Медицинские учреждения, как правило, обрабатывают значительные объемы персональных данных, что усугубляет требования по защите и использованию криптографических алгоритмов и шифрованных линий связи. Вот как комментирует особенности систем обработки персональных данных в лечебных учреждениях Игорь Егоренко, директор департамента региональных продаж «РАМЭК-ВС»: «Высокий класс защищенности — в медицинских учреждениях обрабатываются сведения о состоянии здоровья большого числа субъектов; территориальная распределенность — большинство ЛПУ состоит из нескольких корпусов, часть из которых может быть значительно удалена от других». В результате расходы на защиту персональных данных в подобном учреждении могут оказаться просто неподъемными.
Евгений Модин, руководитель направления консалтинга компании Aladdin, замечает: «С принятием стандарта ГОСТ Р 52636-2006 ‘Электронная история болезни’, к сожалению, не удалось решить вопросы взаимодействия между различными медицинскими учреждениями, не удалось полностью отказаться от бумажных историй болезни. Дальнейшее развитие данного направления тесно связано с развитием электронного документооборота, а для этого необходимы изменения в законодательных актах».
Скорее всего, слишком прямолинейное выполнение требований федерального закона «О персональных данных» только затянет отказ отечественной медицины от бумажных медицинских карт.
Минздравсоцразвития инициировало процесс согласования требований ФЗ-152 с ФСТЭК, чтобы, с одной стороны, выполнить требования закона, а с другой — не израсходовать слишком много бюджетных денег. В декабре 2009 года опубликованы «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», задача которых — сократить затраты на защиту медицинских персональных данных. В документе предпринята попытка объяснить, почему медучреждениям не нужно выполнять требования защиты по первому классу защищенности для типовых информационных систем: «В медицинских учреждениях все ИСПДн будут отнесены к специальным, поскольку обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных, а также потому, что, как правило, помимо конфиденциальности, требуется обеспечить целостность ПДн. Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных».
В списке необходимых документов, которые должны подготовить медучреждения, фигурирует «модель угроз». Это означает, что медицинским учреждениям не обязательно ставить системы шифрования или системы утечки по техническим каналам, если эти угрозы не указаны в модели.
В то же время при составлении частной модели угроз рекомендуется «исключение из модели маловероятных угроз, что существенно снизит затраты по реализации механизмов защиты на дальнейших этапах работ». К примеру, атака с использованием перехвата побочного излучения для медицинских учреждений является маловероятной, поэтому она может быть исключена — это действительно сильно снизит затраты в дальнейшем. Исключение маловероятных угроз позволяет сэкономить, не внедряя самые сложные системы защиты.
Кроме того, как заметил Игорь Фохт, аналитик центра медицинских разработок Института программных систем РАН, «в МИС не предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных: юридически значимым документом является ‘бумажная’ история болезни, по которой принимаются решения».
Впрочем, даже этого может не хватить для снижения необходимого уровня защиты до приемлемого в медицинских учреждениях минимума. Поэтому в методологии предлагается еще несколько способов, в том числе обезличивание, абстрагирование, сегментация и разделение базы персональных данных. Эти методы способны существенно сократить расходы.
Игорь Игнатущенко, директор по клиентским сервисам «Пост Модерн Текнолоджи», отмечает: «Фактически в терминологии закона ‘О персональных данных’ медицинская информационная система является лишь частью информационной системы персональных данных. Сами же ИСПДн, как правило, являются целиком аппаратно-программными комплексами, в которых обрабатываются персональные данные». Такие отдельно стоящие сертифицированные продукты могут быть хорошо защищены в полном соответствии с требованиями регламентирующих документов, однако они могут находиться за пределами МИС.
Но даже при разделении персональных данных по различным информационным системам и иными методами нужно соблюдать все требования для данного класса. В частности, даже для низшего третьего класса систем рекомендуется использовать сертифицированные во ФСТЭК продукты как минимум на наличие недекларированных возможностей. Кроме того, требуется создать специальное подразделение, ответственное за обработку персональных данных, и назначить ответственных сотрудников в каждом подразделении, где обрабатываются персональные данные. В методической рекомендации Минздравсоцразвития есть перечень документов, которые необходимо подготовить, чтобы доказать проверяющему органу, что на предприятии проводится работа по защите персональных данных.
ФЗ-152 вступает в полную силу 1 января 2011 года, и с этого времени начинаются плановые проверки операторов персональных данных. Проверяющие вначале запрашивают набор документов и, только ознакомившись с ними, могут провести проверку соответствия. Если же документы подготовлены правильно, то, скорее всего, проверяющие не будут проверять соответствие документов реальному положению дел. Впрочем, ситуация может быть и иной.
В любом случае за оставшееся до срока время медицинские учреждения вполне могут подготовить указанные в списке документы. В методике явно указано, что все документы могут быть подготовлены сотрудниками самих медицинских учреждений, без привлечения дополнительных консультантов, даже приведены шаблоны документов, которые просто достаточно правильно заполнить. Организационные меры практически не требуют расходов, кроме зарплаты сотрудников.
Игнатущенко уверен: «Разобраться в требованиях закона на самом деле не так сложно, а ‘побочных’ дивидендов это может принести достаточно: от оптимизации собственных бизнес-процессов и ИТ-инфраструктуры до имиджевых плюсов. Если подойти к делу ответственно, то вполне реально привести инфраструктуру к требованиям закона за два-три месяца».