|
|
Существует мнение, что применение в настоящее время закона "О персональных данных" в медицинской сфере не должно вызвать сложности ввиду высокой степени неавтоматизированности процессов в этом секторе. В некоторой степени эта точка зрения имеет право на жизнь только сегодня. Рост интереса ЛПУ к автоматизации неминуемо приведет к росту спроса и на решения в области ИБ.
Принятая 28 апреля 2011 концепция создания единой государственной информационной системы (ЕГИС) в сфере здравоохранения внесла определенную ясность в будущую архитектуру создаваемой ЕГИС и распределение функциональной нагрузки между центром и регионами.
Одновременно появилась конкретика для обсуждения имеющихся и потенциальных проблем экспертами в области информационной безопасности - ведь не только пресловутый ФЗ-152 "О персональных данных" определяет направления обеспечения ИБ в медицине. Существуют и другие нормативы. К тому же многие ожидают, что рано или поздно в России появится свой аналог HIPАA (Health Insurance Portability and Accountability Act) для здравоохранения.
На фоне появления концепции особо интересны первые мнения о том, какие проблемы обеспечения информационной безопасности могут возникнуть в создаваемой ЕГИС. Так Виктор Минаев, директор департамента по работе с государственными организациями компании "Информзащита", полагает: "В целом концепция соответствует основным современным тенденциям развития информационных систем уровня федерального ведомства. Но при этом, как обычно, современные тенденции несколько опережают существующую нормативную базу и технические возможности".
Глубокий анализ еще предстоит, но, по мнению эксперта, уже существуют некоторые проблемы. Во-первых, поскольку доступ к ресурсам ЕГИС должен быть разграничен, необходимо решить вопрос о средствах строгой аутентификации пользователей (юридических и физических лиц). Предполагается, что это будет универсальная электронная карта гражданина Российской Федерации (УЭК), однако до настоящего времени организационные, правовые и технические аспекты, связанные с эксплуатацией таких карт, не решены.
На УЭК будет храниться и использоваться для аутентификации электронная цифровая подпись (ЭЦП) гражданина. Это означает, что у каждого пользователя на рабочем ПК должно быть устройство считывания УЭК, сертифицированные средства защиты от НСД и криптопровайдер.
Виктор Минаев продолжает: "Использование ЭЦП гражданами предполагает наличие сети доверенных удостоверяющих центров (УЦ) с общим количеством пользователей больше десяти миллионов. Опыта построения таких УЦ в России нет. В настоящее время максимальное количество пользователей действующего в России УЦ составляет 2 млн (УЦ Федерального Казначейства)".
По оценкам некоторых экспертов, архитектура, планируемая к реализации, приведет к генерации трафика порядка 20 Мбит/сек от среднего ЛПУ в сторону федерального ЦОДа. Это означает, что федеральный ЦОД должен иметь каналы связи с высокой производительностью (1 Гбит/сек и больше).
Учитывая, что ЦОД должен быть классифицирован с точки зрения информационной безопасности как ИСПДн категории К1, необходимо будет защитить каналы связи ЦОД с помощью сертифицированных криптографических средств защиты информации (СКЗИ). Обзор рынка ИБ показывает, что в настоящее время сертифицированных СКЗИ, имеющих необходимую производительность, практически нет (исключение составляет лишь АПКШ "Континент", производительность которого в режиме VPN – 800 Мбит/сек).
Возвращаясь к специфике исполнения ФЗ-152 в медицинской сфере государственного сектора, следует обратить внимание на утверждённые "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости", утверждённые департаментом информатизации Минздравсоцразвития РФ и согласованные с начальником 2 управления ФСТЭК России.
Денис Лирник, технический консультант направления защиты персональных данных компании Softline, считает: "Данный документ носит ведомственный характер и не имеет формальной юридической силы. Он не прошёл юридическую регистрацию в Минюсте, не утверждён уполномоченным на это руководителем ФСТЭК, а также противоречит отдельным положениям методических и нормативных правовых документов, регулирующих данную сферу (речь идёт о предлагаемых инструментах снижения затрат и возможности не выполнять технические требования в случае отсутствия финансирования). С другой стороны, он значительно подкреплён неформально – согласован с одним из руководителей управления ФСТЭК и утверждён руководителем профильного департамента ведомства. Безусловно, этот документ может служить руководством к действию как для проверяющих сотрудников ФСТЭК, так и для заказчиков соответствующих работ и систем в Минздравсоцразвития РФ".
Данные методические рекомендации создают мощные предпосылки к снижению стоимости проектов по обеспечению ИБ для государственных медицинских учреждений, но с формальной точки зрения не делают используемые ими системы защищёнными в соответствии с требованиями существующего законодательства.
Так или иначе, выбирать между соответствием законодательству и стоимостью придётся заказчикам соответствующих работ при формировании требований, а как это повлияет на рациональность расходования бюджетных средств, покажет время и принятые решения о необходимости доработки систем защиты, эксплуатируемых объектов информатизации.
А какова же цена исполнения ФЗ-152, если добиваться максимально полного соответствия закону? Михаил Эльянов, Президент Ассоциации развития медицинских информационных технологий (АРМИТ), приводит такие данные: "Средняя цена по приведению информационных систем ЛПУ в соответствие с ФЗ-152 "О персональных данных": 50-100 тыс. руб. на АРМ. Только для ЛПУ системы департамента здравоохранения г. Москвы это обойдется в 75000 * 46200 ПК = 3 465 000 000 руб.".
На фоне столь впечатляющих цифр хотелось бы оценить стоимость утраты персональных данных медучреждением. Алексей Демин, управляющий продажами в корпоративном сегменте G Data Software в России и СНГ, полагает: "Думаю, нет смысла обсуждать ценность персональных данных с "медицинским уклоном". Неправомерное использование такого рода информации может иметь последствия, способные отразиться на здоровье и даже жизни гражданина. Отсюда и требуемый особый подход к защите данных".
Если не говорить о моральной составляющей, дело ограничивается только штрафами за невыполнение требований регуляторов. Сами граждане не готовы и не видят смысла отстаивать свои права в случае, когда их персональные данные становятся достоянием общественности. А ведь компенсации по судебным искам могут значительно превысить возможный ущерб от штрафов.
"Гораздо сложнее обеспечить реальную сохранность персональных данных, а не сохранность её на бумаге для проверяющих. Следует подчеркнуть, что сколько-нибудь значимых отличий в подходе к защите персональных данных медицинского характера от других данных нет. Технически неважно, защищаем ли мы данные о диагнозах пациента или о его имуществе. Разница только в том, что эти два набора сведений могут заинтересовать различные группы злоумышленников. Поэтому, если мы беремся защищать персональные данные, то защищаем все данные", - заключает г-н Демин.
Проблема защиты персональных данных в медицинской отрасли лежит в первую очередь в организационной плоскости, а не в технической. Автоматизация лечебных учреждений в целом по России находится на достаточно низком уровне, что усложняет внедрение систем информационной безопасности, но отрасль не готова к вступлению ФЗ № 152 в полную силу не только по этой причине.
Владимир Катаев, руководитель технической дирекции компании "Verysell Проекты", считает: "Закон предусматривает, что каждый пациент ЛПУ должен в письменной форме подтвердить свое согласие на то, что его персональные данные будут собираться и использоваться. В результате на уже и без того сильно бюрократизированную отрасль накладывается необходимость обрабатывать дополнительное количество документов. По моему мнению, не стоит усложнять непростую работу врача, вешая на лечебное учреждение бюрократические процедуры по сбору заявок на обработку персональных данных. Кроме того, зачастую к врачам приходят пациенты, которые не в состоянии подписывать такого рода документы".
Медицинская отрасль может избрать несколько путей для того, чтобы оптимальным образом выстроить систему защиты персональных данных. Во-первых, существуют такие понятия, как "клятва Гиппократа" и "врачебная тайна", которые на сегодняшний день не имеют никакого отношения к персональным данным, но представляют собой основы неразглашения информации о пациенте. Если клятва Гиппократа несет в себе исключительно морально-этический аспект, то врачебная тайна является попыткой зафиксировать некоторые понятия на уровне закона. Грубо говоря, если врач не соблюдает определенные нормы поведения, приведенные в клятве Гиппократа, он нарушает закон.
По мнению экспертов "Verysell Проекты", медицинская отрасль может использовать отработанный годами механизм врачебной тайны, расширяя его действие на область персональных данных. В этом есть определенная логика, поскольку персональные данные – это часть той информации о пациенте, конфиденциальность которой должен сохранять врач. Так что предложение не изобретать велосипед, а поработать с институтом, который используется уже довольно долго, вполне рационально.
Еще одна возможность – использовать ресурсы, предлагаемые современной системой медицинского страхования, которая подразумевает четкую идентификацию каждого человека. Для получения полиса человек предоставляет свои ФИО, возраст, адрес проживания, а это уже персональные данные. Дополнив эти данные некими медицинскими параметрами, которые необходимы врачам (амбулаторная карта), мы получим необходимый набор инструментов для работы с пациентом. Таким образом, получая единый идентификационный номер, человек попадает в общий реестр, который может использоваться лечебными заведениями по всей стране. В этом случае врачи занимаются своим делом, администраторы – своим.
"Решив данную проблему организационно, мы неизбежно столкнемся с тем, что в отрасли медицины на сегодняшний день отсутствует технологическая база, необходимая для достижения нужного нам результата. Но любая техническая проблема решаема, главное – грамотно поставить задачу", продолжает Владимир Катаев.
Денис Лирник считает: "На мой взгляд, наиболее остро в медицинской сфере проявляются проблемы, характерные для всех операторов, обрабатывающих сведения первой категории, в том числе о состоянии здоровья. Указанные сведения являются неотъемлемой частью услуг, оказываемых медицинскими учреждениями. К безопасности информационных систем, обрабатывающих ПДн первой категории, предъявляются наиболее высокие требования (ИСПДн 1 класса)".
В качестве основных сложностей, касающихся применения закона "О персональных данных" для операторов ИСПДн 1-го класса, представителями Softline выделяются две проблемы, связанные с необходимостью. Во-первых, проведения защитных мероприятий, направленных на исключение утечки персональных данных за счет побочных электромагнитных излучений и наводок (ПЭМиН). Во-вторых, использования средств защиты, сертифицированных на отсутствие недекларируемых возможностей, предполагающих доступ сертификационной лаборатории к исходному коду программного средства.
"По первой проблеме, если не вдаваться в технические тонкости, можно сказать, что в соответствие с существующими методическими документами в ИСПДн 1-го класса необходимо применять средства защиты, снижающие вероятность реализации угрозы утечки за счёт ПЭМиН. Вместе с тем методология, определяющая порядок оценки эффективности применяемых средств защиты, еще не разработана. Неурегулированность данного вопроса не позволяет эффективно бороться с угрозами утечек по данным каналам", - резюмирует Денис Лирник.
Необходимость проведения оценки соответствия на отсутствие недекларируемых возможностей для средств и систем защиты, применяемых в ИСПДн 1 класса, ограничивает перечень отечественных разработок на рынке в этой сфере. Это обусловлено тем, что зарубежные производители не спешат открывать свои исходные коды российским регуляторам. Данная проблема не позволяет использовать передовые решения общепризнанных и используемых во всём мире производителей.
"Многие говорят об отсутствии сложностей с применением закона "О персональных данных" в медицинской сфере, обосновывая это высокой степенью неавтоматизированности процессов в деятельности данного сектора. Приходится констатировать, что в некоторой степени эта точка зрения имеет право на жизнь", - считают в Softline .
На прошедшем в мае 2011г. круглом столе в рамках конференции "MedSoft-2011", посвященном Ф3-152, состоялась на редкость жаркая, но плодотворная дискуссия. Одним из ее итогов стали практические предложения экспертов ИБ для руководителей ЛПУ, связанные с пошаговыми действиями по приведению учреждений в соответствие с положениями этого закона.
Перечень мероприятий по защите персональных данных в ЛПУ
№ | Содержание пункта |
1 | Разработать и утвердить внутри ЛПУ приказ о защите персональных данных |
2 | Разработать и утвердить внутри ЛПУ приказ о подразделении по защите персональных данных |
3 | Разработать и утвердить внутри ЛПУ приказ о назначении ответственных лиц за обработку персональных данных |
4 | Разработать и утвердить внутри ЛПУ политику информационной безопасности |
5 | Разработать и утвердить внутри ЛПУ приказ о проведении внутренней проверки |
6 | Определить состав и категории обрабатываемых персональных данных и оформить в виде перечня ПДн |
7 | Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные (акт классификации ИСПДн) |
8 | Разработать и утвердить внутри ЛПУ положение о разграничении прав доступа к обрабатываемым персональным данным |
9 | Частная модуль угроз к конкретной ИСПДн ЛПУ |
10 | Разработать и утвердить план мероприятий по защите ПДн |
11 | Назначить ответственных за защиту ПДН в ЛПУ |
12 | Разработать организационно-распорядительные документы по резервированию и восстановлению работоспособности МИС |
13 | Разработать и утвердить журнал обращений субъектов в ЛПУ |
14 | Выполнить установку технических средств защиты информации |
15 | Выполнить аттестацию или декларацию соответствия всех ИСПДн |
16 | Разработать и утвердить план внутренних проверок состояния защиты ПДн в ЛПУ |
17 | Направить уведомление в Роскомнадзор по территориальному признаку |
Источник: Академия Информационных систем, 2011 г
По словам Алексея Шевченко, руководителя отдела поддержки крупных корпоративных проектов компании ESET, в последнее время значительно возрос интерес представителей ЛПУ к элементам ИБ, в частности, к антивирусным решениям. Есть достаточное количество внедрений продуктов для обеспечения ИБ иными вендорами, существуют примеры консалтинговых проектов, имеются и построенные комплексные системы безопасности в учреждениях здравоохранения. Вполне вероятно, что сообщество медицинских ИТ- и ИБ специалистов наберет необходимую квалификацию и справится с непростой задачей соответствия ФЗ-152. Иначе он сам сможет "справится" с любым ЛПУ.
На вопросы CNews ответил Андрей Столбов, заместитель директора Медицинского информационно-аналитического центра РАМН, д.т.н., профессор кафедры организации здравоохранения с курсом медицинской статистики и информатики факультета управления здравоохранением Московской медицинской академии им. И.М. Сеченова.
CNews: Сроки приведения информационных систем персональных данных в соответствие 152-ФЗ переносились уже несколько раз. Как вы оцениваете готовность медицинских учреждений к реализации положений этого закона к настоящему времени? С чем, по вашему мнению, связаны основные сложности его реализации в сфере здравоохранения?
Андрей Столбов: Полных и достоверных сведений о готовности медицинских учреждений в части обеспечения защиты персональных данных у меня, к сожалению, нет. В тех учреждениях, с которыми нам приходилось работать, что-то уже смогли сделать, что-то пока не успели. Очевидно, что снижению затрат на создание и администрирование системы защиты информации способствует унификация применяемых программно-технических средств защиты (СЗИ). Министерству было бы целесообразно в рамках программ модернизации здравоохранения в части ИТ разработать стандартный, типовой комплект программно-технических средств защиты информации и обмена электронными документами по сети VPN, единый для всех учреждений и организаций здравоохранения и ОМС. Сейчас это особенно актуально в связи с общей тенденцией перехода к "облачным" технологиям в отрасли, которые декларированы в Концепции создания ЕГИС.
Вернуться на главную страницу обзора
Опубликовано в 2011 г.