УДК 65.012:378
РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МЕДУЧРЕЖДЕНИЙ, ИХ СПЕЦИАЛИСТОВ И ПАЦИЕНТОВ
© Брумштейн Юрий Моисеевич
кандидат технических наук, доцент кафедры «Управление качеством», Астраханский государственный университет.
© Захаров Дмитрий Александрович
кандидат медицинских наук, заместитель главного врача по организационно-методической работе, Государственное бюджетное учреждение здравоохранения Астраханской области Александро-Мариинская областная клиническая больница.
© Акишкин Виктор Георгиевич
кандидат медицинских наук, главный врач, Государственное бюджетное учреждение здравоохранения Астраханской области Александро-Мариинская областная клиническая больница.
Проанализирована структура общих и специфических угроз информационной безопасности (ИБ) для различных типов медицинских учреждений, их руководителей, сотрудников, органов управления здравоохранением регионов, контролирующих организаций, пациентов. Исследованы некоторые практические возможности и ограничения по управлению рисками ИБ медицинских учреждений с учётом существующих российских реалий.
Ключевые слова: медицинское учреждение, информатизация, информационные риски, информационная безопасность, управление рисками, ресурсное обеспечение.
Си
Чистема здравоохранения России играет /ключевую роль в социально-экономическом развитии страны и отдельных регионов, обеспечении экономики трудовыми ресурсами, поддержании и улучшении качества жизни населения. Использование информационных технологий (ИТ) в деятельности медицинских учреждений (МУ) в регионах России является объективно необходимым для обеспечения доступности и качества медицинской помощи населению, эффективности использования трудовых, материально-технических, информационных, иных ресурсов МУ. Различным аспектам информационного менеджмента в медицинской сфере посвящено достаточно много публикаций. При этом вопросы информационной безопасности (ИБ) в большинстве случаев (например, [2, с. 1]) сводятся к рассмотрению тематики ИБ информационных систем (ИС), эксплуатируемых
или предназначенных для МУ. Однако проблематика в этой области носит значительно более широкий характер, в том числе с учётом введения в действие Закона «О персональных данных» [5]. В данной статье авторами предпринята попытка комплексного исследования тематики ИБ МУ с акцентом на малоизученные вопросы.
Основными типами МУ, работающими с населением в России, в настоящее время являются: поликлиники по месту жительства (осуществляют амбулаторное обслуживание на площадках самих поликлиник, а также на дому у пациентов); специализированные амбулаторные МУ (включая различные диспансеры, женские консультации, стоматологические поликлиники и пр.); реабилитационные центры, в том числе специализированные детские; станции скорой медицинской помощи; стационарные МУ (общего профиля и специализированные -
детские, кардиологические и пр.); медицинские кабинеты, включая стоматологические; сеть аптечных учреждений; отчасти косметологи-ческие и массажные кабинеты. Совокупность МУ, функционирующих в регионах, можно разделить на следующие группы: государственные (бюджетные) регионального подчинения; бюджетные федерального подчинения, в том числе высокотехнологичные межрегионального характера; ведомственные; коммерческие МУ -местные и филиалы иногородних организаций. В некоторых регионах пока сохраняются и бюджетные муниципальные МУ. Большинство из них оказывают и платные медицинские услуги. В то же время для коммерческих МУ работа в рамках программ госгарантий медицинского обслуживания населения (то есть за счёт средств ФОМС) обычно не выгодна.
Вопросы ИБ в деятельности МУ уже сейчас играют важную роль в обеспечении их конкурентоспособности на рынке медицинских услуг. Для России этот рынок находится в стадии формирования. При этом большинство МУ (кроме некоторых высокотехнологичных) работают в пределах своего региона, населённого пункта или зоны своего размещения.
Органы управления здравоохранением и его контроля, с которыми непосредственно приходится иметь дело клиентам МУ в связи с получением медицинской помощи, - это профильные департаменты (министерства) органов государственного управления регионами, региональные подразделения Росздравнадзора России. В ряде случаев клиенты могут влиять на доступность и качество обслуживания в МУ и другими способами: через обращения в печатные средства массовой информации (СМИ) и/или к «своим» депутатам; путём размещения отзывов о работе МУ на сайтах в Интернете; распространением отзывов о деятельности МУ и отдельных специалистов в них через социальные сети, электронную почту; в некоторых случаях - через судебные органы.
Важную роль в обеспечении деятельности МУ играют также «финансирующие организации»: органы государственного регионального управления; фонд обязательного медицинского страхования (ФОМС) и его территориальные подразделения; фонд социального страхования и его подразделения; медицинские страховые организации (МСО); отделения казначейства, через которые выполняются платёжные операции бюджетных МУ. При этом МСО осуществляют мониторинг рациональности расходования в МУ средств на диагностику и лечение, соответствие применяемых медицинских технологий утверждённым стандартам (нормативам) диагностики и лечения.
Информационное взаимодействие МУ с внешней для них информационной средой осуществляется с использованием различных каналов связи, причём в большинстве случаев такое взаимодействие носит двухсторонний характер. Укажем здесь следующие каналы: проводную и сотовую телефонную связь (включая передачу SMS и MMS сообщений); использование факс-аппаратов; радиосвязь, в том числе с подвижными объектами; электронную почту; сайты в Интернете; программные средства (ПС) двухстороннего онлайнового общения типа Skype; групповую видеоконференцсвязь через Интернет; социальные сети; публикации в печатных СМИ и рекламно-информационных изданиях; распространение буклетов, иных информационных материалов на бумаге (например, через почтовые ящики по месту жительства потенциальных клиентов), а также сувениров с рекламными материалами МУ, аптек и пр.; рекламу наружную и на средствах транспорта; внутридомовую рекламу; сообщения по радио и телевидению, включая информационно-рекламные; переписку с использованием бумажных документов. Особо отметим средства информационного воздействия на граждан в рамках «социальной рекламы», пропаганды здорового образа жизни [6, п. 6 ст. 2], борьбы против злоупотреблений алкоголем, использованием наркотиков и т. д.
Основными угрозами ИБ для МУ потенциально могут быть следующие: недостаточное присутствие в соответствующем сегменте информационного пространства (ИП), что снижает объём спроса на их медицинские услуги (это особенно важно для коммерческих МУ); нарушение работы каналов связи МУ с внешним ИП; неполное или несвоевременное получение МУ необходимой информации, в том числе по поиску в инициативном порядке в Интернете; утрата или чрезмерно долгое прохождение писем по электронной почте; выход из строя или частичная неработоспособность сайтов с системами электронной почты, особенно принадлежащих самим МУ; наличие в ИП (включая сайты в Интернете) неточной, неполной, устаревшей или тенденциозной информации по отдельным МУ, их подразделениям или сотрудникам. Следует отметить как угрозу ИБ возможность «вброса» в ИП (на сайты в Интернет, в печатные СМИ и пр.) конкурирующими организациями или по их поручениям отдельными физическими лицами фальсифицированной, специально препарированной или тенденциозной информации о МУ, их руководителях или сотрудниках. Это может не только ухудшать профессиональную репутацию МУ и их специалистов среди населения, но и оказывать сильное «психологическое
воздействие на коллектив и отдельных сотрудников» [з, с. 26] МУ. Так может оказываться воздействие на структуры, обеспечивающие защиту прав потребителей медицинских услуг, органы управления здравоохранением регионов и даже непосредственно на руководителей регионов. В целом информационное противодействие такого рода угрозам ИБ для МУ затруднено. Практика показывает, что принудительное удаление с сайтов указанной информации, по решениям судов, даже в доменной зоне «ш» весьма хлопотно для МУ и обычно не может быть выполнено оперативно.
В рамках предвыборных компаний публикация не объективной информации негативного характера о деятельности МУ или их совокупности часто направлена на дискредитацию руководства не самих МУ, а регионов - как лиц, ответственных за управление «государственными» МУ.
Усложнение ПС, используемых при передаче-приёме данных (прежде всего в рамках использования сотовой связи) увеличивает риски ИБ для ведущих переговоры с использованием таких средств [1, с. 95]. Надо отметить, что применение криптосмартфонов для МУ не типично. Особый интерес с точки зрения перехвата информации могут представлять сведения о состоянии здоровья (заболеваниях) руководителей региона и работающих в нём ведущих коммерческих структур, кандидатов на выборные должности.
Внутреннее ИП (ВИП) МУ включает в себя использование бумажных документов офисного назначения; данных медицинских анализов, исследований пациентов, представленных на бумажных носителях, фотоплёнке; информацию в электронной (обычно, цифровой) форме.
Основными видами информации, относящейся к ВИП МУ, можно считать персональные данные [5] пациентов (включая результаты их профилактических обследований, диагностики, лечения) и медработников; данные о фактических объёмах работ, выполненных специалистами МУ; медицинскую статистику деятельности МУ, их отдельных подразделений и специалистов; различные нормативные и организационно-распорядительные документы (внешнего и внутреннего характера); финансовую информацию; данные о претензиях пациентов к доступности и качеству лечения в МУ и др.
Внутренними каналами связи, используемыми в рамках ВИП МУ, являются локальные компьютерные сети; перенос информации с помощью флэш-накопителей, внешних жёстких дисков и пр.; традиционный бумажный документооборот, включая отслеживаемый с помощью ИС контроля плановых сроков выполнения
работ, поручений; проводная (через внутренние АТС) и сотовая связь; радиосвязь, в том числе оперативная - с машинами скорой помощи; использование системы «Глонасс» для мониторинга мест нахождения средств транспорта МУ; непосредственное устное общение между сотрудниками МУ - парное или групповое. Применение сети Интранет для организации ВИП МУ пока для России не характерно.
Хранение в МУ информации осуществляется как в бумажной, так и в электронной форме (на винчестерах, флэш-накопителях, лазерных дисках и пр.). При этом периодичность выполнения резервного копирования данных в электронной форме во многих МУ пока не регламентирована должностными инструкциями и другими документами. В рамках информатизации сферы здравоохранения регионов в целом получает всё большее распространение использование региональных удалённых хранилищ информации, в которые данные из МУ сбрасываются периодически. В то же время использование общих для всего региона серверов с данными о пациентах и медработниках, к которым возможен постоянный онлайновый доступ из МУ, пока не типично.
Номенклатура и длительность хранения значительной (если не большей) части перечисленных выше видов информации установлены нормативно, в том числе и для коммерческих МУ. Это приводит к постоянному росту объёмов накапливаемой в МУ информации, особенно в бумажной форме. Такое накопление разнородной информации ведёт к тому, что наряду с традиционными типами угроз ИБ для МУ всё более важное значение приобретают следующие: ухудшение или утрата оперативной доступности к медицинским данным; усложнение/ удорожание получения медико-статистической отчётности по МУ; усложнение организации внутреннего документооборота, удорожание хранения данных в МУ, их учёта и пр. Развитие ИС в МУ позволяет успешно бороться с этими видами угроз ИБ, но одновременно порождает другие факторы риска.
Такая ситуация отражает общую тенденцию возникновения новых видов угроз в рамках внедрения информационных технологий [7, с. 26]. В отношении МУ отметим, в частности, угрозы ИБ, связанные с появлением потенциальных возможностей несанкционированного доступа к персональной медицинской информации (включая дистанционный доступ извне МУ), разрушением (уничтожением) накопленных в МУ данных вредоносными ПС, недостаточной ИТ-квалификацией специалистов-медиков и т. д.
Как риск для ИБ МУ рассматривается поступление через системы электронной почты
значительного количества спама, связанного с рекламой поставщиков медицинского оборудования, расходных материалов и пр. На практике, кроме официального электронного адреса, в крупных МУ иногда используются ещё адреса подразделений и, как правило, служебные адреса отдельных специалистов. Однако для работы с пациентами (например, оказания им консультативной помощи) таковые обычно не применяются.
Объективная необходимость комплексной информатизации МУ подтверждается тем обстоятельством, что в крупных коммерческих МУ (они более свободны в выборе направлений и методов расходования средств, чем бюджетные) использование ИТ чаще всего носит более глубокий и всесторонний характер. Очевидно, что сама по себе неполнота (недостаточная глубина) информатизации МУ может рассматриваться как фактор риска для её ИБ.
Основными способами обеспечения МУ ПС (в том числе специализированными медицинского назначения) традиционно были следующие: использование готовых ПС, бесплатно распространяемых, передаваемых вышестоящими организациями или готовых покупных; передача заказов на разработку специализированных ПС софтверным фирмам или отдельным специалистам, работающим по гражданско-правовым договорам; выполнение разработок ПС силами собственных (штатных) ИТ-специалистов МУ. С введением в действие закона «О персональных данных» [5] ИС МУ начали контролироваться на соблюдение требований этого закона. Однако сертификация ИС МУ по функциональным возможностям пока не осуществляется в обязательном порядке ни на федеральном, ни на региональном уровнях. Для сравнения отметим, что все программы «бухгалтерского назначения» проходят сертификацию в Минфине России и получают соответствующие «допуски» к эксплуатации. Соответственно их разработчики несут ответственность за актуальность используемой нормативной базы, алгоритмов расчётов и пр.
В отношении разработок (создания) ПС руководство МУ испытывает такие виды рисков, как вероятность недостаточной функциональности ПС (например, «заказных» или созданных в самих МУ); прекращение деятельности фирм-разработчиков ПС, что может исключать возможности необходимой модернизации (адаптации) ПС по ходу их эксплуатации; аналогично - увольнение из МУ программистов-разработчиков ПС; принудительное прекращение эксплуатации ПС в МУ в рамках перехода по требованию вышестоящих организаций или контролирующих органов (то есть в административном порядке) на унифицированные
ПС масштаба населённого пункта или региона. В последнем случае не только обесцениваются затраты МУ на создание собственных ПС, но и становятся бесполезными навыки, уже приобретённые персоналом в отношении снимаемых с эксплуатации разработок.
Разнородность разрабатываемых/используемых в МУ ПС также несёт в себе определённые риски: неэффективность затрат на создание и внедрение «заказных» ПС в условиях вероятного перехода на унифицированные разработки; затруднения при обмене медицинскими данными о пациентах между МУ (в том числе при использовании телемедицинских технологий); трудности в получении медико-статистической информации на уровне региона и пр. Усложняется также информационная интеграция высокотехнологичного медобору-дования в ИС МУ.
Отметим, что разрабатываемые для МУ ПС не накапливаются в «отраслевом фонде алгоритмов и программ» и во многих случаях не регистрируются как объекты «авторского права» в Федеральном институте промышленной собственности (ФИПС). Это приводит не только к отсутствию средств юридической защиты выполненных разработок от несанкционированного использования, но часто и к неоправданному дублированию ПС.
В настоящее время во многих регионах России уже произошёл или происходит процесс перехода на общерегиональные унифицированные ПС медицинского назначения (УПСМН), ранее такая унификация осуществлялась лишь в отдельных крупных населённых пунктах. Финансирование создания и внедрения УПСМН осуществляется, в основном, за счёт средств ФОМС в рамках Федеральной программы по модернизации здравоохранения на 2011-2012 гг. Риски ИБ для МУ при переходе на УПСМН связаны с некорректной конвертацией накопленных медицинских данных о пациентах, необходимостью переучивания персонала МУ на новые разработки и пр. В «принудительном» порядке на УПСМН могут быть переведены лишь бюджетные МУ региона. Действующие же в регионах коммерческие, ведомственные и высокотехнологичные МУ федерального подчинения могут продолжать использовать иные ПС. Однако передача данных медико-статистической отчётности об их деятельности необходима в принятых для региона форматах данных.
Интересно то, что в Федеральном законе «Об основах охраны здоровья граждан в Российской Федерации» [6, п. 8, ст. 15] не только оговаривается необходимость ведения «Федерального регистра лиц» с рядом заболе-
ваний, но и детально регламентируется состав полей для записей по каждому пациенту (что для федеральных законов совершенно не характерно). Аналогичный перечень полей записей, представляющих персональную медицинскую информацию, дан и в п. 4 ст. 44 данного закона.
Внедрение различных комплексов УПСМН в перспективе, скорее всего, потребует от части регионов последующего перехода на унифицированные общефедеральные ПС. Вероятнее всего, это будет происходить в русле внедрения в стране создаваемого Минздравом России комплекса «ЕГИС-здрав».
В связи с описанной ситуацией в качестве специфического фактора ИБ для системы здравоохранения возможно «торможение» перехода на УПСМН со стороны фирм-разработчиков, а также небюджетных МУ, которые вложили в собственные разработки ПС значительные средства.
Дополнительные ПС не унифицированного характера, которые работают на общих базах данных (БД) о пациентах, медперсонале, могут быть полезны, например, для углубленного статистического анализа медицинских данных, прогнозирования тенденций и пр. Очевидно, что с позиций обеспечения ИБ данных минимальное требование к таким дополнительным ПС - они не должны иметь возможность корректировки унифицированных БД (УБД), а только считывать информацию из них (однако вести «собственные» дополнительные БД они могут). Наиболее простым решением представляется экспорт необходимых данных из УБД (в том числе в рамках использования УПСМН), однако для систематической работы это неудобно. В общем случае создание дополнительных ПС может потребовать от разработчиков УПСМН «раскрытия» информации о форматах хранения данных в БД и, возможно, принципах её шифрования при хранении и/или передаче по каналам связи. Такое раскрытие «информации» при необходимости, видимо, должно осуществляться с согласия органов управления здравоохранением регионов и, возможно, органов их контроля; на основании специальных договоров; только в отношении весьма ограниченного круга организаций/физических лиц.
Проведём анализ специфики угроз информационной безопасности для отдельных типов МУ и некоторых мер борьбы с ними.
Для небольших частных (коммерческих) медицинских кабинетов основной угрозой их ИБ можно считать недостаточную известность в пределах не только населённых пунктов, но и их отдельных частей. Информационно-рекламная поддержка деятельности таких МУ осуществляется обычно с использованием таких
средств, как наружная реклама на зданиях, где расположены кабинеты; реклама в СМИ и пр. Успешность деятельности подобных МУ в отношении приобретения/удержания клиентуры зависит не только от качества и стоимости обслуживания, но и от плотности размещения других МУ в соответствующем районе населённого пункта, развитости транспортной сети, уровней доходов населения и пр. Объёмы хранимой информации в таких МУ относительно невелики, а ПЭВМ применяются не всегда. Их обслуживание осуществляется либо знакомыми работающих в них специалистов-медиков, либо «приходящими» ИТ-специалистами со стороны. Качество защиты информации на ПЭВМ при таких условиях, как правило, невысокое.
В бюджетных амбулаторных МУ использование ИС фактически уже давно стало обязательным, например, для работы с медицинскими страховыми полисами граждан. Собственные ИТ-специалисты (чаще всего в ранге «системных администраторов») обычно есть в таких МУ, если количество ПЭВМ превышает 15-20. При меньшем количестве ПЭВМ, МУ обычно обходятся приглашением ИТ-специалистов со стороны для выполнения работ разового или периодического характера. Вопросы ИБ МУ (причём только для информации, представленной в электронной форме) в этом случае для ИТ-специалистов являются лишь одним из направлений их деятельности, причём чаще всего не главным.
Отсутствие собственных штатных ИТ-специалистов в МУ увеличивает вероятность инициативной установки персоналом МУ нелицензионных копий коммерческих ПС на служебные ПЭВМ. Это может стать особенно важным для руководства МУ в условиях присоединения России к ВТО и, как следствие, общего усиления внимания к соблюдению прав интеллектуальной собственности, в том числе в отношении ПС.
Разработку сайтов для указанных типов МУ, как правило, осуществляют специализированные софтверные фирмы или внештатные ИТ-специалисты - по гражданско-правовым договорам. Реже это делают ИТ-специалисты органов управления здравоохранением регионов или администраций муниципальных образований. В последнем случае для небольших МУ часто используются не отдельные сайты, а странички на сайтах муниципальных образований или профильных департаментов региона. Такие сайты обычно содержат следующую информацию об амбулаторных МУ: общие данные; контактную информацию; сведения о специалистах-медиках и их квалификации (иногда и стаже); данные о технической оснащённости
МУ; графики приёма врачами общей практики, узкими специалистами и др.
Переход к дистанционной электронной форме записи на приём в амбулаторных МУ по инициативе пациентов (это сейчас начало внедряться в ряде регионов) может порождать дополнительные угрозы ИБ для ИС МУ, поскольку такие системы начинают работать не только на отображение информации, но и на её приём/обработку. Кроме того, со стороны пациентов возможны технические ошибки при подаче заявок на обслуживание, включая повторяющиеся заявки на разное время. Если не будут использоваться средства аутентификации лиц, подающих такие заявки (в виде тех или иных вариантов логинов-паролей, электронных цифровых подписей и пр.), то вероятны также необоснованные «подачи заявок» детьми и другими лицами.
В основном аналогичные (по сравнению с амбулаторными МУ) риски ИБ возникают и в деятельности небольших стационарных МУ, например районных больниц в сельской местности.
Относительно крупные МУ, прежде всего стационарные и высокотехнологичные, имеют в своем штате собственных ИТ-специалистов. Однако выделенный специалист(ы) по вопросам ИБ в МУ обычно есть только при большой общей численности ИТ-специалистов. Не всегда соблюдается требование наличия профильного образования по специальности «информационная безопасность» или окончание соответствующих курсов с получением аттестата.
Отметим ещё, что средний уровень зарплат штатных ИТ-специалистов в МУ чаще всего ниже, чем на промышленных предприятиях, в коммерческих структурах, банках и пр. Это объективно способствует оттоку квалифицированных ИТ-кадров из МУ и, как следствие, снижает уровни их ИБ.
Для руководителей и специалистов-медиков МУ также существуют риски ИБ, связанные с их профессиональной деятельностью. Ниже приведена условная градация рисков в отношении иерархических групп сотрудников, однако некоторые угрозы являются общими для разных групп.
1. Для руководителей МУ риски ИБ включают несвоевременное получение нормативных документов, распоряжений вышестоящего руководства; общую информационную перегрузку, в том числе связанную с большим количеством документов, которые они вынуждены рассматривать в рамках служебных обязанностей; нарушение сроков рассмотрения в МУ, контролирующих организациях жалоб и обращений граждан; несвоевременное или неполное полу-
чение информации о недостатках в деятельности подчинённых, их квалификации, отказах технических средств диагностики и лечения, компьютерного оборудования, ПС; использование персоналом МУ по собственной инициативе на служебных ПЭВМ нелицензионных копий ПС; несвоевременное получение информации о нарушениях ИБ МУ, его энергобезопасности; «вброс» в ИП сведений, компрометирующих лично руководителя МУ или непосредственных заместителей, специалистов; несвоевременное получение информации о назревающих или уже имеющих место внутренних конфликтах в коллективах МУ, в частности межличностного характера; выявление правоохранительными органами случаев незаконного получения денежных средств персоналом МУ от пациентов, организаций и др.
2. Для руководителей подразделений МУ в качестве профессиональных рисков ИБ следует отметить несвоевременное получение информации о внешних или внутренних (для МУ) организационно-распорядительных документах с жёсткими сроками исполнения; нарушениях трудовой дисциплины и профессиональных ошибках подчинённых; возможностях повышения квалификации персонала, его профессиональной сертификации и пр.; недовольстве подчинённых условиями труда, что может привести к их увольнению или переходу в другое подразделение МУ; выходах из строя медицинского оборудования, которое необходимо для обеспечения технологической цепочки диагностики/лечения; исчерпании запасов расходных материалов к используемому медобрудованию и пр.
3. Для отдельных специалистов-медиков МУ личными рисками ИБ можно считать появление в ИП (в том числе Интернет и СМИ) компрометирующих сведений о них, например, отрицательных отзывов об их профессиональной квалификации, что особенно важно в условиях появившейся номинальной возможности для пациентов свободного выбора врача и МУ [6, п. 1, ст. 21]; несвоевременное или неполное получение профессионально значимой информации, о методах профилактики/диагностики/ лечения заболеваний, новых медпрепаратах и медоборудовании, возможностях повышения квалификации и пр.; несвоевременное получение сведений о научно-технических мероприятиях (научных и научно-практических конференциях, мастер-классах, проводимых высоко квалифицированными специалистами, выставках медицинского оборудования и пр.); разрушение личных сайтов (страничек сайтов) в Интернет в результате хакерских атак; утрату личных информационных архивов (в виде
текстовых документов, графиков, переписки по электронной почте) на ПЭВМ или внешних носителях информации и др.
4. Для ИТ-специалистов МУ личные риски ИБ состоят в несвоевременном получении информации о необходимости обновления (замены) версий ПС; недостаточно высокой ИБ-квалификации в отношении появляющихся новых видов ИТ-угроз, включая принципиально новые типы вирусных ПС; отсутствии необходимой информации о надёжности различных видов комплектующих для ПЭВМ, что может приводить к «не оптимальным» техническим решениям, несвоевременному принятию профилактических мер и пр.
Следует указать, что если категорирование врачей в МУ в отношении их квалификации является традиционным, то рейтингование (категорирование) самих МУ не осуществляется ни на федеральном, ни на региональном уровнях. Поэтому мнение пациентов (в том числе потенциальных) о доступности и качестве медобслуживания в МУ нередко формируется на основе отрывочной и устаревшей информации, почерпнутой из Интернет и печатных СМИ, а также личных отзывов других пациентов и пр. При этом собственный имидж-менеджмент во многих МУ, включая и коммерческие, часто является недостаточно активным, с учётом рыночной конкуренции за предоставление медицинских услуг.
С позиций пациентов, общими видами рисков ИБ для всех типов МУ можно считать неполноту или неточность информации о времени работы МУ, графиках приёма пациентов отдельными врачами в них, фактических стоимостях обслуживания в МУ, длительностях ожидания получения медицинских услуг на бесплатной (в рамках обязательного медицинского страхования) и платной основе в МУ и на дому; не объективную или неполную информацию о квалификации отдельных специалистов МУ и их групп, работающих совместно (например, хирургических бригад); неполноту информации о возможностях получения консультативных медуслуг внешними (по отношению к МУ) высоко квалифицированными специалистами; неточность или неполноту информации об инженерно-технической оснащённости МУ (медоборудовании, специализированных ПС и пр.); утрату в МУ результатов отдельных анализов, фрагментов историй болезни; неверную «привязку» результатов диагностики/анализов к конкретным пациентам и др.
Риском ИБ общего вида для пациентов также является слабая развитость телемедицинских систем дистанционного наблюдения (мониторирования) их состояния. Хотя
в информационно-техническом плане такой мониторинг вполне возможен (особенно в отношении пациентов, находящихся на дому), но как в амбулаторных, так и в стационарных МУ отсутствуют соответствующие инфраструктурные подразделения и специалисты. Расходы на такого рода работы не предусмотрены и в рамках программ госгарантий оказания бесплатной медпомощи населению. Подобная деятельность фактически не отражается в существующей медико-статистической отчётности МУ.
Также к рискам ИБ общего характера можно отнести недостаточную доступность для пациентов информации о наличии в продаже в отдельных аптеках необходимых медпре-паратов и стоимостях их продажи; неполноту сведений об условиях дополнительного медицинского страхования в различных медицинских страховых организациях и пр.
Для амбулаторных МУ, с позиций пациентов, возникают такие дополнительные риски ИБ, как отсутствие информации о предполагаемых временах прихода медработников при обслуживании на дому, что оказывает неоправданное эмоционально-психологическое воздействие на пациентов (особенно в случае плохого самочувствия); неполнота осведомлённости о фактическом качестве обслуживания пациентов отдельными медработниками МУ, чем обусловлено влияние на объективность выбора пациентами медработников.
Для стационарных МУ риски ИБ, с позиций клиентов, связаны с закрытостью медицинской статистики о числе претензий пациентов к МУ, а также долях претензий, которые были признаны правомерными; общем количестве смертельных случаев и по отдельным видам заболеваний/травм и т. д. В то же время статистические данные по объёмам медобслуживания таких МУ в целом, обычно являются открытыми и нередко присутствуют на их сайтах.
В отношении организаций скорой медицинской помощи потенциально несёт угрозу ИБ то обстоятельство, что пациенты никак не могут «управлять» (по крайней мере, в рамках бюджетной медпомощи) выбором обслуживающих бригад. В свою очередь, врачи-медики вынуждены оказывать помощь больным, не имея оперативного доступа к медицинской информации о них, так как единые медицинские ИП для регионов (включая доступ к «электронным медицинским паспортам» пациентов) в большинстве случаев пока ещё только создаются.
Важно отметить также ряд нормативных положений Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» [6]: ст. 13 «Соблюдение врачебной тайны», в которой, впрочем, указано достаточно
много возможностей представления медицинской информации о пациенте без его согласия; подп. 5, п. 5, ст. 19, где оговорено право пациента на «получение информации о своих правах и обязанностях, состоянии своего здоровья, выбор лиц, которым в интересах пациента может быть передана информация о состоянии его здоровья»; подп. 7 п. 5 ст. 19 закрепляет право на «защиту сведений, составляющих врачебную тайну»; п. 7 ст. 21, в котором «При выборе врача и медицинской организации» устанавливается право гражданина «...на получение информации в доступной для него форме, в том числе размещённой в информационно-телекоммуникационной сети Интернет, о медицинской организации, об осуществляемой ею медицинской деятельности и о врачах, об уровне их образования и квалификации»; ст. 22, описывающую права пациентов на получение «информации о состоянии здоровья», также по п. 5 предусмотрено получение «на основании письменного заявления.» медицинских документов, их копий и выписок из медицинских документов (причём законом не оговаривается ни запрет, ни прямая возможность передачи таких копий в электронной форме); ст. 23 связана с правом на «получение информации о факторах, влияющих на здоровье»; п. 9, ст. 47 касается правил фиксации «информации о наличии волеизъявления гражданина ...» в отношении «донорства органов и тканей человека и их трансплантации (пересадки)» и др.
Обратим внимание что ссылки в Федеральном законе «Об основах охраны здоровья граждан в Российской Федерации» [6] на муниципальные МУ, муниципальную систему здравоохранения по состоянию на август 2012 г., находятся в фактическом противоречии с тем, что в ряде регионов России «муниципальные»
МУ с 2012 г. полностью преобразованы в «государственные» [4] и переданы в региональное подчинение. Такое противоречие может рассматриваться как фактор риска ИБ не только для пациентов, но и самих МУ. Однако в ряде регионов переадресация полномочий по управлению бюджетными МУ из муниципального на субъёктовый уровень пока не произошла - в них параллельно существуют МУ муниципального и регионального подчинения.
Итак, сделаем выводы. Вопросы обеспечения ИБ МУ являются многоплановыми и не сводятся к ИБ эксплуатируемых в них ИС. При этом большинство МУ пока не уделяют достаточного внимания формированию своего ИБ-имиджа в глазах существующей и потенциальной клиентуры. Этот фактор может быть достаточно важным в отношении конкурентоспособности МУ.
Помимо ИБ для МУ в целом, важны также вопросы личной ИБ для руководителей организаций, отдельных подразделений, специалистов-медиков, прежде всего ведущих. Управление уровнем их ИБ может осуществляться за счёт усилий МУ и самих физических лиц, эффективно в этом смысле повышение ИТ-квалификации.
С позиций клиентов МУ (существующих и потенциальных) представления о доступности и качестве медобслуживания в МУ обычно формируются на основе фрагментарных сведений, часть которых может носить неполный, тенденциозный или устаревший характер. Объективными сведениями в отношении фактических уровней общей ИБ конкретных МУ чаще всего не обладают ни их пациенты, ни рядовые сотрудники-медики.
Материалы поступили в редакцию 28.08.2012 г.
Библиографический
1. Гришин С. Е. Прогноз развития информационных рисков и угроз [Текст] // Информационная безопасность регионов : научно-практический журнал. - 2011. - № 2 (9). - С. 93-96. - ISSN 1995-5731.
2. Гулиев Я. И. Медицинские информационные системы и информационная безопасность. Проблемы и решения [Электронный ресурс] / Я. И. Гулиев [и др.]. - URL: http://skif.pereslavl. ru/psi-info/psi/psi-publications/e-book-2009/ volume2/175-Guliev.Healthcare_Information.pdf (дата обращения: 28.08.2012 г.).
3. Мистров Л. Е. Методы и средства информационной безопасности организационно-технических систем [Текст] // Информационная безопасность регионов : научно-практический
список (References)
1. Grishin S. E. Prognoz razvitija informacionnyh riskov i ugroz. Informacionnaja bezopasnost' regionov. nauchno-prakticheskij zhurnal. 2011. № 2 (9). S. 93-96. ISSN 1995-5731.
2. Guliev Ja. I. Medicinskie informacionnye sistemy i informacionnaja bezopasnost'. Problemy i reshenija. URL: http://skif.pereslavl.ru/psi-info/ psi/psi-publications/e-book-2009/volume2/175-Guliev.Healthcare_Information.pdf (data obrashhenija: 28.08.2012 g.).
3. Mistrov L. E. Metody i sredstva informacionnoj bezopasnosti organizacionno-tehnicheskih sistem. Informacionnaja bezopasnost' regionov. nauchno-
журнал. - 2010. - № 1 (6). - С. 20-32. - ISSN 1995-5731.
4. Российская Федерация. Законы. О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием правового положения государственных (муниципальных) учреждений [Текст] : федеральный закон № 83-ФЗ : [принят 08.05.2010 г.] : [по сост. на 30.11.2011 г. № 361-ФЗ] // Собрание законодательства Российской Федерации. - 2011. - № 30 (ч. 1). - Ст. 4587. -ISSN 1560-0580.
5. Российская Федерация. Законы. О персональных данных [Текст] : федеральный закон №152-ФЗ : [принят 08.06.2006 г.] // Собрание законодательства Российской Федерации. - 2011.
- № 31. - Ст. 4701. - ISSN 1560-0580.
6. Российская Федерация. Законы. Об основах охраны здоровья граждан в Российской Федерации [Текст] : федеральный закон № 323-ФЗ : [принят 21.11.2011 г.] // Собрание законодательства Российской Федерации. - 2011. - № 48.
- Ст. 6724. - ISSN 1560-0580.
7. Овчинников С. А. Угрозы личности, обществу и государству при внедрении информационных технологий [Текст] / С. А. Овчинников, С. Е. Гришин // Информационная безопасность регионов : научно-практический журнал. - 2011.
- № 2 (9). - С. 26-31. - ISSN 1995-5731-
prakticheskij zhumal. 2010. № 1 (6). S. 20-32. ISSN 1995-5731.
4. Rossijskaja Federacija. Zakony. O vnesenii izmenenij v otdel'nye zakonodatel'nye akty Rossijskoj Federacii v svjazi s sovershenstvovaniem pravovogo polozhenija gosudarstvennyh (municipal'nyh) uchrezhdenij [Tekst] : federal'nyj zakon № 83-FZ : [prinjat 08.05.2010 g.] : [po sost. na 30.11.2011 g. № 361-FZ]. Sobranie zakonodatel'stva Rossijskoj Federacii. 2011. № 30 (ch. 1). St. 4587. ISSN 1560-0580.
5. Rossijskaja Federacija. Zakony.
O personal'nyh dannyh [Tekst] : federal'nyj zakon №152-FZ : [prinjat 08.06.2006 g.]. Sobranie zakonodatel'stva Rossijskoj Federacii. 2011. № 31. St. 4701. ISSN 1560-0580.
6. Rossijskaja Federacija. Zakony. Ob osnovah ohrany zdorov'ja grazhdan v Rossijskoj Federacii [Tekst] : federal'nyj zakon № 323-FZ : [prinjat 21.11.2011 g.]. Sobranie zakonodatel'stva Rossijskoj Federacii. 2011. № 48. St. 6724. ISSN 1560-0580.
7. Ovchinnikov S. A., Grishin S. E. Ugrozy lichnosti, obshhestvu i gosudarstvu pri vnedrenii informacionnyh tehnologij [Tekst]. Informacionnaja bezopasnost' regionov. nauchno-prakticheskij zhurnal. 2011. № 2 (9). S. 26-31. ISSN 1995-5731.
УДК 316.4+343.97
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КАК ОДИН ИЗ АСПЕКТОВ ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНЫМ ОТКЛОНЕНИЯМ
т (
Ш
© Демчук Сергей Дмитриевич
кандидат юридических наук, доцент, заместитель начальника по учебной и научной работе, Северо-Западный институт повышения квалификации Федеральной службы Российской Федерации по контролю за оборотом наркотиков.
В статье рассматривается взаимосвязь кризисных процессов в обществе, массовой культуры, отклоняющегося поведения, информационной безопасности.
На основе анализа сложившейся в этой сфере ситуации и её правового регулирования предложены некоторые меры, направленные на снижение остроты проблемы социальных отклонений.
Ключевые слова: общество, несовершеннолетние, массовая культура, социальные отклонения, информационная безопасность.
ак ма
ак известно, глубокий ценностно-нор-ативный кризис общества, сопровождающийся ревизией моральных и правовых норм, их конфликтами и утратой единства, приводит к дезорганизации социальных связей
и структур. Размывание и обесценивание норм, поддерживающих стабильность общества, на фоне доминирования принципа «каждый сам за себя», обусловливает снижение социальной ответственности индивида и групповых объ-