(Подробно о концепции можно прочитать в интервью Вадима Дубинина, директора департамента информатизации Минздравсоцразвития, которое он дал Computerworld Россия/MedIT.)  В то же время подобное решение должно соответствовать требованиям федерального закона № 152 "О персональных данных". Проблемы, которые могут возникнуть у медицинских учреждений при реализации концепции, обсуждались 26 апреля на семинаре "Практические аспекты защиты персональных данных в медицинских учреждениях", который был организован компанией "Информзащита".

Медицинские предприятия обрабатывают самые деликатные персональные данные — о здоровье. Кроме того, концепция предполагает построение распределенной информационной системы, а проект, реализованный в масштабах всей страны, должен содержать миллионы записей персональных данных. В результате в соответствии с требованиями ФЗ-152, облако Минздравсоцразвития должно защищаться по самым высоким требованиям безопасности — практически как государственная тайна. В то же время, если министерству удастся удовлетворить все требования этого закона, то это может устранить большую часть проблем медицинских учреждений, связанных с защитой персональных данных пациентов. Дело в том, что владельцем такой системы является государство, а пользователи — медучреждения — никак не могут повлиять на применяемые в этом облаке инструменты защиты. Это позволяет надеяться, что и отвечать перед регуляторами будет министерство.

Однако опыт проведения процедуры сертификации систем персональных данных, накопленный в компании "Информзащита", показывает, что в распределенных предприятиях не все так просто. Иван Милехин, начальник отдела консалтинга "Информзащиты", выделил два типа коммерческих объединений: холдинги и иерархические предприятия. В холдинге каждое предприятие независимо, и поэтому каждому из них в отдельности нужно проходить процедуру проверки на соответствие требованиям ФЗ-152. Кроме того, при получении разрешения на обработку данных у пользователей нужно также спрашивать о возможности передачи данных другим организациям холдинга. Впрочем, и у централизованного предприятия есть определенные проблемы. Документы достаточно готовить один раз, но нужно точно перечислять адреса филиалов и корректировать этот список в соответствии с текущей ситуацией. Кроме того, нарушение, обнаруженное в одном даже самом отдаленном филиале, потребует исправления по всей структуре.

Понятно одно: хотя информационная система облака и будет государственной, медучреждениям не избежать выполнения определенных требований по защите персональных данных. В частности, нужно исключить голосовой ввод данных, чтобы не требовалась защита от утечек по звуковым каналам. Также нужно правильно устанавливать мониторы, чтобы они не были повернуты к окну или к посетителю. Скорее всего, придется произвести замеры побочного электромагнитного излучения, чтобы доказать невозможность утечек по этим каналам. К сожалению, эта процедура платная, а денег на нее не выделено; видимо, предполагается направить их на построение самого облака и его сертификацию.

Впрочем, самая большая проблема — время. На построение облака в концепции предусмотрено 10 лет, в то время как ФЗ-152 вступит в силу уже 1 июля 2011 года. При этом министерство на вопросы медицинских учреждений о том, что делать с информационными системами, которые не соответствуют закону "О персональных данных", отвечает, что подобные системы 1 июля нужно будет выключить. В результате может случиться, что целой отрасли придется отказаться от современных технологий и перейти на бумажные носители.

Поделитесь материалом с коллегами и друзьями