Персональные данные нужны всем, однако есть целая отрасль, которая активно работает с наиболее важными персональными данными, — медицина. Дело в том, что в соответствии с классификацией ФСТЭК сведения о здоровье человека относятся к специальным — для их защиты требуется высший класс защищенности.
Медицинские учреждения, как правило, обрабатывают значительные объемы персональных данных, что усугубляет требования по защите и использованию криптографических алгоритмов и шифрованных линий связи. Вот как комментирует особенности систем обработки персональных данных в лечебных учреждениях Игорь Егоренко, директор департамента региональных продаж "РАМЭК-ВС": "Высокий класс защищенности — в медицинских учреждениях обрабатываются сведения о состоянии здоровья большого числа субъектов; территориальная распределенность — большинство ЛПУ состоит из нескольких корпусов, часть из которых может быть значительно удалена от других». В результате расходы на защиту персональных данных в подобном учреждении могут оказаться для него просто неподъемными.
Евгений Модин, руководитель направления консалтинга компании Aladdin, замечает: "С принятием стандарта ГОСТ Р 52636-2006 'Электронная история болезни', к сожалению, не удалось решить вопросы взаимодействия между различными медицинскими учреждениями, не удалось полностью отказаться от бумажных историй болезни и в полной мере использовать современные возможности информационных технологий. Очевидно, дальнейшее развитие данного направления тесно связано с развитием электронного документооборота, а для этого необходимы изменения в законодательных актах".
Скорее всего, слишком прямолинейное выполнение требований федерального закона «О персональных данных» только затянет отказ отечественной медицины от бумажных медицинских карт.
Минздравсоцразвития инициировало процесс согласования требований ФЗ-152 с одним из регуляторов — ФСТЭК, чтобы, с одной стороны, выполнить требования закона, а с другой — не израсходовать слишком много бюджетных денег. В декабре 2009 года опубликованы "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости", задача которых - сократить затраты на защиту медицинских персональных данных. В документе предпринята попытка объяснить, почему медучреждениям не нужно выполнять требования защиты по первому классу защищенности для типовых информационных систем: "В медицинских учреждениях все ИСПДн будут отнесены к специальным, поскольку обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных, а также потому, что, как правило, помимо конфиденциальности, требуется обеспечить целостность ПДн. Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных".
В списке необходимых документов, которые должны подготовить медицинские учреждения, фигурирует "модель угроз". Это означает, что медицинским учреждениям не обязательно ставить системы шифрования или системы утечки по техническим каналам, если эти угрозы не указаны в модели.
В то же время при составлении частной модели угроз рекомендуется "исключение из модели маловероятных угроз, что существенно снизит затраты по реализации механизмов защиты на дальнейших этапах работ". К примеру, атака с использованием перехвата побочного излучения для медицинских учреждений является маловероятной, поэтому она может быть исключена — это действительно сильно снизит затраты в дальнейшем. Исключение маловероятных угроз позволяет не внедрять самые сложные системы защиты и сэкономить значительные ресурсы.
Кроме того, как заметил Игорь Фохт, аналитик центра медицинских разработок Института программных систем им. А. К. Айламазяна, «в МИС не предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных: юридически значимым документом является 'бумажная' история болезни, по которой принимаются решения».
Впрочем, даже этого может не хватить для снижения необходимого уровня защиты до приемлемого в медицинских учреждениях минимума. Поэтому в методологии предлагается еще несколько способов, в том числе, обезличивание, абстрагирование, сегментация и разделение базы персональных данных. Эти методы способны существенного сократить расходы.
Игорь Игнатущенко, директор по клиентским сервисам «Пост Модерн Текнолоджи", отмечает: "Фактически в терминологии закона 'О персональных данных' медицинская информационная система является лишь частью информационной системы персональных данных. Сами же ИСПДн, как правило, являются целиком аппаратно-программными комплексами, в которых обрабатываются персональные данные". Такие отдельно стоящие сертифицированные продукты могут быть хорошо защищены в полном соответствии с требованиями регламентирующих документов, однако они могут находиться за пределами МИС и заключать в себе все персональные данные. Поскольку в такой МИС персональные данные не хранятся и не обрабатываются, значит, и защищать их не обязательно.
Но даже при разделении персональных данных по различным информационным системам и иными методами нужно соблюдать все требования для данного класса. В частности, даже для низшего третьего класса систем рекомендуется использовать сертифицированные во ФСТЭК продукты как минимум на наличие недекларированных возможностей. Кроме того, требуется создать специальное подразделение, ответственное за обработку персональных данных и назначить ответственных сотрудников в каждом подразделении, где обрабатываются персональные данные. В методической рекомендации Минздравсоцразвития есть перечень документов, которые необходимо подготовить, чтобы доказать проверяющему органу, что на предприятии проводится работа по защите персональных данных.
ФЗ-152 вступает в полную силу 1 января 2011 года, и с этого времени начинаются плановые проверки операторов персональных данных. Проверяющие вначале запрашивают набор документов и, только ознакомившись с ними, могут провести проверку соответствия. Если же документы подготовлены правильно, то, скорее всего, проверяющие не будут проверять соответствие документов реальному положению дел. Впрочем, ситуация может
быть и иной.
В любом случае за оставшееся до срока время медицинские учреждения вполне могут подготовить указанные в списке документы. В методике явно указано, что все документы могут быть подготовлены сотрудниками самих медицинских учреждений, без привлечения дополнительных консультантов, даже приведены шаблоны документов, которые просто достаточно правильно заполнить. Организационные меры практически не требует расходов, кроме зарплаты сотрудников.
Игнатущенко уверен: "Разобраться в требованиях закона на самом деле не так сложно, а 'побочных' дивидендов это может принести достаточно: от оптимизации собственных бизнес-процессов и ИТ-инфраструктуры до имиджевых плюсов. Если подойти к делу ответственно, то вполне реально привести инфраструктуру к требованиям закона за два-три месяца". Его уверенность разделяет и Модин: "Выполнения рекомендаций Минздравсоцразвития будет достаточно для того, чтобы на 1 января соответствовать основным требованиям закона. Возможно, останутся специфические задачи, которые понадобится решить в дальнейшем, но основные требования будут выполнены".
Впрочем, по-прежнему остаются опасения, что медицинские учреждения не успеют выполнить все требования. Егоренко считает: "На данный момент можно с уверенностью заявить — незначительное число медицинских лечебных учреждений успеют выполнить у себя весь комплекс организационно-технических мероприятий, требуемых нормативными и руководящими документами по защите персональных данных. К таким учреждениям могут быть отнесены те, которые уже находятся в какой-либо стадии реализации системы защиты персональных данных, либо относительно небольшие конторы, сроки создания систем защиты для которых могут составлять один-два месяца".
.jpg)