Анализ последних изменений в требованиях к организации обработки персональных данных в здравоохранении
Приведен обзор и анализ новых нормативных документов, определяющих требования к организации обработки и защиты персональных данных в здравоохранении. Рассмотрены проблемы реализации указанных требований. Представлены рекомендации по совершенствованию нормативных документов в области обработки персональных данных.
Проблемы, связанные с организацией автоматизированной обработки и защиты персональных данных, по-прежнему остаются в центре внимания руководителей учреждений здравоохранения. При этом значительная их часть обусловлена смешанным характером обработки данных в медицинских учреждениях — использованием как бумажных, так и электронных документов, что существенно затрудняет контроль и учет доступа к конфиденциальной информации.
После внесения изменений летом 2011 года в Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (далее — Закон, последняя ред. от 23.07.2013) был издан целый ряд нормативных документов, определяющих новые требования к организации обработки и обеспечению безопасности персональных данных . Особенно «продуктивным» в этом смысле был 2013 год:
1. Федеральным законом от 02.12.2013 N 341-ФЗ внесены изменения в Кодекс РФ об административных правонарушениях (Федеральный закон от 30.12.2001 N 195-ФЗ): в несколько раз увеличены размеры штрафов за нарушение правил защиты информации (ст. 13.12).
2. В течение года трижды вносились изменения в ст. 13 «Врачебная тайна» закона «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 N 323-ФЗ (далее — Основы, последняя ред. от 28.12.2013). Был расширен перечень случаев, когда предоставление (передача) сведений, составляющих врачебную тайну, допускается без согласия пациента или его законного представителя (часть 4 ст. 13) . Кроме того, в состав данных персонифицированного учета о лицах, которые участвуют в оказании медицинских услуг, дополнительно были включены сведения об образовательных организациях и о документах об образовании и (или) о квалификации (ст. 93 Основ).
3. Внесены изменения в ст. 44 закона «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2010 N 326-ФЗ (далее — закон об ОМС, последняя ред. от 28.12.2013): уточнен состав данных персонифицированного учета — включены сведения о медицинских работниках, оказавших медицинские услуги (см. также ст. 94 Основ, в которой определен состав данных персонифицированного учета о лицах, которым оказываются медицинские услуги). В течение 2013 года трижды вносились изменения в Правила ОМС. В частности, расширены функции страховых медицинских организаций (СМО) и определен порядок информационного взаимодействия при осуществлении информационного сопровождения СМО застрахованных лиц при организации их плановой госпитализации. Федеральным фондом ОМС был издан приказ , в котором определены процедуры и состав сведений, которыми при этом должны обмениваться медицинские организации и СМО: персонифицированные данные о выданных направлениях на госпитализацию, фактах госпитализации, выписки, отказа от госпитализации, оперативная информация о наличии свободных коек и т. д. через единый информационный ресурс, организуемый территориальным фондом ОМС. Таким образом, страховые компании теперь получают оперативный доступ к информации о своих застрахованных лицах, об их госпитализации. Следует заметить, что пока не совсем понятна цель этого «информационного сопровождения», каковы полномочия и действия СМО при наличии «предпосылок» к невыполнению установленных сроков госпитализации. Как СМО реально могут воздействовать на медицинские организации в случаях проблем с госпитализацией? В очереди на госпитализацию стоят застрахованные в разных СМО. Как будут решаться возможные коллизии между ними — конкуренция за места в больнице между разными СМО? Формализованные правила управления дисциплиной очереди нигде не описаны. Управление потоками пациентов, в том числе организация госпитализации, — это функция и ответственность органов управления здравоохранением, а не страховых компаний. Для этого и создаются сегодня в составе Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) подсистемы управления потоками пациентов: ведения расписаний, записи на прием («электронная регистратура»), оперативного сбора сведений и информирования о движении коек и т. д. К сожалению, ни в указанном приказе , ни в последней редакции приказа ФОМС нет даже ссылок на ЕГИСЗ, взаимодействие или интеграцию с федеральными и региональными компонентами ЕГИСЗ, единую НСИ и т. д. В документах по ЕГИСЗ, опубликованных на egisz. rosminzdrav. ru, также практически ничего не написано про интеграцию с ИС фондов ОМС, за исключением только «проверки страховой принадлежности по единому регистру застрахованных ФОМС» при ведении интегрированной электронной медицинской карты пациента (ИЭМК). Заметим также, что указанные выше изменения в Законе об ОМС и в Правилах ОМС пока еще не учтены в действующей редакции Порядка ведения персонифицированного учета в сфере ОМС.
4. Во исполнение Закона «О донорстве крови и ее компонентов» от 20.07.2012 N 125-ФЗ (ред. от 25.11.2013) были разработаны и утверждены Правила ведения единой базы службы крови , оператором которой является Федеральное медико-биологическое агентство (ФМБА). В соответствии с этими Правилами противотуберкулезными, кожно-венерологическими, наркологическими, психоневрологическими диспансерами, центрами по профилактике и борьбе со СПИДом и инфекционными заболеваниями, центрами гигиены и эпидемиологии ежедневно в уполномоченные ФМБА организации передаются: а) сведения о лицах (персональные данные), у которых выявлены медицинские противопоказания для сдачи крови; б) информация о перенесенных донорами крови инфекционных заболеваниях, нахождении в контакте с инфекционными больными, пребывании на территориях, на которых существует угроза возникновения или распространения массовых инфекционных заболеваний или эпидемий, об употреблении наркотических средств, психотропных веществ, о работе с вредными или опасными условиями труда, а также о вакцинациях и хирургических вмешательствах, выполненных в течение одного года до дня сдачи крови. Согласие субъекта персональных данных для передачи указанных сведений также не требуется.
5. Внесены изменения в Закон «Об организации предоставления государственных и муниципальных услуг» от 27.07.2010 N 210-ФЗ (последняя ред. от 28.12.2013), в частности, в ст. 26, согласно которым с 1 января 2015 года (если более ранний срок не будет установлен Правительством РФ или законом субъекта РФ) гражданам, не подавшим заявления о выдаче или отказе от получения универсальной электронной карты (УЭК) до указанной даты, карта будет выдаваться уполномоченной организацией (УО) на основе персональных данных, предоставляемых органами власти субъекта РФ, территориальных органов федеральных органов исполнительной власти, территориальных органов государственных внебюджетных фондов (УЭК может использоваться в качестве электронного полиса ОМС). Перечисленные операторы обязаны предоставить УО доступ к информационным системам в части информации, необходимой для выпуска, выдачи и обслуживания УЭК, в порядке, установленном Правительством РФ. Согласие гражданина на передачу его персональных данных УО при этом не требуется. Однако гражданин вправе обратиться с заявлением об отказе от получения УЭК. Заметим, что Распоряжением Правительства РФ от 19.09.2013 N 1699-р были утверждены концепция введения в РФ электронного удостоверения личности гражданина на пластиковой карте с чипом и план ее реализации, согласно которому выдача электронных паспортов должна начаться с 1 января 2016 г. При этом говорится, что электронный паспорт будет основан не тех же стандартах, что и УЭК, и будет использоваться в том числе при оказании государственных и муниципальных услуг.
6. Законом от 28.12.2013 N 387-ФЗ были внесены изменения в Закон РФ «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации» от 25.06.1993 N 5242-1: теперь медицинские организации, санатории, дома отдыха, пансионаты, гостиницы, кемпинги, туристские базы должны представлять в органы Федеральной миграционной службы (ФМС) информацию о регистрации и снятии граждан РФ с регистрационного учета по месту пребывания в течение суток (части 6, 10 ст. 5 указанного закона). Согласие субъекта персональных данных для этого не требуется. Поскольку сведения о госпитализации и выписке составляют врачебную тайну (информация о факте обращения за медицинской помощью, часть 1 ст. 13 Основ), то в данном случае органы ФМС обрабатывают сведения о состоянии здоровья, то есть специальные категории персональных данных (ст. 10 Закона). Напомним, что процедуры учета граждан РФ, иностранных граждан, лиц без гражданства и лиц без документов удостоверения личности по месту пребывания в больнице, санатории и иных подобных организациях регламентируются сегодня несколькими нормативными актами. В ближайшее время, по всей видимости, следует ожидать внесения изменений в некоторые из этих документов в части уточнения сроков предоставления персональных данных — приведения их в соответствие с указанными в новой редакции Закона N 5242-1.
7. Законом от 07.05.2013 N 99-ФЗ были внесены изменения в Федеральный закон «О связи» от 07.07.2003 N 126-ФЗ (последняя ред. от 03.02.2014), в частности, в ст. 53, где сказано, что оператор связи вправе поручить обработку персональных данных абонента — гражданина другим лицам (аутсорсерам) без его согласия. Заметим, что речь идет об обработке персональных данных, не относящихся к общедоступным данным (телефонные и адресные справочники и т. д. — ст. 8 Закона и часть ст. 53 Закона N 126-ФЗ), о чем специально указано в части 1 ст. 53 Закона N 126-ФЗ. При этом, однако, остается открытым вопрос, обязан ли при этом оператор связи предупредить абонента о том, что его данные будут обрабатываться аутсорсером. Напомним, что в соответствии с частью 3 ст. 6 Закона N 152-ФЗ обработка персональных данных другим лицом по поручению оператора может осуществляться только с согласия субъекта, если это не предусмотрено федеральным законом. Таким образом, создан прецедент, когда отраслевым федеральным законом разрешено передавать обработку персональных данных на аутсорсинг без согласия субъекта. Сегодня необходимость получения такого согласия является одним из существенных факторов, сдерживающих внедрение и применение «облачных» технологий, в том числе в здравоохранении.
Таким образом, за последний год заметно расширился перечень случаев и изменилась общая модель передачи (предоставления) персональных данных внешним операторам, когда согласие субъекта на это не требуется(при этом оператор-получатель этой информации также не обязан уведомлять субъекта о ее получении от других операторов — п. 2 части 4 ст. 18 Закона). Напомним, что оператор обязан предоставить субъекту по его просьбе информацию о правовых основаниях, цели, способах и сроках обработки его переданных, а также о лицах (за исключением работников оператора) , которые имеют доступ к его персональным данным или которым они могут быть раскрыты на основании федерального закона или договора с оператором (статьи 14, 18, 20 Закона).
Несмотря на такое интенсивное изменение законов и издание нормативно-методических документов в этой области, остается еще много не совсем понятных вопросов. Прежде всего из-за нечетких и неоднозначных формулировок, недостаточно конкретного описания процедур и действий в определенных ситуациях и случаях, а также несогласованности определений и требований в разных нормативных актах. Рассмотрим некоторые из этих проблемных вопросов.
(1) В соответствии с частью 3 ст. 19 Закона уровни защищенности и требования к защите ПДн устанавливает Правительство РФ с учетом возможного вреда субъекту, объема и содержания обрабатываемых персональных данных и вида деятельности. В то же время в Требованиях к защите персональных данных в качестве классификационных признаков для определения уровня защищенности используются только:
— тип актуальной для ИС угрозы безопасности персональных данных (причем только один, см. далее); при этом установлены три типа угроз: а) в зависимости от рисков, связанных с наличием недокументированных возможностей (НДВ) в используемом системном (тип 1) и прикладном (тип 2) программном обеспечении (ПО), и б) если для ИС актуальны также и угрозы, не связанные с наличием НДВ в используемом ПО (тип 3);
— категории (содержание) персональных данных, обрабатываемых в ИС (специальные, биометрические, общедоступные, иные);
— категории субъектов, чьи персональные данные обрабатываются в ИС (работники (сотрудники) оператора, внешние субъекты, не являющиеся его работниками);
— количество внешних субъектов, чьи персональные данные обрабатываются в ИС — менее или более 100 тысяч (объем).
Таким образом, мера потенциального вреда субъекту и вид деятельности при определении уровня защищенности и требований к защите не учитываются. Если, конечно, возможный вред не соотносить с категорией персональных данных, а вид деятельности — с тем, чьи персональные данные обрабатывает оператор в ИС — только ли своих работников или еще и внешних субъектов — пациентов, клиентов и т. д., о чем, однако, в этом документе явно ничего не сказано.
Приведенные в вербальные определения типов актуальных угроз таковы, что угрозы разного типа не являются взаимно исключающими. На практике для конкретной ИС могут быть актуальными угрозы, относящиеся к разным, в том числе ко всем трем типам угроз. В то же время в критериях, на основе которых определяются требуемый уровень защищенности ИС, возможное сочетание актуальных угроз, относящихся к разным типам, не рассматривается. Например, для 1-го уровня защищенности рассматриваются только угрозы 1-го и 2-го типов, для 2-го — только 2-го и 3-го, а для 4-го — только 3-го типа. Иными словами, классификационная шкала построена исходя из того, что реализация угрозы с большим номером типа требует меньшей квалификации нарушителя и тем самым применения более простых способов ее нейтрализации: меры защиты, применяемые для нейтрализации угрозы типа N, обеспечивают нейтрализацию угрозы типа (N + 1).
Какие-либо рекомендации и (или) критерии для оценки актуальности угроз указанных типов в не приведены. При этом сказано, что оператор самостоятельно определяет типы актуальных угроз с учетом оценки возможного вреда субъекту в случае несанкционированного, в том числе случайного доступа к его персональным данным, в соответствии с нормативными документами, принятыми федеральными органами исполнительной власти и органами государственных внебюджетных фондов (см. часть 5 ст. 19 Закона). В настоящее время Минздравом России и ФОМС эти документы пока не изданы. Документы, принятые министерством в 2009 г., в том числе модель угроз типовой МИС, очевидно, уже не соответствуют новым требованиям.
Проверка отсутствия НДВ в ПО — это чрезвычайно ресурсоемкая, дорогостоящая и весьма продолжительная процедура, которую «обычный» оператор — организация здравоохранения самостоятельно выполнить в общем случае не сможет. Поэтому угрозы типа 1 можно считать неактуальными, если в ИС использовать только сертифицированные ФСТЭК версии системного ПО, нумерованные экземпляры (копии) которого распространяются, например, ФГУП «ППП» Управления делами Президента РФ (www. certifsecurity. ru). Что касается прикладного тиражируемого ПО (угрозы типа 2), к которому относятся не только МИС и её отдельные подсистемы, но и офисные программы, программные средства автоматизации делопроизводства, кадрового и бухгалтерского учета и т. д., то здесь также на рынке имеются программные продукты, прошедшие процедуру добровольной сертификации на отсутствие НДВ. Например, «Карельская медицинская информационная система, версия 3.3» (www. kmis. ru), «1С: Предприятие, версия 8.2z» (www.1C. ru) и др. Однако необходимо иметь в виду, что в случаях внесения изменений в программный код (это касается и прикладного, и системного ПО), необходимо снова проводить такую сертификацию. Многие разработчики системного ПО это и делают. Например, Microsoft проводит ресертификацию при выпуске каждого патча для своих программных продуктов (сертифицированные обновления). Очевидно, что автоматическое обновление ПО через Интернет в случаях использования ПО, сертифицированного на отсутствие НДВ, должно быть запрещено.
Таким образом, исходя из принципа «враждебного окружения» , следует считать, что:
— угрозы типа 3 актуальны всегда и для всех ИС;
— угрозы типов 1 и 2 актуальны, если используется ПО, не прошедшее процедуру сертификации на отсутствие НДВ.
Подчеркнем, что угрозы 1 и (или) 2 типа можно считать неактуальными только в том случае, если всё без исключения, соответственно системное и (или) прикладное ПО, прошло процедуру оценки соответствия на отсутствие НДВ в форме сертификации.
Что касается оценки возможного вреда субъекту персональных данных, то, во-первых, Законом оценка вреда не отнесена к обязательным мерам, которые обязан осуществлять оператор (см. часть 1 ст. 18.1 — «… могут, в частности, относиться: …») . И, во-вторых, если речь идет о нарушении безопасности персональных данных, составляющих врачебную тайну: о факте обращения за медицинской помощью и о состоянии здоровья пациента (статьи 13 и 22 Основ), то, с точки зрения этики и медицинской деонтологии, оператор не вправе самостоятельно оценивать возможные негативные последствия и ущерб субъекту в случае несанкционированного доступа к этим данным, нарушения их конфиденциальности, целостности и доступности (если речь идет о случаях оказания неотложной и экстренной помощи). Поэтому, по нашему мнению, определение необходимого уровня защищенности ИС, в которых обрабатываются персональные данные о состоянии здоровья, должно осуществляться только с учетом типов актуальных угроз, категорий и объема обрабатываемых персональных данных.
Таким образом, в ИС, в которых обрабатываются персональные данные о состоянии здоровья более 100 тысяч пациентов, должен быть обеспечен 1-й уровень, если менее — то 2-й уровень защищенности.
(2) Наиболее ожидаемыми в 2013 году были, конечно, документы ФСТЭК. И здесь важно, что значительная часть ИС в здравоохранении и ОМС, в которых обрабатываются персональные данные, является также и государственными (муниципальными) ИС (далее — ГИС) (ст. 91 Основ, статьи 13, 14 Закона N 149-ФЗ). Это ИС органов управления здравоохранением и фондов ОМС, в том числе МИАЦ и филиалов терфондов ОМС, а также ИС медицинских организаций если в них осуществляются сбор и обработка персональных данных пациентов или медицинских работников на уровне муниципального образования или субъекта РФ. Требования к защите информации в ГИС, в том числе установленные классы защищенности (К1 — самый высокий, К2, К3, К4). При этом для ГИС, в которых обрабатываются персональные данные, указанные требования применяются наряду с требованиями, утвержденными постановлением Правительства. Кроме того, в письме ФСТЭК указывается, что поскольку меры защиты персональных данных и порядок их выбора, аналогичны мерам и порядку их выбора для ГИС, то для обеспечения безопасности персональных данных, обрабатываемых в ГИС, достаточно руководствоваться только требованиями. Соотношение классов защищенности ГИС и уровней защищенности ИС ПДн, установленных. Следует подчеркнуть, что в государственных ИС:
— обязательно разрабатывается модель угроз безопасности информации для конкретной ИС, для чего применяются методические документы ФСТЭК;
— должны применяться средства защиты информации, сертифицированные ФСТЭК и ФСБ;
— оценка эффективности принимаемых мер по защите информации, в том числе персональных данных, проводится в рамках обязательной аттестации ГИС , ГОСТ РО 0043-003, ГОСТ РО 0043-004;
— ввод в действие ГИС осуществляется при наличии аттестата соответствия.
Кроме того, в ближайшее время ожидается издание ФСТЭК методического документа по порядку моделирования угроз безопасности информации в ГИС и некоторых других документов.
В 2014 году ожидается также утверждение ФСБ нормативно-методических документов по обеспечению безопасности персональных данных с использованием средств криптографической защиты информации.
(3) В 2013 году Приказом Роскомнадзора были утверждены «Требования и методы по обезличиванию персональных данных» и опубликованы Методические рекомендации по применению этого приказа. Кроме того, с 01.07.2013 введен в действие ГОСТ Р 55036. Указанные документы являются методической основой для разработки единых алгоритмов и процедур псевдонимизации (обезличивания) и обратной персонификации (деобезличивания) данных, которые необходимо применять, в частности, для формирования медицинских регистров, используемых при проведении научных исследований, клинических испытаний, ведении регистров доноров органов и тканей и т. д. , а также при ведении ИЭМК пациента, подобно тому, как это сделано в единой базе данных выписных эпикризов Spine в Англии. Особое значение технологии псевдонимизации имеют при ведении и использовании регистров, содержащих геномную (ДНК) информацию, о чем, в частности. Это очень актуальная и интересная тема, требующая специального, отдельного рассмотрения.
(4) Отдельной проблемой является выполнение требований по информационной безопасности (ИБ) и защите персональных данных при подключении к МИС компьютеризированных медицинских приборов (КМТ): томографов (КТ, МРТ), цифровых рентгеновских аппаратов, аппаратов УЗИ и т. д. К сожалению, сегодня не сформулированы требования к КМТ с точки зрения выполнения требований ИБ, в том числе в части защиты персональных данных, не определена классификация КМТ с точки зрения ИБ и т. д. Заметим, что общие требования к функциональной безопасности «медицинского» ПО изложены в ГОСТ Р ИСО 25238, 27809 и 22790). Основные трудности здесь связаны с тем, что:
А) в составе импортных КМТ, как правило, отсутствует набор средств защиты информации, соответствующих требованиям нормативных документов, принятым в РФ;
Б) во многих случаях используется встроенный компьютер с «прошитыми» прикладным ПО и «нестандартной» операционной системой, что не позволяет применять сертифицированные средства защиты информации, что требуется, в частности, для государственных ИС;
В) по условиям гарантийного технического обслуживания требуется постоянное подключение КМТ к сети «Интернет» с автоматическим обновлением ПО и т. п.
За последнее время заметно возросло количество инцидентов, связанных с нарушением работы КТ, МРТ, УЗИ, кардиостимуляторов, инсулиновых помп и другой медицинской техники, обусловленных воздействием вредоносного ПО и несанкционированным доступом к МИС. В связи с этим в настоящее время в США инициирована работа над новыми требованиями к информационной безопасности медицинской техники, правилами регистрации и сбора информации об указанных инцидентах. Представляется целесообразным более обстоятельно проработать этот вопрос со всеми заинтересованными участниками (производителями, поставщиками, государственными заказчиками, органами стандартизации, ФСТЭК и т. д.). Это особенно актуально в связи с реализацией ФЦП «Развитие фармацевтической и медицинской промышленности Российской Федерации на период до 2020 года и дальнейшую перспективу» , а также выполнением мероприятий по мониторингу безопасности медицинских изделий.
(5) Остаются не урегулированными вопросы, связанные с обеспечением конфиденциальности персональных данных при использовании сети «Интернет» и различных «облачных» сервисов. Каналы передачи данных по сетям общего пользования, в которых применяются протоколы SSLHTTPS (SSL-шифрование) со встроенными в «стандартные» web-браузеры средствами аутентификации источников и шифрования сообщений, не прошедшими сертификацию в ФСБ, по всей видимости, не могут рассматриваться как защищенные каналы с точки зрения обеспечения гарантий конфиденциальности персональных данных и невозможности их несанкционированного перехвата при передаче. Поэтому операторы, использующие Интернет для получения персональных данных, обязаны предупреждать своих пользователей о том, что они не могут гарантировать их конфиденциальность и должны получать согласие (не обязательно письменное) на их обработку на этих условиях.
Анализ целого ряда сайтов, предоставляющих различные сервисы, связанные с обработкой персональных данных: запись на прием к врачу с домашнего компьютера («электронная регистратура»), ведение личного архива медицинских документов, личного кабинета пациента, подача заявления в страховую компанию о выдаче полиса ОМС и т. д., — к сожалению, показал, что практически никто из операторов не предупреждает об этом своих потенциальных пользователей. Кроме того, в публикуемых на сайтах документах, в которых излагается политика конфиденциальности оператора (ст. 18.1 Закона), в очень редких случаях что-либо говорится о том, используются или нет cookie, а если используются, то для каких целей и можно ли от них «отказаться». При этом большинство обычных, «непродвинутых» пользователей не знает, как настроить параметры безопасности web-браузера и компьютера (смартфона, планшета) в целом при подключении к Интернету. Заметим, что в Европейском союзе еще в 2002 году была принята специальная директива, в которой изложены основные правила «безопасного» использования Интернет и определены требования к операторам сайтов, в том числе их обязанности информировать пользователей об использовании cookie.
Очевидно, что доступ к «облачному» федеральному сервису «Автоматизированное рабочее место врача», пользователями которого могут стать врачи, включенные в регистр медицинских и фармацевтических работников, должен осуществляться только по каналу защищенной сети передачи данных Минздрава России, реализованной в виде VPN с использованием сертифицированных ФСБ средств криптографической защиты. И только демо-версия этого сервиса может быть доступна через «открытый» Интернет.
Иными словами, необходимо разработать и издать нормативные документы, в которых были бы определены четкие и детальные правила использования Интернет в сфере здравоохранения, сформулированы обязательные требования к Интернет-ресурсам, ориентированные не только на разработчиков сайтов и операторов, но и понятных простым пользователям, получающим услуги через Интернет-сервисы.
Как видим, несмотря на очевидные преимущества и удобства использования «облачных» сервисов, одной из ключевых проблем остается обеспечение безопасности трафика в сети «Интернет». В то же время современные ИКТ позволяют достаточно эффективно и недорого решить эту проблему. Например, с использованием технологий Lightweight Portable Security (LPS), которые применяются Министерством обороны США*(19), когда на USB-flash накопитель записывается дистрибутив операционной системы (LiveUSB), VPN-клиент, web-браузер, средства электронной подписи, Skype, средства шифрования и прикладное ПО, позволяющее решать профессиональные задачи. При этом компьютер используется только как «железо», и все данные пользователя по завершении работы записываются на накопитель — в памяти компьютера ничего не остается. При наличии Интернет-соединения компьютер через VPN связывается с «базовым» сервером (ЦОД). При необходимости может осуществляться автоматическая репликация массивов данных на USB-носителе и центральном сервере. Подобная технология может использоваться также для организации защищенного рабочего места и в локальной вычислительной сети. Возможна также автономная работа — без сервера. Кроме того, сегодня на рынке имеются USB-носители, оснащенные сенсором для аутентификации пользователя по отпечатку пальца. Представляется, что подобное решение может быть эффективным, например, для фельдшерско-акушерских пунктов, сельских амбулаторий, врачей общей практики и др. Дополнительно в этот комплект могут входить также средства для видео-конференцсвязи (телемедицины) и модули для подключения медицинских приборов, например, датчиков для снятия кардиограммы и др. Естественно, все ПО и средства защиты информации должны быть сертифицированы ФСТЭК и ФСБ. Аналогично может быть изготовлен и USB-комплект для пациента, с помощью которого он сможет конфиденциально общаться со своим доктором, подключаться к своему «Личному кабинету» на защищенном сайте и т. д. При массовом, централизованном изготовлении и тиражировании таких USB-комплектов их стоимость будет невысокой. Они не требуют технического обслуживания, их администрирование может осуществляться централизованно по защищенным каналам в автоматизированном режиме. Поэтому совокупная стоимость владения такими USB-комплектами, включая затраты на техническую защиту информации, по нашему мнению, будет также не очень высокой.
Очевидно, что в рамках одной журнальной статьи невозможно не только рассмотреть, но даже обозначить все множество правовых и организационно-методических проблем, связанных с обеспечением безопасности персональных данных в здравоохранении. За последние два-три года в стране была проделана колоссальная работа, можно даже говорить, что произошел качественный скачок в использовании ИКТ в отрасли. Но вместе с тем сегодня мы наблюдаем огромный разрыв между потенциальными возможностями современных ИКТ и их реальным использованием в клинической практике. Законодательство и вся система нормативных и организационно-методических документов, регламентирующих использование ИКТ в отрасли, отстает от потребностей и реальной практики, и явно не успевает за развитием и появлением новых ИКТ. Поэтому важнейшая задача профессионального, экспертного сообщества — помочь чиновникам правильно определить направления и приоритеты дальнейшей информатизации. Полагаем, что рассмотренные выше вопросы могут быть использованы для формирования «проблемного листа» и подготовки предложений по совершенствованию нормативных актов и методических документов, регламентирующих процессы обработки и защиты информации в здравоохранении.
В заключение хотелось бы сказать следующее. После многочисленных публикаций о кражах и утечках персональных данных, взломе компьютерных систем, вирусных атаках, нарушающих нормальную работу медицинских учреждений, которые имели место в последнее время, у определенной части населения, и пациентов, и врачей, начала формироваться своего рода «киберфобия», чувство недоверия к современным ИКТ и даже желание запретить обработку персональных данных в электронном виде. Например, недавно автору пришлось столкнуться с ситуацией, когда пациент обратился с заявлением о запрете использовать ЭМК, ссылаясь при этом на ст. 16 Закона, где сказано, что принятие решений, порождающих юридические последствия в отношении субъекта на основании исключительно автоматизированной обработки персональных данных, допускается только при наличии согласия в письменной форме. Но об этом в следующей статье.