Вопросы защиты персональных данных стали актуальными для многих компаний в связи с вступлением в силу требований закона О защите персональных данных (№152-ФЗ от 27.07.2006). О том, как обстоят дела с внедрением систем защиты персональных данных в медицинских учреждениях, какие особенности построения таких систем и как минимизировать затраты на защиту информации рассказывает генеральный директор компании АСТ Андрей Хмелинин.
Как бы Вы в целом оценили ситуацию в области защиты персональных данных в учреждениях здравоохранения?
Согласно Закону О персональных данных до 1 января 2011 года информационные системы, которые работают с персональными данными, должны быть защищены в соответствии с требованиями законодательства. Защите подлежит любая зафиксированная информация, неправомерное обращение с которой может нанести ущерб ее владельцу — физическому лицу. Организации системы здравоохранения, медицинские учреждения, фонды обязательного медицинского страхования, страховые медицинские компании являются операторами персональных данных. Их информационные системы обрабатывают не только демографическую, финансовую, но и медицинскую информацию. Также как и операторы персональных данных из других секторов, например, телекоммуникационного, финансового, они начали адаптировать свои информационные системы персональных данных (ИСПДн) к требованиям госрегуляторов, внедряя соответствующие решения.
При исполнении требований законодательства выполняется ряд организационных шагов, т.е. разрабатывается комплекс документов, которые регламентируют защиту данных, а также на основе комплексного аудита информационных систем внедряются средства защиты, которые и предотвращают утечку важных персональных сведений. Соответствие мер по защите персональных данных тем, которые определены законодательством, подтверждается сертификацией в ФСТЭК.
Отличаются ли темпы внедрения систем защиты персональных данных в медицине от других отраслей?
По сравнению с другими отраслями сейчас темпы внедрения систем защиты персональных данных в медицинских учреждениях невысокие. Основная причина такой ситуации недостаточно высокий уровень информатизации в здравоохранении в целом. Исключение составляют коммерческие и ведомственные клиники. Но ситуация в отрасли постепенно меняется благодаря реализации ряда государственных программ по информатизации системы здравоохранения, что влияет на появление медицинских информационных систем, в том числе и тех, которые требуют защиты персональных данных. А это, прежде всего, электронные карты и системы, обеспечивающие решение задач обязательного и добровольного медицинского страхования. Именно они работают с демографической, медицинской и финансовой информацией, которая требует защиты.
Тормозом для внедрения систем защиты персональных данных являются также и существующие противоречия между различными документами, регулирующими эту сферу. Эти вопросы активно обсуждаются представителями отрасли.
Сейчас в среде медицинских учреждений наблюдается ситуация, которая была характерна год назад для компаний финансового и телекоммуникационного секторов. Они занимают выжидательную позицию и не спешат внедрять системы защиты персональных данных в надежде на перенесение сроков действия требований закона. По моим оценкам, это вряд ли может произойти и все-таки с января 2011 года несоблюдение требований по защите персональных данных может привести к определенным последствиям. Напомню, что нарушение требований по защите персональных данных предусматривает гражданскую, административную, а в некоторых случаях и уголовную ответственность. К медицинским учреждениям могут быть предъявлены судебные иски со стороны их сотрудников, пациентов и посетителей; осуществлено принудительное приостановление или прекращение обработки персональных данных, что соответственно блокирует всю текущую деятельность учреждения, а также возможно и приостановление действия или аннулирование самой лицензии на основной вид деятельности.
Какие ещё нормативные акты регламентируют требования к процессам обработки персональных данных в медицине?
Существуют ряд федеральных законов, указов и постановлений, которые регулируют защиту персональных данных на федеральном уровне.. Например, это федеральный закон Об информации, информационных технологиях и защите информации № 149-ФЗ от 27.07.2006, указ Президента РФ Об утверждении перечня сведений конфиденциального характера № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111), в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну, совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 Об утверждении Порядка проведения классификации информационных систем персональных данных и ряд других.
Что касается отраслевых рекомендаций, то в настоящее время разработан ряд отраслевых документов Минздравсоцразвития, направленных в частности и на защиту персональных данных в сфере здравоохранения. Это Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости 2009г., которые определяют основные обязанности учреждений здравоохранения, работающие с ИСПДн, основные мероприятия по приведение систем защиты к требованиям закона, а также приложение этому документу Модель угроз типовой медицинской системы типового лечебно профилактического учреждения. Модель предусматривает описание характеристик информационной системы, моделей угроз, нарушителей, объектов и целей, каналов и способов реализации угроз. Документы были согласованы ФСТЭК в 2009 году.
Частным моделям посвящены Методические рекомендации по составлению Частной модели угроз безопасности персональных данных в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости. Они описывают методологию формирования модели, характеризуют ИСПДн, ее пользователей, типы, защищенность, вероятности реализации угроз, дают оценку их опасности и актуальности. Методические рекомендации содержат систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных
Однако данные отраслевые рекомендации и разработанные шаблоны не учитывают изменения в законодательстве, которые произошли в феврале этого года, в частности были отменены два из четырех документов ФСТЭК и выпущено новоеПоложение о методах и способах защиты информации в информационных системах персональных данных (утверждено Приказом ФСТЭК России от 5 февраля 2010 г. № 58).
В связи с выходом этого Положения, подходы к ЗПД могут быть существенно скорректированы в сторону снижения требований, предъявляемых к ИСПДн, и я думаю, что противоречия будут сняты, также как и это было сделано в других отраслях.
Какие бы Вы определили подходы к защите персональных данных в медицинских учреждениях? Отличается ли процесс построения системы защиты персональных данных в медицинских учреждениях от проектов в компаниях других отраслей?
Подходы к построению системы защиты персональных данных везде стандартны и практически всегда включает такие стадии как обследование, классификация ИСПДн, формирование требований к системе защиты ИСПДн, проектирование, ввод в действие (внедрение) средств защиты, аттестация (на данный момент добровольная).
Отраслевые особенности влияют на характер проектов и на конфигурацию системы защиты персональных данных, которая получается в итоге.
Недостаточный уровень автоматизации медицинских учреждений отражается на характере проектов по защите персональных данных.
Первая особенность проектов по защите персональных данных в медицинских учреждениях заключается в необходимость более детального анализа бизнес-процессов учреждения на предмет выявления наличия или отсутствия признаков обработки персональных данных.
Информация во многих учреждениях может храниться на бумажных носителях; отдельные врачи могут вести учет пациентов в Microsoft Word, при передаче данных по страховым программам до сих пор используется Excel, в клиниках могут использоваться самописные программы. В этих случаях, при создании СЗПДн необходимо уделить внимание, прежде всего, выявлению мест обработки/хранения персональных данных.
Более половины форм учетно-отчетных документов типового ЛПУ, а в здравоохранении их более 300, содержат персональные данные. Стоит более детально проанализировать функциональную структуру ЛПУ и схемы взаимодействия её подразделений, а также взаимодействие с внешними организациями.
Большинство медицинских организаций передает данные во внешние организации, в том числе и в ФОМС, а многие существующие информационные системы персональных данных интегрированы с другими ИС ЛПУ кадровой, бухгалтерскими системами. При реализации проектов по защите персональных данных все процессы взаимодействия должны быть регламентированы, должны применяться средства обеспечения безопасности при передаче данных.
Вторая отраслевая особенность защиты персональных данных в медицинских учреждениях заключается в том, что данные, обрабатываемые в ИСПДн, относятся к первой (специальной) категории, и к самим ИСПДн, соответственно, регуляторами предъявляются самые жесткие требования. Одним из таких требований к таким системам может быть сертификация на отсутствие недекларированных возможностей, что сильно сужает круг возможных внедряемых средств.
Также к специальным информационным системам, которые обрабатывают медицинские данные, предъявляют особое требование по разработке Модели угроз. При правильном подходе разработка модели угроз может позволить произвести корректировку требований к системе защиты ПД с тем, чтобы оставить только действительно актуальные для лечебно-профилактического учреждения угрозы.
Как можно минимизировать затраты на построение системы защиты персональных данных?
Минимизация затрат на построение системы защиты персональных данных в медицинских учреждениях достигается за счет дифференциации требований, обезличивания информации, а также и использования встроенных в прикладные информационные системы медицинских учреждений средств.
Дифференциация требований означает управление доступом к данным. Например, далеко не всем пользователям в процессе выполнения должностных обязанностей нужны все данные по пациентам: регистрационные, финансовые, медицинские. В проектах дифференцируются требования к защите пользовательских автоматизированных рабочих мест в зависимости от классов и объемов необходимой пользователям информации.
Вторая возможность это обезличивание информации путем введения определенных кодов-идентификаторов. Например, при передаче данных по каналам связи (в распределенных системах, или в другие организации) могут передаваться не все данные, а только часть. При этом привязка к конкретному лицу может производиться не по ФИО, а по некоему идентификатору. В таком случае перехват данных в канале связи не позволит идентифицировать по этим данным конкретное лицо - что позволит снять достаточно серьезные (затратные) требования по криптографической защите.
И третья возможность это использование встроенных в прикладные информационные системы средств, обеспечивающих защиту персональных данных. Это позволяет снизить затраты на приобретение дополнительных средств защиты. Надо учитывать, что такие средства в большинстве медицинских информационных систем разработчиками реализованы, но они чаще всего не удовлетворяют требованиям ФСТЭК, поскольку не проходили процедуру сертификации. Согласно методическим документам ФСТЭК России и ФСБ России для защиты персональных данных должны использоваться только сертифицированные средства. Для реализации этого подхода необходимо обращаться к поставщикам и разработчикам ИС для приобретения сертифицированных версий программных продуктов.
Недавно компания АСТ сертифицировала сертификации СУБД Cache и интеграционную платформу Ensemble корпорации InterSystems - ведущего ИТ-вендора в области здравоохранения - на соответствие требованиям ФСТЭК России по защите информации.
Оба продукта корпорации Intersystems сертифицированы по требованиям безопасности информации руководящего документа Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (Гостехкомиссия России, 1992 г.) по 4 уровню контроля и требованиям руководящего документа Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (Гостехкомиссия России, 1992 г.) по 5 классу защищённости, для применения в АС класса до 1Г.
Отмечу, что платформа Cach является объектно-ориентированной СУБД № 1 для медицинских приложений, Ensemble на протяжении последних лет является интеграционной платформой №1 для медицины в мире. В России наибольшее распространение получила Cach. На ее основе осуществляется полная автоматизация ЛПУ, позволяющая обеспечить ведение электронного медицинского документооборота и электронной истории болезни, либо автоматизацию процессов в системе медицинского страхования. Средства и механизмы защиты, встроенные в эту СУБД, применяются в большинстве приложений. Для разработчиков прикладного ПО предоставляется инструментарий, который позволяет использовать функции безопасности. Это идентификация и аутентификация пользователей, аудит их действий, контроль целостности. Другим словами управление доступом пользователей к персональным данным, хранимым в Сache, регистрация и учет их действий, производятся средствами СУБД. Проведенная нами сертификация механизмов защиты означает, что приложения, использующие данные механизмы, уже в существенной степени соответствуют законодательству. В частности, выполняются требования ФСТЭК к подсистемам: управления доступом; регистрации и учета; контроля целостности.
Мы всегда рады проконсультировать наших партнеров как по применению продуктов корпорации Intersystems в системах защиты персональных данных, так и выполнить полный комплекс работ по построению комплексных систем по информационной безопасности.