28.11.2013

Врачебная тайна эпохи интернета

"ИКС" (ИнформКурьер-Связь), № 11, ноябрь, 2013<br>
Экспертное мнение Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."

Проблемы с информационной безопасностью считаются одним из факторов, сдерживающих информатизацию здравоохранения. Это вполне понятно: никому не хочется, чтобы информация о состоянии его здоровья попала к посторонним. В конце концов, слова о врачебной тайне фигурируют в клятве Гиппократа, известной ещё с III века до н.э. И эту тайну надо защищать, в том числе и с помощью современных технологий.

Мечты об инфобезопасности в здравоохранении

Михаил ЕМЕЛЬЯННИКОВ, управляющий партнёр, консалтинговое агентство "Емельянников, Попова и партнёры"

Нормативной базы, регламентирующей порядок защиты и обеспечения безопасности сведений, составляющих врачебную и медицинскую тайну, в России вообще не существует. Сам факт наличия в законодательстве этих двух видов тайн говорит о непроработанности проблемы. Это одно и то же или нет? Если нет, то чем эти сведения отличаются друг от друга? Стремление отнести абсолютно все сведения о состоянии здоровья к персональным данным и защищать их именно по требованиям, установленным для персональных данных, мне представляется не совсем правомерным. А отдельных документов, аналогичных, например, американскому HIPAA (Health Insurance Portability and Accountability Act), принятому ещё в 1996 г., в России нет.

Минздрав в 2009 г. разработал "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости", однако они устарели и не соответствуют текущему состоянию нормативного регулирования. Сейчас ведётся работа по их актуализации, но почему- то исключительно силами общественников-добровольцев. Для этого в Экспертном совете Минздрава создана рабочая группа по информационной безопасности. Но опять-таки, при этом предполагается, что вся информация о состоянии здоровья относится к персональным данным, хотя законодательство выделяет эти сведения в отдельную группу - персональные данные специальных категорий, обработка которых обставляется дополнительными условиями и требует принятия повышенных мер безопасности.

К примеру, на обработку таких сведений лицами, которые не являются медицинскими работниками и не обязаны хранить врачебную тайну, требуется согласие пациента в письменной форме. Но ни одна МИС не сможет функционировать без администрирования, а администраторы (системные, баз данных, приложений и тд.) медицинскими работниками не являются, хотя доступ к информации фактически имеют. Вот и ломают голову главврачи, что в этих условиях делать. Где-то от пациента перед приёмом у врача требуют подписать согласие на обработку персональных данных, которое он резонно подписывать не хочет, а отказать ему в медицинском обслуживании нельзя. Где-то пишут о запрете доступа администраторов к информации в МИС и обеспечении этого запрета "организационными методами".

Для МИС надо обеспечить минимум третий уровень защищённости персональных данных, а это, в соответствии с приказом ФСТЭК, требует выполнения порядка 40 базовых мер безопасности на основании актуализированной частной модели угроз. О том, кто конкретно и на какие средства должен это делать в районной или городской больнице, частной стоматологической клинике или диспансере, наши законодатели и регуляторы скромно умалчивают. Учреждениям здравоохранения средства на информатизацию при общем немалом бюджете этой программы выделяются крайне скудно, и последние проблемы, которые в этих условиях будут решаться, - это проблемы безопасности.

В идеале МИС должны сразу разрабатываться с учётом требований российского законодательства и регуляторов к обеспечению информационной безопасности. Например, архитектура МИС, позволяющая обезличивать сведения о состоянии здоровья, могла бы существенно снизить затраты на защиту. Заменить в системе ФИО пациента каким-либо идентификатором, например, номером полиса обязательного медицинского страхования, технически совсем не сложно. Пришёл пациент на приём, предъявил номер полиса - и вся информация о нём доступна врачу, однако использовать её во вред пациенту нельзя, так как связь между номером полиса и конкретным субъектом устанавливается совсем в другой системе. В такие системы могли бы сразу встраиваться подсистемы, обеспечивающие реализацию базовых мер безопасности: антивирусной защиты, управления идентификацией и доступом, контроля целостности и тд. При нормальном взаимодействии разработчиков МИС с российскими вендорами средств ИБ такие решения не сильно бы увеличили стоимость систем.

Упростить задачу могла бы локализация МИС и отсутствие у неё подключений к интернету, но взятый Минздравом курс на облачные технологии эту возможность закрывает. Облегчила бы жизнь медикам и разработка МИС с помощью методов защищённого программирования, что повысило бы защищённость таких систем от взлома с использованием недекларированных возможностей. Но пока всё это только мечты.

Защита от дилетантов

Алексей САБАНОВ, заместитель генерального директора, "Аладдин Р.Д."

Положение дел с нормативно-правовой базой, касающейся сбора, обработки и передачи медицинских данных пациентов, обстоит у нас в стране крайне плохо. Только вдумайтесь: последние отраслевые положения нормативно-правовой базы, опубликованные на сайте Минздрава, датированы 2009 г.

С защитой медицинской информации пациентов всё обстоит достаточно просто. Требования 152-ФЗ перекрывают требования статьи 23 Конституции РФ о защите личной тайны. Следовательно, для защиты медицинской информации необходимо всего-навсего выполнить требования 152-ФЗ, которые разъясняются во множестве подзаконных актов. Однако некоторые законы в сфере ИБ у нас принимаются в таком виде, что требуют многочисленных разъяснений, и не всегда толкования положений закона от уполномоченных лиц и организаций совпадают. С защитой личной тайны и персональных данных врачей все гораздо запутаннее. С одной стороны, информацию, отнесённую к этим видам тайн, надо защищать, с другой стороны, некоторые данные обязательны к раскрытию (публикации). До сих пор многие коллизии здесь не разрешены.

Обеспечение конфиденциальности любых данных, в том числе персональных и медицинских, неизбежно влечёт за собой их зашифровывание. Если говорить о российских условиях, то все программные реализации (алгоритмы) шифрования должны соответствовать ГОСТ 28147-89. Не секрет, что требования к разработчикам медицинских систем в плане встраивания шифросредств завышены. В этом одна из причин того, что разработчики МИС избегают такой дополнительной работы и перекладывают задачу защиты данных на встроенные в операционные системы или СУБД средства, которые, конечно же, не удовлетворяют российским требованиям. В итоге в подавляющем числе ЛПУ наши с вами данные в МИС и на бумаге на сегодняшний день, как правило, не защищены или защищены только от дилетантов. Что делать? - думаю, это предмет отдельного обсуждения.

Требований инфобезопасности слишком много

Андрей ПРОЗОРОВ, ведущий эксперт по информационной безопасности, InfoWatch

С точки зрения информационной безопасности есть несколько проблем, которые сдерживают развитие информатизации здравоохранения в РФ. Прежде всего это большое число требований, связанных с защитой персональных данных (152-ФЗ, ПП1119, приказ ФСТЭК №21 и другие), которые необходимо учитывать и выполнять. С учётом того, что в ИС здравоохранения обрабатываются персональные данные о здоровье (специальная категория ПДн), количество и сложность требований, а значит, и стоимость их выполнения, возрастают. Ситуацию усугубляют многочисленные требования, связанные с использованием государственных и муниципальных ИС (приказ ФСТЭК №17), которые необходимо будет выполнять при подключении к ЕГИСЗ, что тоже не просто и довольно затратно.

Но основная сложность в том, что все эти требования периодически меняются. Так, в 2011 г. был существенно изменен 152-ФЗ, в конце 2012 г. вышло постановление Правительства №1119, в начале 2013 г. - приказ ФСТЭК России №21, а сейчас регуляторы готовят рекомендации по выполнению его требований. Подход к защите персональных данных за последние полгода серьёзно изменился, и тем операторам, которые привели свои информационные системы в соответствие ранним требованиям, сейчас придётся проделать дополнительную работу.

Большинство данных пациентов, обрабатываемых в МИС, подпадают под "специальную категорию ПДн" (сведения о состоянии здоровья, лабораторных исследованиях и пр.), а также в ряде случаев и под категорию "биометрические персональные данные", что повышает требования к системе защиты. Медицинские учреждения должны также обеспечивать безопасную трансграничную передачу персональных данных пациентов (например, при телемедицине). Помимо стандартных средств обработки данных (рабочие станции и серверы) в МИС может присутствовать специализированное медицинское оборудование, для которого не подходят стандартные программные и аппаратные средства защиты информации, и тогда должны применяться встроенные средства защиты и/или организационные меры. Кроме того, довольно часто в медицинских учреждениях встречается "самописное" и/или разработанное по договору ПО, при создании которого практически не учитывались требования ИБ. Проверить и внести необходимые изменения в исходный код и настройки таких систем обычно бывает непросто.