Ставший за последние годы легендарным Федеральный закон «О персональных данных» от 27 июля 2006 г. (№152-ФЗ), определяет персональные данные (ПДн) как ««любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)». К персональным данным относятся фамилия, имя, отчество субъекта ПДн, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение и т.д.
С точки зрения информационной безопасности в медицине
сведения о состоянии здоровья относятся к специальным категориям
персональных данных, а действующее законодательство обязывает
лечебно-профилактические учреждения обеспечить защиту этой информации.
ФЗ-152 как основа
Федеральный закон №152-ФЗ «О защите персональных
данных» является основным регулирующим документом в обеспечении защиты
информации в медицине. Согласно ему, лечебные учреждения являются операторами
персональных данных, следовательно, обеспечение безопасности этих данных – их
зона ответственности. Существуют также ряд нормативно-методических документов,
инициированных, например, ФСБ и ФСТЭК России. Согласно предписанным в них способам и порядку обеспечивается
безопасность персональных данных, в том числе и в здравоохранении. Благо,
сейчас на рынке информационных технологий представлено множество средств
защиты, отмечает Владимир Соловьев,
директор бизнес-центра «БАРС-Медицина» компании «БАРС Груп».
«Что касается конкретных решений, то рынок тут
довольно узкий, - не соглашается генеральный директор компании «Сван» Сергей Метелев. - Есть несколько
достаточно эффективных разработок и
несколько схем построения защиты, которые диктуют выбор конкретных
технических решений».
Что будет с подзаконными
актами к 152-ФЗ, в каком виде и когда они появятся - можно только гадать.
Утвержденных документов по многим аспектам не хватает, сетуют участники рынка
ИТ для медицины. Понятно, что все регионы при реализации программы защиты
персональных данных в 2011-2012 гг. исходили из тех документов, что действовали
на тот момент, но не исключено, что в будущем придется что-то менять.
Проблема
безопасности персональных данных пока решается в виде формального соответствия
152-ФЗ и методических рекомендаций Минздрава, считает Константин Суслов, генеральный директор группы компаний ХОСТ. По
его словам, для реального решения задачи
безопасности надо, чтобы сами пациенты задумались о том, кому они готовы
предоставлять свои данные и как эти разрешения будут обеспечиваться.
При этом в последнее
время произошли определенные подвижки в сфере методического обеспечения защиты
персональных данных. Важным шагом стал выпуск Министерством здравоохранения «Типовой
модели угроз МИС типового ЛПУ» и «Методических рекомендаций» по составлению частной
модели угроз безопасности персональных данных при их обработке в информационных
систем персональных данных (ИСПДн) учреждений и организаций здравоохранения,
социальной сферы, труда и занятости и по организации защиты информации при
обработке персональных данных в упомянутых учреждениях. В целом же вопросы
защиты персональных данных в медицинских учреждениях решаются в общих рамках
текущих процессов развития соответствующего сегмента российского
законодательства.
У каждого свой путь
В России, как и в других странах,
главная особенность защиты личной информации в медицине – это необходимость
обработки колоссального объема данных и исключительная важность персональных
сведений. При этом в нашей стране есть ярко выраженная специфика.
Во-первых,
тема защиты информации в целом и персональных данных в частности сейчас
становится актуальной в связи с началом массового внедрения информационных
технологий в деятельность ЛПУ, отмечает Игорь
Гридин, генеральный директор
компании «Аксимед». Наша страна приступила к информатизации здравоохранения
существенно позже по сравнению с Европой и США, которые также проходили
подобную фазу «осознания проблемы» и необходимости ее решения, а для России она
относительно нова и потому особенно болезненна.
Во-вторых, очевидно, что
мероприятия по обеспечению информационной безопасности требуют существенного
финансирования, а сейчас главные ассигнования идут на формирование
ИТ-инфраструктуры (федеральных сервисов и региональных сегментов Единой
государственной информационной системы в сфере здравоохранения), а не на ее
защиту.
Проблему обеспечения
безопасности персональных данных в здравоохранении каждый субъект, орган и
лечебное учреждение решают самостоятельно. «В некоторых регионах эту задачу
берут на себя региональные органы и решают эту проблему централизованно для
всех больниц и поликлиник. Однако в рамках Министерства здравоохранения этот
вопрос централизованно не решается, - обращает внимание Инна Ашенбреннер, генеральный директор компании «Корус Консалтинг
ИТ».
Инструменты, вопросы, средства
В медицинских учреждениях сегодня существуют
четыре основных инструмента обработки персональных данных: обычные файлы в
стандартных офисных пакетах; специализированные приложения с локальным/сетевым
хранилищем; комплексные медицинские информационные системы (МИС) с хранилищем в
пределах контролируемой зоны медицинской организации; «облачные» МИС.
В медицинских учреждениях сегодня существуют
четыре основных инструмента обработки персональных данных: обычные файлы в
стандартных офисных пакетах; специализированные приложения с локальным/сетевым
хранилищем; комплексные медицинские информационные системы (МИС) с хранилищем в
пределах контролируемой зоны медицинской организации; «облачные» МИС.
Руководитель направления развития
сервисов ЭП компании «Аладдин Р.Д.» Максим
Чирков в выступлении на форуме Medsoft-2013 обозначил базовые вопросы
защиты информации при обработке ПДн в МИС: управление доступом (аутентификация
пользователей, регистрация и учет, централизованное управление); защита от
несанкционированного доступа (разграничение доступа, хранение в зашифрованном
виде); обеспечение целостности и авторства (ЭП(ЭЦП)). Вариантами решения ИБ могут служить внешние
системы защиты информации (СЗИ) и средства криптографической защиты информации
(СКЗИ), «прикручиваемые» к медицинским информационным системам, либо
специальные МИС с интегрированными механизмами безопасности.
Но прежде чем выбирать решение
для защиты персональных данных, лечебно-профилактическому учреждению необходимо
предпринять комплекс мер. Игорь Гридин отмечает, что в первую очередь
необходимо осознать, что защита информационных систем медицинского учреждения –
это не разовая акция, а непрерывный, сложный и дорогостоящий процесс. Далее
необходимо руководствоваться комплексным подходом, результатом реализации
которого должна стать аттестация ИСПДн ЛПУ по соответствующим классам на основе
многочисленных технических и организационных мероприятий по защите информации.
«Иными словами, задача состоит не
в приобретении какого-то одного сертифицированного средства или системы, а в
переводе информационных систем на качественно новый уровень защищенности», -
подчеркивает Игорь Гридин. По его словам, ЛПУ также нужно хотя бы определить и
классифицировать свои ИСПДн. «Пока же ответом на элементарный вопрос о
количестве и номенклатуре этих систем служит изумленное молчание», - сетует
специалист.
На сегодня уровень защиты персональных
данных как в государственных, так и в частных клиниках большинство экспертов
оценивают как крайне низкий и недостаточный. И проблема заключается не только в
нехватке ресурсов у одних и экономии на якобы непрофильных направлениях у
других, но и в совершенно несбыточных надеждах на то, что проблемы защиты
персональных данных на уровне конкретных ЛПУ будут решены либо волевыми
указаниями «сверху», либо каким-то одним «волшебным» (и при этом дешевым или
даже бесплатным) способом или продуктом.