CC BY
114
“■ и информационные
технологии
Медицинские информационные системы
ЗАКОН № 152-ШЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»: ОПЫТ ПРОИЗВОДИТЕЛЯ МИС
УДК 61:34
Игнатущенко И.В. Закон № 152-ФЗ «О персональных данных»: опыт производителя МИС («Пост Модерн Текнолоджи», г. Москва)
Аннотация: Представлен опыт взаимодейтвия производителя медицинской информационной системы с клиентами (ЛПУ) в свете приведения ЛПУ к требованиям Федерального закона №152 «О персональных данных». В статье проведен краткий анализ основных требований Закона, даны рекомендации для руководителей ЛПУ, освещена роль поставщика МИС в помощи клиенту в этом вопросе.
Ключевые слова: Федеральный закон «О персональных данных», защита персональных данных, медицинская информационная система, роль поставщика решения.
UDC 61:34
ignatuschenko i. The federal law № 152 «On personal data»: the vendor experience (Post Modern Technology, Ltd.) Abstract: The experience of collaboration between the MIS vendor and its clients in the course of complying with the Federal law № 152 «On personal data» requirements presented. The article contains the analysis of the main law demands, the recommendations for managers are given and the role of a vendor in helping its clients in this project is explained.
Keywords: Federal law «On personal data», personal data protection, medical information system, role of a vendor.
ВВЕДЕНИЕ
акон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и сопутствующие ему документы уже давно стали одной из основных тем для обсуждения в ИТ-подразделениях лечебнопрофилактических учреждений (ЛПУ), а с приближением «часа икс» — 1 января 2011 года, когда его требования вступят в силу в полном объеме, этот вопрос и вовсе становится основным. Согласно Порядку проведения классификации информационных систем персональных данных (так называемый «Приказ трех») [1], обрабатываемые в ЛПУ персональные данные (ПДн) относятся к самому «суровому» классу — «К1» [2], так как касаются состояния здоровья субъекта (пациента). Это накладывает самые серьезные требования на системы их защиты.
Несмотря на обилие информации, поступающей из разных источников, мы по собственному опыту видим, что многим нашим клиентам разобраться в ней непросто. На производителей медицинских информационных
систем (МИС) возлагаются большие надежды, и, хотя само программное обеспечение (ПО) МИС и данные, которые они обрабатывают, являются такими же «подзащитными», вендорам и интеграторам стоит сильно задуматься о помощи своим клиентам — это как вопрос репутации, так и очевидная необходимость помочь ЛПУ, от которых они зависят материально, избежать проблем с Законом.
Как известно, Федеральным законом № 363-ФЗ от 27.12.2009 [3] в Закон «О персональных данных» внесены изменения, определяющие срок приведения информационных систем в соответствие с его требованиями — 1 января 2011 года. Производители и интеграторы МИС уже с начала 2010 года, а то и раньше все чаще слышат вопросы от своих клиентов о готовности к этому событию. Вопрос, с одной стороны, очевиден, а с другой, показывает, что ЛПУ сами нуждаются в консультативной и практической помощи, поскольку постановка вопроса сама по себе некорректна. Почему?
© И.В. Игнатущенко, 2010 г.
22
Медицинские информационные системы
www.idmz.ru
гол □, № Б
■■■■
гш
КРАТКОЕ РЕЗЮМЕ ЗАКОНА
Закон «О персональных данных» и сопутствующие ему постановления накладывают на оператора персональных данных (в данном случае — ЛПУ) обязательства по приведению инфраструктуры и бизнес-процессов учреждения к состоянию, при котором будет обеспечена конфиденциальность персональных данных, а также обеспечены соответствующие права субъекта (в данном случае — пациента).
Для этого ЛПУ необходимо принять различные меры, среди которых можно выделить:
• организационные меры: классификация информационных систем, издание приказов, создание рабочих групп, контроль за исполнением регламентов, выпуск должностных инструкций и пр.;
• технические меры: внутренняя проверка информационных систем, приведение средств защиты информации к требованиям Закона;
• физические меры: установка средств физической защиты помещений, постов охраны, защита носителей информации и пр.;
• правовые меры: регистрация учреждения как Оператора ПДн, обеспечение прав пациента и пр.
Вместе с тем надо отметить, что Приказ ФСТЭК России от 05.02.2010 №58 [4] несколько ослабил требования ранее выпущенных методических документов ФСТЭК [5]. В частности, отменены обязательные требования по получению лицензии на техническую защиту информации и аттестации системы на соответствие требованиям безопасности информации. Но при этом замена «аттестации» на «самодекларацию» вовсе не отменяет возможность проверок (план проверок публикуется на сайте Россвязьнадзора, однако, по имеющейся информации, до трети проверок оказываются «внеплановыми»).
Давайте определимся с терминологией: инфомационной системой персональных данных (ИСПДн) в терминологии Закона является «совокупность персональных данных (ПДн),
содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств». Таким образом, важно разделять прикладное ПО, занимающееся обработкой ПДн (например, МИС МЕДИАЛОГ), и целиком аппаратно-программный комплекс — «контур», в котором обрабатываются ПДн (то есть ИСПДн). Прикладное ПО МИС в этом смысле является лишь частью ИСПДн.
Важно понять, что Закон не требует сертификации прикладного ПО в МИС. Суть Закона — в организационной, технической, физической и правовой защите всего «контура», в котором обрабатываются персональные данные, то есть всей ИСПДн, в которой должны использоваться сертифицированные средства защиты информации, в данном случае — персональных данных (СЗПДн). Таким образом, вопрос защиты персональных данных в ЛПУ необходимо решать комплексно.
В дополнение к вышесказанному стоит отметить, что для любого ЛПУ объекты защиты не ограничиваются одной лишь «медицинской» ИСПДн. Персональные данные обрабатываются и в бухгалтерии, и в отделе кадров, и в юридическом отделе (в терминологии Закона это разные ИСПДн, так как цели обработки данных разные). «По умолчанию» можно считать, что эти персональные данные (они, согласно «Приказу трех», относятся ко второй категории) обрабатываются в ИСПДн класса К3, то есть нарушение безопасности (конфиденциальности) оных может привести лишь к «незначительным» негативным последствиям для субъекта персональных данных — работника медицинского учреждения. Однако и здесь нужно быть внимательными: если в бухгалтерию попадают документы, содержащие персональную информацию о пациенте и данные о состоянии его здоровья (например, о характере платного лечения), тут уже никуда не деться от пресловутого «первого класса» К1.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 23 ■
гш
Медицинские информационные системы
и информационные
технологии
flf
Конечно, МИС могут содержать в себе компоненты СЗПДн, и их могут сертифицировать ФСТЭК и ФСБ. Но, во-первых, как было сказано выше, персональные данные в ЛПУ обрабатываются не в одной лишь МИС, а во-вторых, МИС по определению довольно «живая» система, и все ее обновления придется сертифицировать заново. Поэтому в защите персональных данных целесообразно следовать принципу «разделяй и властвуй»: выделить «статическую» часть, которая будет претерпевать лишь незначительные четко контролируемые изменения, главным образом масштабирование — это сертифицированная СЗПДН. Она будет защищать «динамическую» часть — обновляемое прикладное ПО.
Еще один важнейший аспект — это бумажный документооборот. Вся юридически значимая информация сегодня исключительно на бумаге. При этом требования нормативноправовых актов о конфиденциальности сведений о состоянии здоровья, в частности, статьи 61 «Основ законодательства Российской Федерации об охране здоровья граждан» [6], в которой дано определение врачебной тайны, распространяются как на организацию бумажного документооборота, так и обеспечение защиты информации от несанкционированного доступа в МИС. Этот вопрос незаслуженно уходит в тень, затмеваемый вопросом защиты только ПДн в электронном виде, в ИС. Но бумажные носители точно также нуждаются в защите. Суммируя вышесказанное, мало установить ПО для защиты обрабатываемых в электронном виде данных, если дверь в серверную не запирается, а бумажные медицинские карты пациентов лежат стопочкой в коридоре на посту медсестры.
ЧТО ДЕЛАТЬ?
Конечно, вышеперечисленное — это лишь вершина айсберга. Для каждого конкретного ЛПУ на процесс приведения инфраструктуры к требованиям Закона может повлиять мно-
жество нюансов. Обрабатываются персональные данные одним или несколькими юридическими лицами (в частности, во внешней лаборатории)? Имеет ли доступ к персональным данным третья сторона (например, при ИТ-аутсорсинге)? Как защищены каналы передачи данных для филиальной сети? На эти и другие вопросы придется отвечать в каждом конкретном случае, но общая схема едина для всех:
1. Провести обследование ИС, определить все ИСПДн в ЛПУ на основе информации об операторе (или операторах), категории субъектов ПДн, целей обработки, состава и категории ПДн;
2. Для каждой ИСПДн и для объекта в целом оформить акт классификации (присвоить класс);
3. Зарегистрироваться в качестве оператора ПДн, направив уведомление в Роском-надзор, указав наивысший класс ИСПДн [7];
4. Разработать и утвердить частную модель угроз безопасности конфиденциальной информации;
5. На основе этой модели угроз разработать проект создания системы обеспечения безопасности информации;
6. Разработать комплексный план создания системы защиты информации;
7. Организовать получение, учет и хранение письменного согласия пациента на обработку его персональных данных;
8. Организовать информирование пациентов по их запросам о способах и сроках обработки их ПДн, лицах, имеющих к ним доступ, обработке ПДн, полученных от третьих лиц;
9. Издать необходимые организационнораспорядительные документы (о назначении ответственных за информационную безопасность, допуске персонала к конфиденциальным данным, об утверждении регламента обработки конфиденциальной информации и т.д.);
10. Создать систему обеспечения безопасности ПДн и поддерживать ее в надлежащем состоянии.
24
Медицинские информационные системы
www.idmz.ru
гол □, № Б
■■■■
гш
Минимальный набор СЗПДн обычно состоит из сертифицированных межсетевого экрана и комплексной системы защиты информации на рабочих местах и серверах, хотя в зависимости от структуры медучреждения и «модели угроз» могут быть рекомендованы дополнительные средства защиты, такие как средства шифрования для передачи данных по открытым каналам, сетевые сканеры, антивирусы и пр. Административная и процедурная части проекта вполне стандартны. Но какие бы СЗПДн не были выбраны, как бы не был организован проект по обеспечению требований Закона, руководство ЛПУ должно четко понимать: весь этот процесс должен быть абсолютно прозрачен, ведь отчитываться перед контролирующими органами придется самостоятельно, даже если для решения этих задач будут привлечены сторонние фирмы. Предстоит серьезная административная работа: необходимо выпустить немалое количество внутренних докуметов, четко зафиксировать роли персонала и т.п. Все бизнес-процессы, которые будут внедрены в рамках обеспечения требований Закона, вся документация должны будут поддерживаться именно самим ЛПУ.
Конечно, мы живем в реальном мире, и далеко не всем доступны все необходимые ресурсы для решения поставленной задачи. Мы в «Пост Модерн Текнолоджи» ощутили это на себе: количество обращений за консультативной помощью начало зашкаливать по мере приближения «часа икс». Поэтому мы разработали комплекс мер для поддержки наших клиентов в этой непростой ситуации.
ЧЕМ МОЖЕТ ПОМОЧЬ ВЕНДОР?
Проблемы, стоящие перед ЛПУ в связи с реализацией требований Закона, на самом деле находятся на стыке организационноюридической и ИТ-областей. ИТ-отделы большинства наших клиентов загружены на 100% обеспечением бесперебойной работы такой сложной «машины», как ЛПУ, а потому у них
физически не хватает времени на самостоятельное получение соответствующих компетенций, а в небольших ЛПУ, где ИТ-отдел исчисляется одним—двумя специалистами, проблема стоит особенно остро. В этой связи вендор (или интегратор) МИС, обладающий соответствующей компетенцией, может организовать централизованную помощь клиентам, тем самым укрепив партнерские отношения и собственную репутацию, а главное — минимизировав затраты ЛПУ на решение этой сложной задачи. У нас не было сомнений, что мы именно так и должны поступить.
Итак, в рамках стандартного сопровождения МИС МЕДИАЛОГ мы предложили нашим клиентам следующие бесплатные услуги:
• семинары по защите персональных данных, проводимые под руководством ведущих экспертов по вопросам защиты персональных данных в медицинских учреждениях;
• веб-конференцию по защите персональных данных на сайте компании;
• создание частных методических рекомендаций (комментариев к Закону) по приведению ЛПУ к требованиям Закона с учетом нашего опыта и специфики клиентов;
• обновление этих рекомендаций в свете постоянно принимаемых приказов и пояснений к Закону;
• реализацию с помощью МИС МЕДИАЛОГ требований по предоставлению пациенту информации о персональных данных и перечне лиц, их обрабатывающих;
• реализацию с помощью МИС МЕДИАЛОГ оформления письменного согласия пациента на обработку персональных данных, хранение копии этого согласия в базе МИС МЕДИАЛОГ;
• доработки МИС МЕДИАЛОГ, касающиеся иных требований Закона, таких как учет выводимой на печать медицинской информации;
• рекомендации по сертифицированным продуктам и обеспечение взаимодействия с нашими партнерами, зарекомендовавшими
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 25 ■
“■ и информационные
технологии
Медицинские информационные системы
себя лицензированными ФСТЭК и ФСБ поставщиками и интеграторами СЗПДн.
Мы рассчитывали, что данные меры будут востребованы, но были приятно удивлены, насколько. На первую конференцию по защите персональных данных, организованную нами совместно с НИИ неотложной детской хирургии и травматологии в Москве, съехались наши клиенты со всей России. Вебконференция уже стала материалом для публикаций в журнале «Врач и информационные технологии». Наши партнеры, сертифицированные интеграторы СЗПДн, оказывают квалифицированную помощь нашим клиентам. Новая версия МИС МЕДИАЛОГ с перечисленными доработками внедряется все в большем количестве ЛПУ.
ЗАКЛЮЧЕНИЕ
Требования Закона при должном уровне консультативной поддержки вполне могут быть уяснены без специальной подготовки, а сам процесс приведения ЛПУ к этим требова-
ниям при четком понимании задачи становится хорошо сформулированным проектом, затраты на управление которым минимальны. Суммарные трудозатраты персонала, прежде всего ИТ-подразделений ЛПУ, конечно, остаются серьезными, но стоит четко понимать и плюсы: инвентаризация ИТ-инфраструктуры, оптимизация и документация бизнес-процессов внутри ЛПУ и в конце концов имиджевая составляющая: пациенту как минимум приятно осознавать, что его персональные данные находятся под надежной защитой.
Специфика рынка медицинских информационных систем такова, что производители (интеграторы) МИС и ЛПУ — это партнеры, стремящиеся установить взаимоотношения всерьез и надолго, в идеале это «пожизненный» проект. Получить четкое понимание поставленной задачи — уже полдела. Если производители и интеграторы ПО обладают соответствующей компетенцией и помогают в этом, а также облегчают само решение этой задачи, в этом и есть суть партнерства.
ССЫЛКИ
1. Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности Российской Федерации, Министерство информационных технологий и связи Российской Федерации. Приказ от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
2. Определение из «Приказа трех»: «Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни».
3. Федеральный закон Российской Федерации от 27.12.2009 № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных».
4. Приказ ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
5. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК РФ 15 февраля 2008 г.)
6. Федеральный закон от 22.07.1993 № 5487-1 «Основы законодательства Российской Федерации об охране здоровья граждан».
7. Приказы Россвязькомнадзора №08 от 17.07.2008, № 42 от 18.02.2009, № 482 от 16.07.2010.
26
