Содержание
Статья 1
1) часть 2 статьи 14 дополнить пунктом 21 следующего содержания:
«21) организация обеспечения лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, злокачественными новообразованиями лимфоидной, кроветворной и родственных им тканей, рассеянным склерозом, лиц после трансплантации органов и (или) тканей лекарственными препаратами.»;
2) в статье 15:
а) пункт 2 части 1 и пункт 2 части 3 исключить;
б) часть 8, пункт 6 части 10, часть 12 признать утратившими силу;
3) в статье 44:
а) наименование изложить в следующей редакции:
«Статья 44. Медицинская помощь гражданам, которым предоставляются государственные гарантии в виде обеспечения лекарственными препаратами и специализированными продуктами лечебного питания»;
б) дополнить частями 7 — 10 следующего содержания:
«7. Обеспечение лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, злокачественными новообразованиями лимфоидной, кроветворной и родственных им тканей, рассеянным склерозом, лиц после трансплантации органов и (или) тканей лекарственными препаратами осуществляется по перечню, утвержденному Правительством Российской Федерации и сформированному в установленном им порядке.
8. В целях обеспечения лиц, указанных в части 7 настоящей статьи, лекарственными препаратами уполномоченный федеральный орган исполнительной власти в порядке, установленном Правительством Российской Федерации, осуществляет ведение Федерального регистра лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, злокачественными новообразованиями лимфоидной, кроветворной и родственных им тканей, рассеянным склерозом, лиц после трансплантации органов и (или) тканей, который содержит следующие сведения:
1) страховой номер индивидуального лицевого счета гражданина в системе обязательного пенсионного страхования (при наличии);
2) фамилия, имя, отчество, а также фамилия, которая была у гражданина при рождении;
3) дата рождения;
4) пол;
5) адрес места жительства;
6) серия и номер паспорта (свидетельства о рождении) или удостоверения личности, дата выдачи указанных документов;
7) дата включения в указанный федеральный регистр;
8) диагноз заболевания (состояния);
9) иные сведения, определяемые Правительством Российской Федерации.
9. Органы государственной власти субъектов Российской Федерации осуществляют ведение регионального сегмента федерального регистра, указанного в части 8 настоящей статьи, и своевременное представление сведений, содержащихся в нем, в уполномоченный федеральный орган исполнительной власти.
10. Правительство Российской Федерации вправе принимать решение о включении в перечень заболеваний, указанных в пункте 21 части 2 статьи 14 настоящего Федерального закона, дополнительных заболеваний, для лечения которых обеспечение граждан лекарственными препаратами осуществляется за счет средств федерального бюджета.»;
4) в статье 83:
а) в части 9 слова «(за исключением заболеваний, указанных в пункте 2 части 1 статьи 15 настоящего Федерального закона)» заменить словами «(за исключением заболеваний, указанных в пункте 21 части 2 статьи 14 настоящего Федерального закона)»;
б) дополнить частью 9.2 следующего содержания:
«9.2. Обеспечение лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, злокачественными новообразованиями лимфоидной, кроветворной и родственных им тканей, рассеянным склерозом, лиц после трансплантации органов и (или) тканей лекарственными препаратами осуществляется за счет бюджетных ассигнований, предусмотренных в федеральном бюджете уполномоченному федеральному органу исполнительной власти.»;
5) часть 4 статьи 101 признать утратившей силу.
Статья 2
Признать утратившими силу:
1) пункт 3 и подпункт «а» пункта 31 статьи 59 Федерального закона от 25 ноября 2013 года № 317-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации по вопросам охраны здоровья граждан в Российской Федерации» (Собрание законодательства Российской Федерации, 2013, № 48, ст. 6165);
2) Федеральный закон от 21 июля 2014 года № 205-ФЗ «О внесении изменения в статью 101 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» (Собрание законодательства Российской Федерации, 2014, № 30, ст. 4206).
ПРИКАЗЫВАЮ:
Признать утратившими силу:
приказ Министерства здравоохранения и социального развития Российской Федерации от 19 октября 2007 г. N 655 «Об утверждении Административного регламента Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по исполнению государственной функции по лицензированию деятельности, связанной с использованием возбудителей инфекционных заболеваний, деятельности в области использования источников ионизирующего излучения» (зарегистрирован Министерством юстиции Российской Федерации 16 ноября 2007 г., регистрационный N 10500);
приказ Министерства здравоохранения и социального развития Российской Федерации от 19 октября 2007 г. N 657 «Об утверждении Административного регламента Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по исполнению государственной функции по государственной регистрации впервые внедряемых в производство и ранее не использовавшихся химических, биологических веществ и изготавливаемых на их основе препаратов, потенциально опасных для человека (кроме лекарственных средств); отдельных видов продукции, представляющих потенциальную опасность для человека (кроме лекарственных средств); отдельных видов продукции, в том числе пищевых продуктов, впервые ввозимых на территорию Российской Федерации» (зарегистрирован Министерством юстиции Российской Федерации 12 ноября 2007 г., регистрационный N 10455);
приказ Министерства здравоохранения и социального развития Российской Федерации от 23 декабря 2010 г. N 1167н «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по исполнению государственной функции по лицензированию деятельности, связанной с использованием возбудителей инфекционных заболеваний, деятельности в области использования источников ионизирующего излучения, утвержденный приказом Министерства здравоохранения и социального развития Российской Федерации от 19 октября 2007 года N 655» (зарегистрирован Министерством юстиции Российской Федерации 22 апреля 2011 г., регистрационный N 20555);
приказ Министерства здравоохранения и социального развития Российской Федерации от 18 ноября 2011 г. N 1372н «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека государственной функции по проведению проверок деятельности юридических лиц, индивидуальных предпринимателей и граждан по выполнению требований санитарного законодательства, законодательства Российской Федерации в области защиты прав потребителей, правил продажи отдельных видов товаров» (зарегистрирован Министерством юстиции Российской Федерации 3 февраля 2012 г., регистрационный N 23120);
приказ Министерства здравоохранения и социального развития Российской Федерации от 26 декабря 2011 г. N 1641н «Об утверждении Административного регламента Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по предоставлению государственной услуги «Организация приема граждан, обеспечение своевременного и полного рассмотрения обращений граждан, принятие по ним решений и направление ответов заявителям в установленный законодательством Российской Федерации срок» (зарегистрирован Министерством юстиции Российской Федерации 23 апреля 2012 г., регистрационный N 23928);
приказ Министерства здравоохранения и социального развития Российской Федерации от 12 марта 2012 г. N 217н «Об утверждении Административного регламента Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по предоставлению государственной услуги по выдаче на основании результатов санитарно-эпидемиологических экспертиз, расследований, обследований, исследований, испытаний и иных видов оценок, оформленных в установленном порядке, санитарно-эпидемиологических заключений» (зарегистрирован Министерством юстиции Российской Федерации 12 мая 2012 г., регистрационный N 24120);
приказ Министерства здравоохранения и социального развития Российской Федерации от 12 марта 2012 г. N 218н «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека государственной функции по осуществлению санитарно-карантинного контроля в пунктах пропуска на российском участке внешней границы Таможенного союза» (зарегистрирован Министерством юстиции Российской Федерации 5 апреля 2012 г., регистрационный N 23737);
приказ Министерства здравоохранения и социального развития Российской Федерации от 25 апреля 2012 г. N 404н «Об утверждении Административного регламента предоставления Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека государственной услуги по приему и учету уведомлений о начале осуществления юридическими лицами и индивидуальными предпринимателями отдельных видов работ и услуг согласно перечню, предусмотренному постановлением Правительства Российской Федерации от 16 июля 2009 г. N 584» (зарегистрирован Министерством юстиции Российской Федерации 12 мая 2012 г., регистрационный N 24121).
Уважаемые коллеги! Добрый день!
С выходом приказа Минздрава России от 7 июня 2019 года № 381н «Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности» (Регистрация в Минюсте России № 55818 от 4 сентября 2019 года)* многое в нашей жизни меняется. К добру ли, к худу – зависит больше от интерпретаторов (чиновников, юристов, проверяющих всех мастей и, разумеется, нас самих), т.к., в целом, документ конкретикой не перегружен. Скачать его можно .
Разберём здесь его положения, коллеги, дабы худа понапрасну не плодить. Получится серия публикаций, поскольку приказ довольно содержательный, хотя в объёме и подсушен ровно в десять раз по отношению к первоначальной версии, изученной нами год назад. Из него исчезли все замечательные таблички, воспроизводившие Практические рекомендации Росздравнадзора к организации и проведению внутреннего контроля, а также некоторые положения основной части, что могли бы привести медицинские организации к безальтернативному выбору системы стандартов и ограничить конкуренцию.
В настоящей работе исследуем содержание 1-го раздела «требований»..
«I. Общие положенияˮ.
«1. Внутренний контроль качества и безопасности медицинской деятельности (далее — внутренний контроль) осуществляется с целью обеспечения прав граждан на получение медицинской помощи необходимого объема и надлежащего качества в соответствии с порядками оказания медицинской помощи, с учетом стандартов медицинской помощи и на основе клинических рекомендаций, а также соблюдения обязательных требований к обеспечению качества и безопасности медицинской деятельности.ˮ
Множество вопросов возникает по поводу смысла использованных в первом пункте «требований» выражений. Вопросы о том, что есть «медицинская помощь надлежащего качества», в каких единицах измеряются её «объёмы» и что следует понимать под «необходимым» (кому и почему?) «объёмом», а также о порядке и форме отпуска «объёмов надлежащего качества» их «получателям» мы оставим здесь без внимания, ведь мы с вами их не раз уже обсуждали. Ясно, что штампы нового времени, потребительского удовлетворения и правозащитного удовольствия ради. А вот присутствие логической петли «соблюдения обязательных требований к обеспечению качества..» среди целей внутреннего контроля – т.е., института обеспечения того самого качества, по крайней мере, любопытно. Как-нибудь к ней ещё вернёмся. Так или иначе, этот абзац вместе с реквизитами документа придётся внедрить в основания большинства локальных документов системы внутреннего контроля.
«2. Организация и проведение внутреннего контроля с учетом вида медицинской организации, видов, условий и форм оказания медицинской помощи и перечня работ (услуг), указанных в лицензии на осуществление медицинской деятельности, направлены на решение следующие задач:ˮ
В этом месте порадуемся за разработчиков документа (и за себя тоже). Пусть косноязычно и лишь концептуально, но необходимость дифференцировать вводимые приказом требования обозначена. Медицинским организациям нужно будет выбрать актуальные для себя задачи из приведённого в данном пункте перечня (и, забегая вперёд, их наполнение из 3-го раздела приказа). Какие это задачи?
– «совершенствование подходов к осуществлению медицинской деятельности для предупреждения, выявления и предотвращения рисков, создающих угрозу жизни и здоровью граждан, и минимизации последствий их наступления;ˮ
В «совершенствовании подходов к осуществлению деятельности», если только речь не идёт о формировании концепции или о разработке стратегии, есть что-то заумно-искусственное. Я бы проще (и более ёмко) написал, «совершенствование медицинской деятельности». С «рисками» хорошо придумали в том плане, что включать «риск-менеджмент» в систему внутреннего контроля надо (и давно пора было), да фраза построена неправильно. Помимо «риск-менеджмента», разве ничего не надо совершенствовать?
– «обеспечение и оценка соблюдения прав граждан в сфере охраны здоровья при осуществлении медицинской деятельности;ˮ
Тут «контроль» потерялся. Либо «оценку» тоже надо было выкинуть, если «контроль» включён в «обеспечение».
– «обеспечение и оценка применения порядков оказания медицинской помощи и стандартов медицинской помощи;ˮ
То же, только ещё круче, т.к. на уровне медицинской организации не «применение» нормативных правовых актов нужно обеспечивать, а соблюдение.
– «обеспечение и оценка соблюдения порядков проведения медицинских экспертиз, диспансеризации, медицинских осмотров и медицинских освидетельствований;ˮ
То же.
– «обеспечение и оценка соблюдения медицинскими работниками и руководителями медицинских организаций ограничений, налагаемых на указанных лиц при осуществлении ими профессиональной деятельности5 в соответствии с Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;ˮ
То же.
– «обеспечение и оценка соответствия оказываемой медицинскими работниками медицинской помощи критериям оценки качества медицинской помощи, а также рассмотрение причин возникновения несоответствия качества оказываемой медицинской помощи указанным критериям;ˮ
А вот здесь совсем не «то же». Оценочные критерии не могут быть директивами по лечению живых людей! Соответственно, не «критерии оценки качества» нужно соблюдать при оказании медицинской помощи, а два их источника: формальные требования системы здравоохранения и научно обоснованные положения медицины, на основании которых они (должны быть) созданы. Сами же критерии – лишь канва, система ориентиров для эксперта при проведении им анализа (экспертизы) случая оказания медицинской помощи и получения структурированных результатов.
Но, не беда (для нас с вами). С проблемами управления качеством основного «производственного» процесса медицинской деятельности – процесса оказания медицинской помощи, порождёнными приказом Минздрава России от 10 мая 2017 года № 203н «Об утверждении критериев оценки качества медицинской помощи», мы благополучно разобрались. См. серию статей: ст.А, ст.Б.1, ст.Б.2, ст.Б.3 и другие работы на нашем сайте. Подключаем здесь эти решения, и работаем дальше.
Теперь, что касается «рассмотрения причин возникновения несоответствия..» (что за чудная формулировка!). Никак не удаётся втолковать нашему отраслевому регулятору ту простую с позиций клинической практики истину, что никогда и ни при каких обстоятельствах невозможно слить в одну простую (одномерную линейную) смысловую конструкцию соблюдение установленных требований и необходимость исходить из интересов конкретного больного в его уникальной клинической ситуации. Соответственно, «рассматривать» следует не «причины несоответствия качества указанным критериям», а причины дефектов при оказании медицинской помощи, к коим относятся как нарушения установленных в системе здравоохранения требований, так и отклонения процесса, условий и результата оказания медицинской помощи от условного и уникального для данного случая оказания медицинской помощи данному больному идеала.
В общем, при проработке локальных документов в этой части коллегам придётся слегка напрячь свой творческий потенциал, иначе не раскрыть будет потенциала, заложенного сюда «регулятором». Заложить-то он заложил, только сам недопонял, что именно.
– «выполнение медицинскими работниками должностных инструкций в части обеспечения качества и безопасности медицинской деятельности;ˮ
Проверяющие проверяют то, что им доступно. Документы, записи, даты – доступны, поэтому и проверяют. Следует ожидать появления на «рынке услуг для медицинских организаций» очередной волны «готовых должностных инструкций» от юридических, образовательных, консалтинговых и иных фирм и фирмочек. Замечательно, только.. Обычно очень смешно бывает от того, что там нарисовано. Берут «рыбу», и, прошу прощения, фигачат туда шаблонные фразы «ниачём».
Должностные инструкции – это связь между делом («производственными задачами»), работодателем и работником на оси пересечения правовой и экономической плоскостей. Должностные инструкции есть следствие распределения функций, таким образом. Сперва нужно определиться, какие функции должны исполняться, и описать их, затем распределить полномочия, после чего только становится возможным погружать их в должностные инструкции ответственных за их исполнение работников. Функционал лиц, ответственных за обеспечение внутреннего контроля, нужно описать в соответствующих документах (положениях), и только после этого погружать их в должностные инструкции ответственных лиц (с учётом требований профстандартов, конечно).
Но в обеспечении качества медицинской помощи, качества и безопасности медицинской деятельности участвуют все работники медицинской организации (это один из базовых принципов качества, которому мы следуем на протяжении мних лет вместе с нашими партнёрами), и у каждого есть своя зона ответственности, требующая отражения в должностных инструкциях. Как видим, проблема не так проста, как может показаться продавцам шаблонных должностных инструкций и их покупателям. Как к её решению вообще подходить, и как прорабатывать для врачей в частности, мы разбирали в этой работе. «О самоконтроле врача в системе контроля качества»
– «предупреждение нарушений при оказании медицинской помощи, являющихся результатом:ˮ
Так, так..
«несоответствия оказанной медицинской помощи состоянию здоровья пациента с учетом степени поражения органов и (или) систем организма либо нарушений их функций, обусловленной заболеванием или состоянием либо их осложнением;ˮ
Вот это номер! Нет, идея правильная, по сути – клиника должна быть на первом месте. Только формулировка шедевральная. И вот такой вопрос возникает в этой связи: как возможно определить (а без этого невозможно предупредить) «нарушения при оказании медицинской помощи», «являющиеся результатом несоответствия» решений и действий клинике, если оценка клиники, лежащая в основе этих решений и действий, есть дело сугубо субъективное? Ведь это принципиально исключает «нарушения»! Опять «нарушения критериев оценки качества» имеются в виду? Ну, тогда это всё не для врачей писано, а для чиновников, экономистов и юристов, и обсуждать врачам здесь нечего. Сплюнуть, разве.
«невыполнения, несвоевременного или ненадлежащего выполнения необходимых пациенту профилактических, диагностических, лечебных и реабилитационных мероприятий в соответствии с порядками оказания медицинской помощи, с учетом стандартов медицинской помощи и на основе клинических рекомендаций;ˮ
Неплохо. Правда, с учётом публичных заявлений бывшего и действующего министров здравоохранения Российской Федерации не очень понятно в части стандартов медицинской помощи – статус их, похоже, до сих пор окончательно не определён. Как и «руководящая и направляющая» роль в процессе оказания медицинской помощи конкретному пациенту. В локальных документах, конечно, пока пишем именно так, как здесь указано (соответствует формулировкам Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», далее – Закон), и так же исполняем.
«несоблюдения сроков ожидания медицинской помощи, оказываемой в плановой форме, включая сроки ожидания оказания медицинской помощи в стационарных условиях, проведения отдельных диагностических обследований и консультаций врачей-специалистов;ˮ
Сроки – наше фсё. Их так легко проверять контролёрам..
– «принятие мер по пресечению и (или) устранению последствий и причин нарушений, выявленных в рамках государственного контроля качества и безопасности медицинской деятельности, ведомственного контроля качества и безопасности медицинской деятельности, объемов, сроков и условий оказания медицинской помощи, выявленных в рамках контроля качества медицинской помощи фондами обязательного медицинского страхования и страховыми медицинскими организациями в соответствии с законодательством Российской Федерации об обязательном медицинском страховании;ˮ
А где результаты внутреннего контроля среди оснований для «принятия мер»? Не додумано. Хорошо, сами напишем.
– «принятие управленческих решений по совершенствованию подходов к осуществлению медицинской деятельности.ˮ
Ну, вот! Снова «совершенствуем» какие-то «подходы» вместо самой медицинской деятельности. А так-то мысль о принятии управленческих решений по результатам контроля здравая (у нас она реализована с самого начала и входит в число основных положений любого из предлагаемых решений). Только одного «принятия решений» мало, нужна ещё их реализация, и там возникает колоссальной ёмкости вопрос с правомочностью «принимаемых мер». Проблема откровенно сброшена на уровень медицинских организаций.
«3. Внутренний контроль осуществляется организациями государственной, муниципальной и частной систем здравоохранения (далее – медицинские организации) в соответствии с настоящими Требованиями.ˮ
Логично было бы написать, как в Законе (или, хотя бы, сослаться), чтоб никто случайно, по недоразумению не выпал.
«4. Ответственным за организацию и проведение внутреннего контроля является руководитель медицинской организации либо уполномоченный им заместитель руководителя.ˮ
Мы давно и детально проработали этот вопрос. Можно было и позаимствовать, слегка освежив. Следует различать ответственность за качество и безопасность деятельности организации и за обеспечение качества и безопасности, включая организацию и проведение внутреннего контроля. За первое всегда несёт ответственность руководитель, за второе – назначенное лицо или лица, т.к. обеспечение – это функционал. Как вариант, обеспечение может быть поручено руководителем организации самому себе.
«5. В зависимости от вида медицинской организации по решению руководителя медицинской организации внутренний контроль организуется и проводится Комиссией (Службой) по внутреннему контролю (далее — Комиссия (Служба), включающей работников медицинской организации, и (или) уполномоченным лицом по качеству и безопасности медицинской деятельности (далее — Уполномоченное лицо).ˮ
А вот тут задумано было неплохо, но получилось весьма далеко от идеала. У нас в каждой медицинской организации есть высший коллегиальный орган управления, «врачебной комиссией» зовётся. Ещё и подкомиссии может (и должен при определённых условиях) иметь. Немалая часть функций врачебной комиссии (подкомиссии врачебной комиссии), изложенных в приказе Минздравсоцразвития России от 5 мая 2012 года № 502н «Об утверждении порядка создания и деятельности врачебной комиссии медицинской организации», напрямую относится к качеству медицинской помощи, обеспечению качества и безопасности медицинской деятельности. И, спрашивается, где? Судя по всему, разработчики не смогли сопоставить функционал заимствованной из-за границы «Службы качества» (с творческой переработкой в рассматриваемом приказе) с функционалом врачебной комиссии (на попытку указывает упоминание «Комиссии по внутреннему контролю» в данном пункте), и бросили эту затею. Ну, что ж, будем разводить полномочия на уровне локальных документов. Трудности гарантированы. Позже обязательно рассмотрим их в отдельной публикации, они того заслуживают.
«6. В целях организации и проведения внутреннего контроля медицинской организацией разрабатывается положение о порядке организации и проведения внутреннего контроля качества и безопасности медицинской деятельности, регламентирующее:ˮ
Здесь обращает на себя внимание фактически прямое указание данного варианта сочетания давно известных слов в качестве наименования документа. Именно стопроцентного совпадения по наименованию будут требовать проверяющие, не всегда заглядывая даже в содержание документа. Леса страны, конечно, жалко. Но, что поделать, перепишем.
– «функции и порядок взаимодействия Комиссии (Службы) и (или) Уполномоченного лица, руководителей и (или) уполномоченных работников структурных подразделений медицинской организации, врачебной комиссии медицинской организации в рамках организации и проведения внутреннего контроля;ˮ
Тот самый «головняк», о котором я писал чуть выше.
– «цель, задачи и сроки проведения внутреннего контроля;ˮ
Здесь всё понятно. Только непонятно, каковы минимальные требования – рассматриваемый документ, вроде, о них? Кое-что есть ниже, но не совсем то.
– «основания для проведения внутреннего контроля;ˮ
Невнятное требование. И эта же неопределённость ожидаемо будет транслироваться в локальные документы многих медицинских организаций.
– «права и обязанности лиц, участвующих в организации и проведении внутреннего контроля;ˮ
Выше мы уже обсудили, что лучше иметь отдельные локальные документы, описывающие функционал, полномочия ответственных лиц. В «положении» же достаточно на них сослаться.
– «порядок регистрации и анализа результатов внутреннего контроля;ˮ
Нет, всё понятно, но что конкретно? ( © поп-группа «Несчастный случай» ). Позиция нужная, но требует методического обеспечения. У коллег, работающих по нашим технологиям, здесь проблем не особо прибавилось. Вместе с тем, нужно будет поработать над расширением т.с., «спектра» данных, подлежащих регистрации и анализу.
– «порядок использования результатов внутреннего контроля в целях управления качеством и безопасностью медицинской деятельности.ˮ
Хорошо. Замечание то же, что к предшествующей позиции.
«7. По решению руководителя медицинской организации разрабатываются иные локальные акты в рамках внутреннего контроля (стандартные операционные процедуры, алгоритмы действий работников организации) в соответствии с нормативными правовыми актами, регламентирующими вопросы организации медицинской деятельности, в том числе порядками оказания медицинской помощи, а также с учетом стандартов медицинской помощи, на основе клинических рекомендаций.ˮ
После СОПов и «алгоритмов» (в скобках) надо было приписать «и т.д.», а после клинических рекомендаций – «и др.», дабы перечни не закрывать. Это важно.
«8. По решению руководителя медицинской организации для осуществления мероприятий внутреннего контроля могут привлекаться научные и иные организации, ученые и специалисты.ˮ
Отлично. У нас и это давно проработано. Только сопряжено данное положение с рядом неурегулированных в нашем законодательстве проблем, начиная с Закона, не предполагающего делегирования полномочий по контролю, и заканчивая источниками оплаты «услуг» указанных «научных и иных организаций, учёных и специалистов». Надеюсь, как-то эти проблемы будут решены, и, кто знает, может даже при нашей жизни.
Резюме Первой серии комментариев.
В 1-м разделе «требований», «Общие положения», никаких кошмарных угроз медицинским организациям и непосильных обуз для медицинских работников нам обнаружить не удалось. Раздел, как и весь приказ, составлен в традициях отраслевого нормотворчества (включая сырость новаций и наследование противоречий действующей нормативной правовой базы) и в целом неплох. Серьёзных проблем всего три:
1) распределение полномочий в системе внутреннего контроля с учётом функционала врачебной комиссии (подкомиссии врачебной комиссии) медицинской организации;
2) опора на стандарты медицинской помощи, документы туманного статуса (унаследовано);
3) привязка к «критериям оценки качества медицинской помощи» в виде требования их соблюдения, контроля соблюдения и анализа причин несоблюдения.
В следующей серии комментариев изучим с вами 2-й раздел «требований», «Организация проведения мероприятий, осуществляемых в рамках внутреннего контроля качества и безопасности медицинской деятельности». Может, там какой подвох?
* Данный приказ летом 2020 года попал под «регуляторную гильотину» и был проспективно (с 1 января 2021 года) отменён Постановлением Правительства Российской Федерации от 17 июня 2020 года № 868. Взамен был установлен и 2 октября 2020 года за № 60192 зарегистрирован Минюстом аналогичный практически во всех отношениях документ, приказ Минздрава России от 31 июля 2020 года № 785н «Об утверждении Требований к организации и проведению внутреннего контроля качества и безопасности медицинской деятельности». Различия нового и старого документов разобраны автором в статье «Колобок-2020, или Сказка о регуляторной гильотине». Их совсем немного. Поскольку все различия Требований носят явно искусственный, имитационный характер, возникла необходимость переименовать эту важную и не потерявшую ни крупицы своей актуальности работу.
Всегда ваши, Андрей Таевский и команда Здрав.Биз.
 |
Приказ ФСТЭК России от 9 августа 2018 г. N 138 | 366 КБ | 3963 |
 |
Приказ ФСТЭК России от 9 августа 2018 г. N 138 | 437 КБ | 1726 |
Зарегистрировано в Минюсте России 5 сентября 2018 г. N 52071
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ПРИКАЗ
от 9 августа 2018 г. N 138
Внести в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31 (зарегистрирован Министерством юстиции Российской Федерации 30 июня 2014 г., регистрационный N 32919) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный N 46487), и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 (зарегистрирован Министерством юстиции Российской Федерации 26 марта 2018 г., регистрационный N 50524) изменения согласно приложению к настоящему приказу.
Директор
Федеральной службы по техническому
и экспортному контролю
В.СЕЛИН
Приложение
к приказу ФСТЭК России
от 9 августа 2018 г. N 138
1. В Требованиях к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31:
1) пункт 1 после абзаца первого дополнить абзацем следующего содержания:
«Обеспечение безопасности автоматизированных систем управления, являющихся значимыми объектами критической информационной инфраструктуры Российской Федерации, осуществляется в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, а также Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. N 235 (зарегистрирован Минюстом России 22 февраля 2018 г., регистрационный N 50118).»;
2) абзацы первый — четвертый подпункта 13.3 пункта 13 изложить в следующей редакции:
«13.3. Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать:
а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств;
в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом.
В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 52, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; N 4, ст. 641; 2016, N 1, ст. 211; 2017, N 48, ст. 7198; 2018, N 20, ст. 2818), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.»;
3) в подпункте 15.3 пункта 15:
после абзаца второго дополнить абзацем следующего содержания:
«определение администратора безопасности информации;»;
в абзаце четвертом после слов «персонала автоматизированной системы управления» дополнить словами «и администратора безопасности информации»;
4) пункт 18 изложить в следующей редакции:
«18. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления в рамках ее системы защиты, в зависимости от класса защищенности, угроз безопасности информации, используемых технологий и структурно-функциональных характеристик автоматизированной системы управления и особенностей ее функционирования должны обеспечивать:
идентификацию и аутентификацию (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защиту машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусную защиту (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защиту технических средств и систем (ЗТС);
защиту информационной (автоматизированной) системы и ее компонентов (ЗИС);
реагирование на компьютерные инциденты (ИНЦ);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
планирование мероприятий по обеспечению безопасности (ПЛН);
обеспечение действий в нештатных ситуациях (ДНС);
информирование и обучение персонала (ИПО).
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления приведены в приложении N 2 к настоящим Требованиям.
Содержание мер и правила их реализации устанавливаются методическим документом, разработанным ФСТЭК России в соответствии с пунктом 5 и подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.»;
5) подпункты 18.1 — 18.21 пункта 18 признать утратившими силу.
6) приложение N 2 к указанным Требованиям изложить в следующей редакции:
«Приложение N 2
к Требованиям к обеспечению
защиты информации в автоматизированных
системах управления производственными
и технологическими процессами
на критически важных объектах,
потенциально опасных объектах,
а также объектах, представляющих
повышенную опасность для жизни
и здоровья людей и для окружающей
природной среды
СОСТАВ
МЕР ЗАЩИТЫ ИНФОРМАЦИИ И ИХ БАЗОВЫЕ НАБОРЫ ДЛЯ СООТВЕТСТВУЮЩЕГО КЛАССА ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ
|
Условное обозначение и номер меры |
Меры защиты информации в автоматизированных системах управления |
Классы защищенности автоматизированной системы управления |
||
|
3 |
2 |
1 |
||
|
I. Идентификация и аутентификация (ИАФ) |
||||
|
ИАФ.0 |
Разработка политики идентификации и аутентификации |
+ |
+ |
+ |
|
ИАФ.1 |
Идентификация и аутентификация пользователей и инициируемых ими процессов |
+ |
+ |
+ |
|
ИАФ.2 |
Идентификация и аутентификация устройств |
+ |
+ |
+ |
|
ИАФ.3 |
Управление идентификаторами |
+ |
+ |
+ |
|
ИАФ.4 |
Управление средствами аутентификации |
+ |
+ |
+ |
|
ИАФ.5 |
Идентификация и аутентификация внешних пользователей |
+ |
+ |
+ |
|
ИАФ.6 |
Двусторонняя аутентификация |
|||
|
ИАФ.7 |
Защита аутентификационной информации при передаче |
+ |
+ |
+ |
|
II. Управление доступом (УПД) |
||||
|
УПД.0 |
Разработка политики управления доступом |
+ |
+ |
+ |
|
УПД.1 |
Управление учетными записями пользователей |
+ |
+ |
+ |
|
УПД.2 |
Реализация политик управления доступа |
+ |
+ |
+ |
|
УПД.3 |
Доверенная загрузка |
+ |
+ |
|
|
УПД.4 |
Разделение полномочий (ролей) пользователей |
+ |
+ |
+ |
|
УПД.5 |
Назначение минимально необходимых прав и привилегий |
+ |
+ |
+ |
|
УПД.6 |
Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему |
+ |
+ |
+ |
|
УПД.7 |
Предупреждение пользователя при его доступе к информационным ресурсам |
|||
|
УПД.8 |
Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе |
+ |
||
|
УПД.9 |
Ограничение числа параллельных сеансов доступа |
+ |
||
|
УПД.10 |
Блокирование сеанса доступа пользователя при неактивности |
+ |
+ |
+ |
|
УПД.11 |
Управление действиями пользователей до идентификации и аутентификации |
+ |
+ |
+ |
|
УПД.12 |
Управление атрибутами безопасности |
|||
|
УПД.13 |
Реализация защищенного удаленного доступа |
+ |
+ |
+ |
|
УПД.14 |
Контроль доступа из внешних информационных (автоматизированных) систем |
+ |
+ |
+ |
|
III. Ограничение программной среды (ОПС) |
||||
|
ОПС.0 |
Разработка политики ограничения программной среды |
+ |
+ |
|
|
ОПС.1 |
Управление запуском (обращениями) компонентов программного обеспечения |
+ |
||
|
ОПС.2 |
Управление установкой (инсталляцией) компонентов программного обеспечения |
+ |
+ |
|
|
ОПС.3 |
Управление временными файлами |
|||
|
IV. Защита машинных носителей информации (ЗНИ) |
||||
|
ЗНИ.0 |
Разработка политики защиты машинных носителей информации |
+ |
+ |
+ |
|
ЗНИ.1 |
Учет машинных носителей информации |
+ |
+ |
+ |
|
ЗНИ.2 |
Управление физическим доступом к машинным носителям информации |
+ |
+ |
+ |
|
ЗНИ.3 |
Контроль перемещения машинных носителей информации за пределы контролируемой зоны |
|||
|
ЗНИ.4 |
Исключение возможности несанкционированного чтения информации на машинных носителях информации |
|||
|
ЗНИ.5 |
Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
+ |
+ |
+ |
|
ЗНИ.6 |
Контроль ввода (вывода) информации на машинные носители информации |
+ |
||
|
ЗНИ.7 |
Контроль подключения машинных носителей информации |
+ |
+ |
+ |
|
ЗНИ.8 |
Уничтожение (стирание) информации на машинных носителях информации |
+ |
+ |
+ |
|
V. Аудит безопасности (АУД) |
||||
|
АУД.0 |
Разработка политики аудита безопасности |
+ |
+ |
+ |
|
АУД.1 |
Инвентаризация информационных ресурсов |
+ |
+ |
+ |
|
АУД.2 |
Анализ уязвимостей и их устранение |
+ |
+ |
+ |
|
АУД.3 |
Генерирование временных меток и (или) синхронизация системного времени |
+ |
+ |
+ |
|
АУД.4 |
Регистрация событий безопасности |
+ |
+ |
+ |
|
АУД.5 |
Контроль и анализ сетевого трафика |
+ |
||
|
АУД.6 |
Защита информации о событиях безопасности |
+ |
+ |
+ |
|
АУД.7 |
Мониторинг безопасности |
+ |
+ |
+ |
|
АУД.8 |
Реагирование на сбои при регистрации событий безопасности |
+ |
+ |
+ |
|
АУД.9 |
Анализ действий пользователей |
+ |
||
|
АУД.10 |
Проведение внутренних аудитов |
+ |
+ |
+ |
|
АУД.11 |
Проведение внешних аудитов |
+ |
||
|
VI. Антивирусная защита (АВЗ) |
||||
|
АВЗ.0 |
Разработка политики антивирусной защиты |
+ |
+ |
+ |
|
АВЗ.1 |
Реализация антивирусной защиты |
+ |
+ |
+ |
|
АВЗ.2 |
Антивирусная защита электронной почты и иных сервисов |
+ |
+ |
+ |
|
АВЗ.3 |
Контроль использования архивных, исполняемых и зашифрованных файлов |
+ |
||
|
АВЗ.4 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
+ |
+ |
+ |
|
АВЗ.5 |
Использование средств антивирусной защиты различных производителей |
+ |
||
|
VII. Предотвращение вторжений (компьютерных атак) (СОВ) |
||||
|
СОВ.0 |
Разработка политики предотвращения вторжений (компьютерных атак) |
+ |
+ |
|
|
СОВ.1 |
Обнаружение и предотвращение компьютерных атак |
+ |
+ |
|
|
СОВ.2 |
Обновление базы решающих правил |
+ |
+ |
|
|
VIII. Обеспечение целостности (ОЦЛ) |
||||
|
ОЦЛ.0 |
Разработка политики обеспечения целостности |
+ |
+ |
+ |
|
ОЦЛ.1 |
Контроль целостности программного обеспечения |
+ |
+ |
+ |
|
ОЦЛ.2 |
Контроль целостности информации |
|||
|
ОЦЛ.3 |
Ограничения по вводу информации в информационную (автоматизированную) систему |
+ |
||
|
ОЦЛ.4 |
Контроль данных, вводимых в информационную (автоматизированную) систему |
+ |
+ |
|
|
ОЦЛ.5 |
Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях |
+ |
+ |
|
|
ОЦЛ.6 |
Обезличивание и (или) деидентификация информации |
|||
|
IX. Обеспечение доступности (ОДТ) |
||||
|
ОДТ.0 |
Разработка политики обеспечения доступности |
+ |
+ |
+ |
|
ОДТ.1 |
Использование отказоустойчивых технических средств |
+ |
+ |
|
|
ОДТ.2 |
Резервирование средств и систем |
+ |
+ |
|
|
ОДТ.3 |
Контроль безотказного функционирования средств и систем |
+ |
+ |
|
|
ОДТ.4 |
Резервное копирование информации |
+ |
+ |
+ |
|
ОДТ.5 |
Обеспечение возможности восстановления информации |
+ |
+ |
+ |
|
ОДТ.6 |
Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях |
+ |
+ |
+ |
|
ОДТ.7 |
Кластеризация информационной (автоматизированной) системы |
|||
|
ОДТ.8 |
Контроль предоставляемых вычислительных ресурсов и каналов связи |
+ |
+ |
+ |
|
X. Защита технических средств и систем (ЗТС) |
||||
|
ЗТС.0 |
Разработка политики защиты технических средств и систем |
+ |
+ |
+ |
|
ЗТС.1 |
Защита информации от утечки по техническим каналам |
|||
|
ЗТС.2 |
Организация контролируемой зоны |
+ |
+ |
+ |
|
ЗТС.3 |
Управление физическим доступом |
+ |
+ |
+ |
|
ЗТС.4 |
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
+ |
+ |
+ |
|
ЗТС.5 |
Защита от внешних воздействий |
+ |
+ |
+ |
|
ЗТС.6 |
Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации |
|||
|
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) |
||||
|
ЗИС.0 |
Разработка политики защиты информационной (автоматизированной) системы и ее компонентов |
+ |
+ |
+ |
|
ЗИС.1 |
Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями |
+ |
+ |
+ |
|
ЗИС.2 |
Защита периметра информационной (автоматизированной) системы |
+ |
+ |
+ |
|
ЗИС.3 |
Эшелонированная защита информационной (автоматизированной) системы |
+ |
+ |
+ |
|
ЗИС.4 |
Сегментирование информационной (автоматизированной) системы |
+ |
+ |
|
|
ЗИС.5 |
Организация демилитаризованной зоны |
+ |
+ |
+ |
|
ЗИС.6 |
Управление сетевыми потоками |
|||
|
ЗИС.7 |
Использование эмулятора среды функционирования программного обеспечения («песочница») |
|||
|
ЗИС.8 |
Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы |
+ |
+ |
+ |
|
ЗИС.9 |
Создание гетерогенной среды |
|||
|
ЗИС.10 |
Использование программного обеспечения, функционирующего в средах различных операционных систем |
|||
|
ЗИС.11 |
Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом |
|||
|
ЗИС.12 |
Изоляция процессов (выполнение программ) в выделенной области памяти |
|||
|
ЗИС.13 |
Защита неизменяемых данных |
+ |
+ |
|
|
ЗИС.14 |
Использование неперезаписываемых машинных носителей информации |
|||
|
ЗИС.15 |
Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек |
|||
|
ЗИС.16 |
Защита от спама |
+ |
+ |
|
|
ЗИС.17 |
Защита информации от утечек |
|||
|
ЗИС.18 |
Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию |
|||
|
ЗИС.19 |
Защита информации при ее передаче по каналам связи |
+ |
+ |
+ |
|
ЗИС.20 |
Обеспечение доверенных канала, маршрута |
+ |
+ |
+ |
|
ЗИС.21 |
Запрет несанкционированной удаленной активации периферийных устройств |
+ |
+ |
+ |
|
ЗИС.22 |
Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами |
|||
|
ЗИС.23 |
Контроль использования мобильного кода |
+ |
+ |
|
|
ЗИС.24 |
Контроль передачи речевой информации |
+ |
+ |
|
|
ЗИС.25 |
Контроль передачи видеоинформации |
+ |
+ |
|
|
ЗИС.26 |
Подтверждение происхождения источника информации |
|||
|
ЗИС.27 |
Обеспечение подлинности сетевых соединений |
+ |
+ |
|
|
ЗИС.28 |
Исключение возможности отрицания отправки информации |
+ |
+ |
|
|
ЗИС.29 |
Исключение возможности отрицания получения информации |
+ |
+ |
|
|
ЗИС.30 |
Использование устройств терминального доступа |
|||
|
ЗИС.31 |
Защита от скрытых каналов передачи информации |
+ |
||
|
ЗИС.32 |
Защита беспроводных соединений |
+ |
+ |
+ |
|
ЗИС.33 |
Исключение доступа через общие ресурсы |
+ |
||
|
ЗИС.34 |
Защита от угроз отказа в обслуживании (DOS, DDOS-атак) |
+ |
+ |
+ |
|
ЗИС.35 |
Управление сетевыми соединениями |
+ |
+ |
|
|
ЗИС.36 |
Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем |
|||
|
ЗИС.37 |
Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) |
|||
|
ЗИС.38 |
Защита информации при использовании мобильных устройств |
+ |
+ |
+ |
|
ЗИС.39 |
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
+ |
+ |
+ |
|
XII. Реагирование на компьютерные инциденты (ИНЦ) |
||||
|
ИНЦ.0 |
Разработка политики реагирования на компьютерные инциденты |
+ |
+ |
+ |
|
ИНЦ.1 |
Выявление компьютерных инцидентов |
+ |
+ |
+ |
|
ИНЦ.2 |
Информирование о компьютерных инцидентах |
+ |
+ |
+ |
|
ИНЦ.3 |
Анализ компьютерных инцидентов |
+ |
+ |
+ |
|
ИНЦ.4 |
Устранение последствий компьютерных инцидентов |
+ |
+ |
+ |
|
ИНЦ.5 |
Принятие мер по предотвращению повторного возникновения компьютерных инцидентов |
+ |
+ |
+ |
|
ИНЦ.6 |
Хранение и защита информации о компьютерных инцидентах |
+ |
||
|
XIII. Управление конфигурацией (УКФ) |
||||
|
УКФ.0 |
Разработка политики управления конфигурацией информационной (автоматизированной) системы |
+ |
+ |
+ |
|
УКФ.1 |
Идентификация объектов управления конфигурацией |
|||
|
УКФ.2 |
Управление изменениями |
+ |
+ |
+ |
|
УКФ.3 |
Установка (инсталляция) только разрешенного к использованию программного обеспечения |
+ |
+ |
+ |
|
УКФ.4 |
Контроль действий по внесению изменений |
|||
|
XIV. Управление обновлениями программного обеспечения (ОПО) |
||||
|
ОПО.0 |
Разработка политики управления обновлениями программного обеспечения |
+ |
+ |
+ |
|
ОПО.1 |
Поиск, получение обновлений программного обеспечения от доверенного источника |
+ |
+ |
+ |
|
ОПО.2 |
Контроль целостности обновлений программного обеспечения |
+ |
+ |
+ |
|
ОПО.3 |
Тестирование обновлений программного обеспечения |
+ |
+ |
+ |
|
ОПО.4 |
Установка обновлений программного обеспечения |
+ |
+ |
+ |
|
XV. Планирование мероприятий по обеспечению безопасности (ПЛН) |
||||
|
ПЛН.0 |
Разработка политики планирования мероприятий по обеспечению защиты информации |
+ |
+ |
+ |
|
ПЛН.1 |
Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации |
+ |
+ |
+ |
|
ПЛН.2 |
Контроль выполнения мероприятий по обеспечению защиты информации |
+ |
+ |
+ |
|
XVI. Обеспечение действий в нештатных ситуациях (ДНС) |
||||
|
ДНС.0 |
Разработка политики обеспечения действий в нештатных ситуациях |
+ |
+ |
+ |
|
ДНС.1 |
Разработка плана действий в нештатных ситуациях |
+ |
+ |
+ |
|
ДНС.2 |
Обучение и отработка действий персонала в нештатных ситуациях |
+ |
+ |
+ |
|
ДНС.3 |
Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций |
+ |
+ |
|
|
ДНС.4 |
Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций |
+ |
+ |
|
|
ДНС.5 |
Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций |
+ |
+ |
+ |
|
ДНС.6 |
Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения |
+ |
+ |
+ |
|
XVII. Информирование и обучение персонала (ИПО) |
||||
|
ИПО.0 |
Разработка политики информирования и обучения персонала |
+ |
+ |
+ |
|
ИПО.1 |
Информирование персонала об угрозах безопасности информации и о правилах безопасной работы |
+ |
+ |
+ |
|
ИПО.2 |
Обучение персонала правилам безопасной работы |
+ |
+ |
+ |
|
ИПО.3 |
Проведение практических занятий с персоналом по правилам безопасной работы |
+ |
+ |
|
|
ИПО.4 |
Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы |
+ |
+ |
+ |
«+» — мера защиты информации включена в базовый набор мер для соответствующего класса защищенности автоматизированной системы управления.
Меры защиты информации, не обозначенные знаком «+», применяются при адаптации и дополнении базового набора мер, а также при разработке компенсирующих мер защиты информации в автоматизированной системе управления соответствующего класса защищенности.».
2. В приложении к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239, строку седьмую раздела XVI изложить в следующей редакции:
«
|
ДНС.6 |
Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения |
+ |
+ |
+ |
«.