oбзор

Обзор: ИТ в здравоохранении

Как защитить персданные в больнице

Как защитить персданные в больнице

В медицине по мере информатизации отрасли и автоматизации сети лечебно-профилактических учреждений вопрос защиты персональных данных приобретает принципиальное значение. Но в России этому вопросу пока не уделяется должного внимания: каждое учреждение вынуждено решать его самостоятельно, нет достойного финансирования и централизованного контроля. 

Ставший за последние годы легендарным Федеральный закон «О персональных данных» от 27 июля 2006 г. (№152-ФЗ), определяет персональные данные (ПДн) как ««любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». К персональным данным относятся фамилия, имя, отчество субъекта ПДн, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение и т.д.



С точки зрения информационной безопасности в медицине сведения о состоянии здоровья относятся к специальным категориям персональных данных, а действующее законодательство обязывает лечебно-профилактические учреждения обеспечить защиту этой информации.




ФЗ-152 как основа


Федеральный закон №152-ФЗ «О защите персональных данных» является основным регулирующим документом в обеспечении защиты информации в медицине. Согласно ему, лечебные учреждения являются операторами персональных данных, следовательно, обеспечение безопасности этих данных – их зона ответственности. Существуют также ряд нормативно-методических документов, инициированных, например, ФСБ и ФСТЭК России. Согласно предписанным в них способам и порядку обеспечивается безопасность персональных данных, в том числе и в здравоохранении. Благо, сейчас на рынке информационных технологий представлено множество средств защиты, отмечает Владимир Соловьев, директор бизнес-центра «БАРС-Медицина» компании «БАРС Груп».



«Что касается конкретных решений, то рынок тут довольно узкий, - не соглашается генеральный директор компании «Сван» Сергей Метелев. - Есть несколько достаточно эффективных разработок и несколько схем построения защиты, которые диктуют выбор конкретных технических решений».



Что будет с подзаконными актами к 152-ФЗ, в каком виде и когда они появятся - можно только гадать. Утвержденных документов по многим аспектам не хватает, сетуют участники рынка ИТ для медицины. Понятно, что все регионы при реализации программы защиты персональных данных в 2011-2012 гг. исходили из тех документов, что действовали на тот момент, но не исключено, что в будущем придется что-то менять.

Проблема безопасности персональных данных пока решается в виде формального соответствия 152-ФЗ и методических рекомендаций Минздрава, считает Константин Суслов, генеральный директор группы компаний ХОСТ. По его словам, для реального решения задачи безопасности надо, чтобы сами пациенты задумались о том, кому они готовы предоставлять свои данные и как эти разрешения будут обеспечиваться.



При этом в последнее время произошли определенные подвижки в сфере методического обеспечения защиты персональных данных. Важным шагом стал выпуск Министерством здравоохранения «Типовой модели угроз МИС типового ЛПУ» и «Методических рекомендаций» по составлению частной модели угроз безопасности персональных данных при их обработке в информационных систем персональных данных (ИСПДн) учреждений и организаций здравоохранения, социальной сферы, труда и занятости и по организации защиты информации при обработке персональных данных в упомянутых учреждениях. В целом же вопросы защиты персональных данных в медицинских учреждениях решаются в общих рамках текущих процессов развития соответствующего сегмента российского законодательства.



У каждого свой путь


В России, как и в других странах, главная особенность защиты личной информации в медицине – это необходимость обработки колоссального объема данных и исключительная важность персональных сведений. При этом в нашей стране есть ярко выраженная специфика.

Во-первых, тема защиты информации в целом и персональных данных в частности сейчас становится актуальной в связи с началом массового внедрения информационных технологий в деятельность ЛПУ, отмечает Игорь Гридин, генеральный директор компании «Аксимед». Наша страна приступила к информатизации здравоохранения существенно позже по сравнению с Европой и США, которые также проходили подобную фазу «осознания проблемы» и необходимости ее решения, а для России она относительно нова и потому особенно болезненна.



Во-вторых, очевидно, что мероприятия по обеспечению информационной безопасности требуют существенного финансирования, а сейчас главные ассигнования идут на формирование ИТ-инфраструктуры (федеральных сервисов и региональных сегментов Единой государственной информационной системы в сфере здравоохранения), а не на ее защиту.



Проблему обеспечения безопасности персональных данных в здравоохранении каждый субъект, орган и лечебное учреждение решают самостоятельно. «В некоторых регионах эту задачу берут на себя региональные органы и решают эту проблему централизованно для всех больниц и поликлиник. Однако в рамках Министерства здравоохранения этот вопрос централизованно не решается, - обращает внимание Инна Ашенбреннер, генеральный директор компании «Корус Консалтинг ИТ».



Инструменты, вопросы, средства


В медицинских учреждениях сегодня существуют четыре основных инструмента обработки персональных данных: обычные файлы в стандартных офисных пакетах; специализированные приложения с локальным/сетевым хранилищем; комплексные медицинские информационные системы (МИС) с хранилищем в пределах контролируемой зоны медицинской организации; «облачные» МИС.


В медицинских учреждениях сегодня существуют четыре основных инструмента обработки персональных данных: обычные файлы в стандартных офисных пакетах; специализированные приложения с локальным/сетевым хранилищем; комплексные медицинские информационные системы (МИС) с хранилищем в пределах контролируемой зоны медицинской организации; «облачные» МИС.



Руководитель направления развития сервисов ЭП компании «Аладдин Р.Д.» Максим Чирков в выступлении на форуме Medsoft-2013 обозначил базовые вопросы защиты информации при обработке ПДн в МИС: управление доступом (аутентификация пользователей, регистрация и учет, централизованное управление); защита от несанкционированного доступа (разграничение доступа, хранение в зашифрованном виде); обеспечение целостности и авторства (ЭП(ЭЦП)). Вариантами решения ИБ могут служить внешние системы защиты информации (СЗИ) и средства криптографической защиты информации (СКЗИ), «прикручиваемые» к медицинским информационным системам, либо специальные МИС с интегрированными механизмами безопасности.



Но прежде чем выбирать решение для защиты персональных данных, лечебно-профилактическому учреждению необходимо предпринять комплекс мер. Игорь Гридин отмечает, что в первую очередь необходимо осознать, что защита информационных систем медицинского учреждения – это не разовая акция, а непрерывный, сложный и дорогостоящий процесс. Далее необходимо руководствоваться комплексным подходом, результатом реализации которого должна стать аттестация ИСПДн ЛПУ по соответствующим классам на основе многочисленных технических и организационных мероприятий по защите информации.



«Иными словами, задача состоит не в приобретении какого-то одного сертифицированного средства или системы, а в переводе информационных систем на качественно новый уровень защищенности», - подчеркивает Игорь Гридин. По его словам, ЛПУ также нужно хотя бы определить и классифицировать свои ИСПДн. «Пока же ответом на элементарный вопрос о количестве и номенклатуре этих систем служит изумленное молчание», - сетует специалист.



На сегодня уровень защиты персональных данных как в государственных, так и в частных клиниках большинство экспертов оценивают как крайне низкий и недостаточный. И проблема заключается не только в нехватке ресурсов у одних и экономии на якобы непрофильных направлениях у других, но и в совершенно несбыточных надеждах на то, что проблемы защиты персональных данных на уровне конкретных ЛПУ будут решены либо волевыми указаниями «сверху», либо каким-то одним «волшебным» (и при этом дешевым или даже бесплатным) способом или продуктом.

Андрей Арсентьев

Вернуться на главную страницу обзора