Департамент информатизации Министерства здравоохранения и социального развития РФ предпринимает обещанные шаги по снижению финансового бремени, которое возлагает на медицинские организации закон "О персональных данных" (ФЗ-152). В конце декабря на сайте Минздравсоцразвития появились два материала, призванные помочь лечебно-профилактическим учреждениям выполнить требования ФЗ-152: "Модель угроз типовой медицинской информационной системы типового ЛПУ" и "Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости". Оба документа, подготовленные министерством при помощи компании "Практика безопасности", согласованы со ФСТЭК России. Однако, для того чтобы они приобрели статус нормативных документов, необходимо еще согласовать их с остальными надзорными органами. Тем не менее начинать использовать их можно уже сейчас.


Согласно типовой модели, основную угрозу конфиденциальности персональных данных пациентов ЛПУ представляют в основном внутренние нарушители. Учитывая небольшое количество актуальных угроз и незначительную опасность их реализации, медицинские информационные системы отнесены к специальным ИСПДн (информационная система персональных данных), отвечающим требованиям по обеспечению безопасности персональных данных при их обработке в инфосистемах, соответствующих третьему классу. Это освобождает операторов локальных медицинских информационных систем от необходимости получать лицензию ФСТЭК на деятельность по технической защите информации. Для проведения мероприятий по обеспечению безопасности данных при их обработке в системах первого, второго класса, а также в распределенных системах третьего класса операторы ИСПДн должны будут получить лицензию на осуществление деятельности по технической защите конфиденциальной информации.


При попытке сэкономить таким образом средства проблемы могут возникнуть у обладателей интегрированных систем, в которых, к примеру, финансовая система должна быть отнесена к первому классу, а госпитальная - к третьему, при том что разделить их невозможно.


Методические рекомендации содержат два десятка пунктов, которые следует выполнить каждому главному врачу, превратив их в приказы и внутренние распоряжения. Это вызывает опасение, что времени опять не хватит: учитывая решение Государственной думы отложить срок исполнения ФЗ-152 до 1 января 2011 года, до начала проверок остается менее 11 месяцев.


Правда, есть еще надежда, что некоторые положения закона, вызвавшие крайне негативную реакцию в профессиональном сообществе из-за вполне обоснованных сомнений в их реализуемости, могут быть скорректированы в течение 2010 года. В их числе необходимость получения лицензии ФСТЭК, а также согласия пациентов на обработку их данных (чтобы избежать последнего, предполагается внести изменения в закон "Об обязательном медицинском страховании").


По словам заместителя начальника отдела департамента информатизации Минздравсоцразвития РФ Сергея Рылова, в течение полугода в ведомстве будет работать служба поддержки и горячая линия для ответов на вопросы, поступающие по телефону и электронной почте.


Вопросов без ответа по-прежнему слишком много. Например, на вопрос, как с минимальными затратами защитить сети, подключенные к Интернету, документы разъяснений не дают. Беспроводные сети тоже выпали из внимания разработчиков, как и передача телемедицинских данных, активнейшим образом используемых, в частности, при обучении медработников.


Но главным остается вопрос: будут ли вместе с методическими указаниями сверху спущены деньги для их выполнения?


Безопасность за свой счетЧтобы в будущем году медицинские учреждения смогли в полном объеме ввести в эксплуатацию свои системы защиты персональных данных, соответствующие затраты должны быть произведены ими в текущем году. Поскольку в бюджете на 2010 год выделение средств на эти цели не предусмотрено, возникает вопрос - за счет чего же будут реализованы требования ФЗ-152, да и будут ли? По мнению директора МИАЦ РАМН Петра Кузнецова, совершенно ясно, что на сегодня российская система здравоохранения не укладывается в рамки закона ни по ресурсам, ни по срокам.


В настоящее время идет подготовка государственного бюджета на 2011 год. К апрелю Минздравсоцразвития должно рассчитать стоимость медицинских услуг, на основании которой будет производиться бюджетное финансирование медицинских учреждений, в частности по программе государственных гарантий. Закладываемая в бюджет стоимость медицинских услуг рассчитывается исходя из соответствующих затрат прошлых периодов. И ее увеличение, разумеется, требуется обосновать.


В 2010 году российская система здравоохранения "освоит" предположительно 3-4 трлн руб., из которых примерно половина должна быть получена из бюджетных источников всех уровней, отметил Кузнецов. При этом информатизация стоит от 4 до 20% бюджета ЛПУ в зависимости от стадии жизненного цикла информационной системы (максимальные затраты осуществляются при старте проекта).


Итак, необходимо срочно подсчитать, на сколько выполнение требований ФЗ-152 увеличит стоимость медицинских услуг. Это следовало бы сделать еще год назад, но, видимо, все заинтересованные стороны ждут этого шага... друг от друга.


Руководитель МИАЦ Московской области Зоя Рахманова предложила Минздравсоцразвития рассчитать хотя бы стоимость защиты тех информационных систем, которые министерство своим подведомственным учреждениям рекомендует, а то и обязывает использовать, например кадровые системы или реестры инвалидов.


Но судя по всему, спасение утопающих останется делом рук самих утопающих.