорирование. Начинаются они с призыва "составить перечень ИС, АС и т.п. с определением сферы функционирования и определить их попадание в одну из 13 сфер, записанных в 187ФЗ". Например - я банк с более чем 50 регионах. Сфера деятельности может быть только одна - банковская сфера. Смысла переписывать все свои ИС и АС вроде бы нет.
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Правила, утв. ПП РФ #127, Вас ничего переписывать не заставляют, объём документирования Ваших действий (действий Комиссии) в рамках категорирования определяете самостоятельно.
Речь о системах займёт только после выявления Крит. процессов.
Речь о системах займёт только после выявления Крит. процессов.
А@
Не понял почему "речь о системах пойдёт только после выявления процессов"? В каждом нормальном банке есть перечень защищаемых АС.
АК
Не понял почему "речь о системах пойдёт только после выявления процессов"? В каждом нормальном банке есть перечень защищаемых АС.
Перечень защищаемых систем (в т.ч. по 070-форме) это далеко не перечень ОКИИ.
DK
Может я чего не понимаю? Читаю всякого рода методички по 187-ФЗ и категорирование. Начинаются они с призыва "составить перечень ИС, АС и т.п. с определением сферы функционирования и определить их попадание в одну из 13 сфер, записанных в 187ФЗ". Например - я банк с более чем 50 регионах. Сфера деятельности может быть только одна - банковская сфера. Смысла переписывать все свои ИС и АС вроде бы нет.
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Далее советуют комиссионно переписать все свои процессы. Понятно, что в нашей сфере нужно переписывать только финансовые пооцессы. Зачем переписывать системы делопроизводства, бухучета, кадровые и т.п.? Или обязательно нужно проанализировать и переписать все автоматизированные процессы?
Попробуйте сами методичку написать - поймете :)
Хочешь сказать: "Прокрутите в уме все свои ИС, какие помните, и выпишите те, которые относятся к делу. Потом поспрашивайте коллег, не забыли ли аы чего". Когда переносишь это на бумагу, включается режим наукообразия, а у некоторых - так вообше канцелярит в прошивке. Вот и получается вместо "выпишите нужное" "составьте перечень". У читателя тоже часто канцелярит в прошивке, и при чтении у него "составьте перечень ИС" превращается в "составьте перечень всех ИС" :)
Хочешь сказать: "Прокрутите в уме все свои ИС, какие помните, и выпишите те, которые относятся к делу. Потом поспрашивайте коллег, не забыли ли аы чего". Когда переносишь это на бумагу, включается режим наукообразия, а у некоторых - так вообше канцелярит в прошивке. Вот и получается вместо "выпишите нужное" "составьте перечень". У читателя тоже часто канцелярит в прошивке, и при чтении у него "составьте перечень ИС" превращается в "составьте перечень всех ИС" :)
А@
Ну, да. Инструкция по чистке зубов должна начинаться с "убедитесь в наличии зубов и проведите их инвентаризацию" 😂
АК
Не понял почему "речь о системах пойдёт только после выявления процессов"? В каждом нормальном банке есть перечень защищаемых АС.
Такой порядок предусмотрен Правилами, утв. ПП РФ #127.