Здравоохранение
Категорирование,
Типовой перечень, критерии значимости, отраслевые особенности

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ ЗДРАВООХРАНЕНИЯ

Главным измерением значимости при категорировании объекта КИИ в сфере здравоохранения, согласно проходящему сейчас процедуру ОРВ проекту ПП, должна стать человеческая жизнь. Логика законодателя здесь предельно ясна: цифровизация здравоохранения достигла того уровня, когда сбой в информационной системе может иметь последствия, напрямую угрожающие жизни и здоровью людей.

ТИПОВОЙ ПЕРЕЧЕНЬ
КРИТЕРИИ ЗНАЧИМОСТИ
И ОТРАСЛЕВЫЕ ОСОБЕННОСТИ

Типовые объекты КИИ в сфере здравоохранения

Как и в других отраслях, категорирование объектов критической информационной инфраструктуры в здравоохранении опирается на общий фундамент – перечень, который был утверждён Распоряжением № 360-р. Медицинским организациям здесь посвящён первый раздел.

Типовой перечень объектов КИИ здравоохранения включает полный список систем, которые автоматически попадают в периметр регулирования. Наличие такой системы у организации и есть первый и главный признак того, что она является субъектом КИИ и обязана проводить категорирование.

В перечень КИИ для медицинских организаций вошли:

ИС медицинских и фармацевтических организаций (учёт пациентов, электронные карты).
Единая государственная ИС в сфере здравоохранения (ЕГИСЗ) и её региональные сегменты.
Системы, управляющие медицинским оборудованием (аппараты ИВЛ, лучевой терапии, хирургические роботы).
Системы лабораторных исследований и т. д.

Отраслевые признаки значимости в здравоохранении

Важное нововведение отраслевых особенностей в здравоохранении — появление «порога входа» для организаций, занимающихся торговлей лекарствами оптом или в розницу. Небольшие аптечные сети и мелкие дистрибьюторы не обязаны применять к себе жесткие требования КИИ. В документе указано: категорированию подлежат только те организации оптовой и розничной торговли лекарственными средствами, чья выручка составляет не менее 5 миллиардов рублей, а штат сотрудников насчитывает не менее 250 человек. Если компания не достигает этих показателей, она не рассматривается как субъект КИИ по данному отраслевому признаку значимости.

Невозможность запись к врачу — это не просто неудобство, это критерий КИИ

Важно отметить, что недоступность таких сервисов, как электронная запись к врачу или другие государственные услуги, больше нельзя трактовать просто как «социальное неудобство». В отраслевых особенностях это один из показателей «отсутствие доступа к государственной услуге». Если субъект обеспечивают работу систем, задействованных в оказании госуслуг, они обязаны рассчитать максимально допустимое время их простоя. Если из-за хакерской атаки сервис «упадет» на срок, превышающий установленные нормативы, объект получит соответствующую категорию значимости.

Категории объектов критической информационной инфраструктуры в здравоохранении

Любая ИС из перечня (распоряжение № 360-р), принадлежащая субъекту КИИ, является объектом КИИ. После прохождения процедуры категорирования ей может быть присвоена одна из трёх категорий значимости (первая, вторая или третья). После подтверждения ФСТЭК такой объект становится значимым объектом КИИ (ЗО КИИ).

Если по результатам оценки выясняется, что масштаб потенциальных последствий от инцидента на объекте не дотягивает до пороговых значений ни одной из категорий, он остаётся просто объектом КИИ, не входящим в реестр значимых. Однако требования к его безопасности всё равно выше, чем к обычным ИТ-системам, не попавшим в периметр КИИ.

Вместо методических рекомендаций по категорированию объектов здравоохранения - постановление правительства

Ранее методические рекомендации разрабатывались и утверждались Минздравом. Теперь категорирование регулируется отраслевыми особенностями в сфере здравоохранения (проект постановления правительства). На момент написания этой статьи постановление ещё не утверждено окончательно и находится на стадии оценки регулирующего воздействия. Оно, кстати, тоже разрабатывалось Минздравом.

Упомянутый выше проект отраслевых особенностей категорирования для здравоохранения задаёт чёткий алгоритм действий для руководителя медорганизации, который теперь вынужден разбираться в ИБ.

Шаг 1. Сверка с перечнем.

Субъект КИИ создаёт комиссию по категорированию и определяет, какие из его систем соответствуют типам из перечня объектов критической информационной инфраструктуры здравоохранения. Именно они и будут категорироваться.
Шаг 2. Выявление процессов.

Комиссия анализирует, нарушение каких процессов может привести к компьютерным инцидентам. Но ключевой момент: оценка идёт не в вакууме, а по показателям из утверждённого перечня.
Шаг 3. Определение архитектурных кластеров

Если в клинике работает несколько взаимозависимых медицинских систем (например, МИС, ЛИС и ПАКС тесно связаны между собой), комиссия имеет право объединить их и категорировать как один единый объект КИИ.И наоборот: при модернизации инфраструктуры уже существующий сложный объект КИИ решением руководителя клиники может быть разделен на несколько независимых систем с разными категориями значимости.
Шаг 4. Применение показателей.
В здравоохранении для категорирования объектов КИИ применяются практически все группы показателей, но с ярко выраженной спецификой:
- социальная значимость – главный показатель. В отличие от банков, где ключевыми были экономические показатели (объём операций), в медицине на первое место выходит причинение ущерба жизни и здоровью людей. Комиссия должна оценить максимально возможное количество пострадавших в результате атаки на конкретную систему (п. 20 проекта);
- политическая значимость применима для органов власти в сфере здравоохранения (Минздрав, ФОМС) – оценивается невыполнение госфункций;
- экономическая значимость важна для фармацевтических гигантов, подпадающих под определение стратегических предприятий;
- экологическая значимость уникальна для медучреждений, использующих источники ионизирующего излучения (например, в радиотерапии). Оценивается зона возможного заражения и количество людей, которые могут пострадать от вредных воздействий (п. 24 проекта).
Шаг 5. Принцип «наивысшего».

Как и везде, категория присваивается по наивысшему значению любого из применимых показателей. Если атака на систему управления лучевой терапии грозит гибелью 600 человек (I категория по социальной значимости), то эта система получит первую категорию, даже если экономический ущерб от её простоя невелик.

Под ущербом жизни и здоровью в контексте отраслевых особенностей категорирования понимается причинение тяжкого и среднего вреда здоровью.

Требования к объектам разных категорий значимости в медицине

Если категоризация отвечает на вопрос «что защищать?», то требования по безопасности, утверждённые приказом ФСТЭК № 239, отвечают на вопрос «как защищать?». И здесь различия между категориями становятся критически важными для бюджета и организации работы медицинского учреждения.

III категория – Базовый уровень защиты.

Требуется антивирусная защита, контроль целостности, резервное копирование, управление доступом и регистрация событий. Основная задача – не допустить потери данных и обеспечить базовую защиту от вирусов-шифровальщиков.

II категория – Расширенный уровень.

Добавляются требования к сегментированию сети, обязательному использованию систем обнаружения вторжений (IDS/IPS), контролю действий администраторов и повышенные требования к восстановлению после сбоев. Защита должна быть проактивной, чтобы предотвратить проникновение атакующих в сеть.

I категория – Максимальный уровень.

В дополнение ко всему вышеперечисленному требуется доверенная загрузка, строгий контроль съёмных носителей, усиленный мониторинг трафика. Самое главное: применяемое программное обеспечение должно проходить строгие проверки на безопасность (статический и динамический анализ кода).

Для медучреждений это, по сути, означает запрет на использование иностранного софта. На объектах критической информационной инфраструктуры в сфере здравоохранения (любой категории) может использоваться только программное обеспечение, включённое в единый реестр российского ПО или евразийского ПО. Исключения – только с согласования Минздрава. Если российского аналога для конкретной системы не существует, медицинская организация обязана пройти процедуру согласования закупки иностранного ПО в Минздраве России (как профильном ведомстве). К заявке необходимо приложить развёрнутое обоснование невозможности использования российского софта.

Доверенные ПАК – следующий рубеж. Недостаточно просто заменить софт на сервере – сам сервер и сетевое оборудование тоже должны стать отечественными. Для этого вводится понятие «доверенный программно-аппаратный комплекс» (ДПАК).

Это изделие, которое одновременно:

находится в реестре РЭП (Минпромторг);
использует только отечественное ПО из реестра Минцифры;
сертифицировано ФСТЭК и/или ФСБ, если включает функции защиты информации.

Отдельного внимания заслуживает требование, которое является «надстройкой» над всеми категориями и пронизывает всю систему КИИ, – использование отечественного программного обеспечения и доверенных программно-аппаратных комплексов (ПАК). Это требование закреплено постановлением правительства РФ № 1478 и напрямую влияет на все значимые объекты, включая медицинские.

ДОВЕРЕНННЫЕ ПАК И ОТЕЧЕСТВЕННОЕ ПО: универсальное требование для КИИ в здравоохранении

ВКЛЮЧИТЬСЯ ВО ВСЕ РЕЕСТРЫ

ЧИТАТЬ СТАТЬЮ О ДПАК

Что в итоге

Категорирование КИИ в сфере здравоохранения переводит вопросы кибербезопасности из разряда ИТ-поддержки в разряд клинической безопасности. Главным критерием является не стоимость простоя, а цена человеческой жизни. Это накладывает колоссальную ответственность на руководителей медицинских организаций. Им предстоит не просто закупить антивирусы, а выстроить целые системы защиты, где риски оцениваются в терминах пациентских исходов.
В этой системе чем выше категория объекта, тем жёстче требования к технологической независимости и подтверждённому уровню доверия к каждому компоненту – от кода в аппарате ИВЛ до сервера, на котором хранятся снимки МРТ.