CC BY
93
■ ■■
■ ■■
F4H
гол 5, № г
И.А. КУПЕЕВА,
д.м.н., заместитель директора Департамента медицинского образования и кадровой политики в здравоохранении Министерства здравоохранения Российской Федерации, г. Москва, Россия P.A. РАВОДИН,
к.м.н., старший преподаватель Военно-медицинской академии им С.М. Кирова, г. Санкт-Петербург, Россия, rracad@mail.ru A.A. ЕФРЕМОВ,
с.н.с. научно-исследовательской лаборатории военно-научного сопровождения автоматизированных систем управления научно-исследовательского отдела медико-информационных технологий научно-исследовательского центра Военно-медицинской академии им С.М. Кирова, г. Санкт-Петербург, Россия, efrandrew@gmail.com A.A. ЕФРЕМОВА,
преподаватель кафедры общественного здоровья и экономики военного здравоохранения Военно-медицинской академии им С.М. Кирова, г. Санкт-Петербург, Россия, 1490ru@gmail.com
ТЕЛЕМЕДИЦИНСКИЕ СИСТЕМЫ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
УДК 004.056:61
Купеева И.А, Раводин Р.А., Ефремов А.А., Ефремова А.А. Телемедицинские системы и защита персональных данных (Департамент медицинского образования и кадровой политики в здравоохранении, г. Москва, Россия; Военно-медицинская академия им. С.М. Кирова, г. Санкт-Петербург, Россия) Аннотация. В статье рассматривается проблема защиты персональных данных в информационных системах. Проанализирована существующая нормативно-правовая база и возможные варианты реализации защиты персональных данных. Предложен новый подход к защите персональных данных на примере разработанной телемедицинской системы «Logoderm» в дерматовенерологии.
Ключевые слова: телемедицинские системы, защита персональных данных, дерматовенерология. UDC 004.056:61
Kupeeva I.A., Ravodin R.A., Efremov А.А, Efremova А.А. Telemedicine systems and the protection of personal
data (Department of Medical Education and Personnel Policy in Healthcare, Moscow, Russia; S.M. Kirov's Military Medical Academy, St-Petersburg, Russia)
Abstract. The article contains the information of the problem of the protection of personal data in information systems. It was carried out an analysis of the existing legal framework and possible implementation of protection of personal data. It was suggested personal version of the protection of personal data by the example of the worked out telemedicine system «Logoderm» used in dermatovenerology. Keywords: telemedicine systems, protection of personal data, dermatovenereology.
Введение
□ дним из основных направлений развития информационных технологий в современной медицинской деятельности являются разработка и внедрение телемедицинских систем (ТС). Такие системы достаточно разнообразны как по своему функционалу и охватываемым задачам, так и по уровню технической реализации. При этом данные ТС объединяет общая проблема защиты персональных данных пациентов, которую ставят перед ними современные реалии и действующая нормативно-
>
И.А. Купеева, P.A. Раводин, A.A. Ефремов, A.A. Ефремова, 2015 г.
и информационные
технологии
>
правовая база. Так, зачастую, реализация требований по защите персональных данных (ПДн) требует от оператора системы значительных ресурсных затрат, что ставит под сомнение целесообразность их внедрения в деятельность медицинских учреждений.
Цель исследования
Определить подходы к оптимизации затрат на защиту персональных данных в телемедицинских информационных системах.
Материалы и методы
Использованы методы литературно-правового анализа. Проанализированы нормативно-правовые акты, руководящие и методические документы, регулирующие вопросы защиты персональных данных в телемедицинских системах, а также подходы к их реализации.
Результаты и их обсуждение
Оптимизация затрат на защиту персональных данных в телемедицинских информационных системах требует предварительного и тщательного анализа действующего законодательства и сложившейся практики его применения.
Основным документом, регулирующим правоотношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, является Закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [1].
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в инфор-
мационных системах персональных данных» (Постановление) вводит понятие «уровни защищенности персональных данных» (УЗ), которое является ключевым для организации защиты персональных данных [2]. Верное определение уровня защищенности ПДн позволяет определить состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в телемедицинских системах, избежать возможных проблем с контролирующими органами, вызванными нарушениями действующей нормативно-правовой базы, и необоснованного расходования материальных средств. Вопросы возможных негативных последствий для субъекта персональных данных вследствие их утечки авторы в настоящем исследовании не рассматривают.
Характер зависимости УЗ от категории ПДн, субъектов ПДн и типа актуальных для информационных систем (ИС) угроз представлен в таблице 1 [5].
O.A. Фохт и A.A. Цветков справедливо замечают, что Постановление не регламентирует порядок определения актуальности перечисленных угроз для конкретной информационной системы обработки ПДн («определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами»). Определить тип актуальных угроз — задача оператора обработки ПДн [5].
Исходя из этого, становится очевидным, что для телемедицинской системы, обрабатывающей специальные и биометрические персональные данные при количестве субъектов менее 100 тысяч, уровень защищенности находится в прямой зависимости от определенного оператором типа актуальных угроз. Так, если затраты времени и средств на приведение информационных систем и персональных данных в соответствие с предъявляемыми требованиями окажутся слишком
■ ■■ ■ ■■
РЧН
гол 5, № г
Таблица 1
Определение уровня защищенности для ИС, обрабатывающих ПДн
Категории ПДн\ Специальные
Собственные работники
Нет Нет
Количество субъектов
Тип
актуальных угроз
Более Менее 100 100 тыс тыс.
1-й УЗ
1-й УЗ
2-й УЗ
метрические
Иные Общедоступные |
Нет Нет Да Нет Нет Да
Более Менее Более Менее
100 100 100 100
тыс тыс. тыс тыс.
1-й УЗ
2-й УЗ
3-й УЗ
2-й УЗ 2-й УЗ
3-й УЗ 3-й УЗ
4-й УЗ 4-й УЗ
высокими, то оператору следует оценить возможность понижения класса типа актуальных угроз, руководствуясь принципом оценки затрат на организацию защиты данных в сравнении с возможным ущербом от их разглашения. Для этого необходимо четко понимать тип и характер информации, обрабатываемой в системе, а также суть процессов ее обработки.
Действующая нормативно-правовая база различает следующие категории ПДн, обрабатываемых с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств:
• специальные категории ПДн — ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• биометрические категории ПДн — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта ПДн;
• общедоступные категории ПДн — фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн и включенные с письменного согласия
субъекта ПДн в общедоступные источники ПДн;
• иные категории ПДн [1].
При оценке возможных затрат на защиту ПДн в информационных системах необходимо ориентироваться на наиболее требовательные, с точки зрения законодательства, к своей защите категории ПДн. Так, для телемедицинских систем наиболее актуальными являются специальные и биометрические категории ПДн.
Разъяснения, подготовленные по результатам совместного обсуждения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с представителями экспертного сообщества по вопросам отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностям их обработки указывают на то, что рентгеновские или флюорографические снимки и другая информация (анализы), характеризующая физиологические и биологические особенности человека и находящаяся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), не являются биометрическим персональными данными, поскольку не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной
и информационные
технологии
>
деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения автоматически становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица [9].
Рассмотрим подробнее существующие подходы к обеспечению безопасности ПДн.
Как видно из анализа Приказа ФСТЭК России №21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Приказ), в состав и содержание мер по обеспечению безопасности ПДн, используемых для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн, входят [3]:
• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и ПДн;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности ПДн, и реагирование на них;
• управление конфигурацией информационной системы и системы защиты ПДн [3].
Необходимо отметить, что состав и содержание данных мер нарастают с увеличением УЗ. При этом стоимость их воплощения зачастую может ставить под сомнение экономическую целесообразность существования самой системы обработки ПДн.
Существенным моментом, открывающим некую свободу действий, является допущение Приказом возможности разработки иных (компенсирующих) мер, направленных на нейтрализацию актуальных угроз безопасности ПДн при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер.
В этом случае в ходе разработки системы защиты ПДн Приказ требует проведения обоснования применения компенсирующих мер для обеспечения безопасности ПДн.
Еще одним подходом к обеспечению безопасности ПДн является их обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн [1].
Исходя из определения, процедура обезличивания требует изначального наличия ПДн, которые будут ей подвергнуты.
Принимая во внимание вышеизложенное, рассмотрим подходы, применяемые для снижения ресурсных затрат по организации защиты ПДн на примере современной телемедицинской системы «1_одос1епт1». Система «1_одос1егт» разработана для дистанционного обучения врачей-дерматовенерологов, а также для про-
■ ■■ ■ ■■
РЧН
X,
X,
гол 5, № г
ведения телемедицинских консультаций пациентов дерматовенерологического профиля. Телемедицинская система «1_одоСепт» содержит ряд связанных между собой информационных модулей, обеспечивающих врачей и пациентов информацией о дерматовенерологических заболеваниях, клиниках, лабораториях и фармпрепаратах. Для осуществления телемедицинских консультаций имеется модуль «консультация», где пользователю предлагается заполнить разделы, описывающие пациента и соответствующие основным подразделам истории болезни дерматовенерологического больного. Наименования разделов соответствуют 20 классам онтологии, разработанной нами ранее, при этом часть из этих разделов носит обязательный характер для заполнения, а часть — необязательный (однако их включение способствует повышению точности диагностики) [8]. После внесения информации в поля модуля «консультация» и нажатия кнопки «диагноз» система выдает перечень из десяти наиболее вероятных диагнозов с указанием вероятности каждого из них. Кроме этого, основываясь на выбранных пользователем симптомах, система формирует формализованное описание дерматологического больного, которое,
сопроводив фотографиями, словесным описанием и результатами выполненных ранее анализов, пациент отправляет электронным письмом выбранному эксперту-дерматовенерологу. Эксперт вместе с описанием пациента, его фотографиями, результатами анализов получает также результаты ранее проведенной диагностики, что значительно упрощает процесс постановки диагноза. Необходимо отметить, что в системе «1_одоСепт» при осуществлении телемедицинской консультации врачом-экспертом используется в основном только та информация, которая относится к клинической симптоматике и без которой невозможна постановка достоверного диагноза (характер высыпаний на коже, тип сыпи на слизистых, изменения волос и ногтей, особенности расположения высыпаний, взаимное расположение элементов сыпи, локализация поражения и др.), а не информация, составляющая ПДн пациента.
Предлагаемый нами подход по защите персональных данных пользователей телемедицинских систем заключается в следующем (рисунок 1).
При обращении к модулю «консультация» пользователю присваивается уникальный идентификатор, сгенерированный случайным
>
и информационные
технологии
образом. Данный идентификатор заменяет собой данные, не представляющие диагностического интереса для врача-эксперта: фамилия, имя, отчество, расовая принадлежность, домашний адрес, телефон. Таким образом, телемедицинская система «Logo-derm» не хранит информацию, позволяющую однозначно идентифицировать субъект ПДн. Данный идентификатор привязывается к адресу электронной почты, который также не позволяет идентифицировать субъект ПДн, так как не требует документов, удостоверяющих личность при регистрации. Таким образом реализуется система двухступенчатой идентификации пользователя, позволяющая избежать сохранения информации в базе данных «Logoderm», относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Более того, система «Logoderm» не используется оператором для установления личности субъекта, обратившегося за консультацией. Установление же личности субъекта ПДн по имеющейся в наличии информации в корыстных целях или при передаче в органы следствия и дознания не представляется возможным в силу ее неоднозначности. Стоит
обратить внимание на то, что подобный подход не является обезличиванием ПДн, поскольку алгоритмы обезличивания четко прописаны в [6, 7] и изначально предполагают наличие информации, по которой можно однозначно идентифицировать субъект ПДн.
Заключение
Проведенный сравнительный анализ показал, что существующие подходы к обеспечению безопасности ПДн достаточно универсальны, но не учитывают специфику отдельных видов информационных систем — телемедицинских систем для дистанционного обучения врачей и проведения телемедицинских консультаций пациентов. Затраты, связанные с реализацией таких способов по защите ПДн, могут ставить под сомнение экономическую целесообразность существования самих телемедицинских систем. Ввиду этого представляется целесообразным применять разработанный нами подход к защите ПДн, реализованный в ТС «1_одос1ег1Т1», который является наиболее надежным, не ограничивает функционирование самой системы и не требует привлечения дополнительных материальных ресурсов.
ЛИТЕРАТУРА
1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных дан-ных»//Российская газета, Федеральный выпуск №4131 от 29 июля 2006 г.
2. Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3. Приказ ФСТЭК России №21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4. RISSPA. Материалы вебинара — обсуждения приказа ФСТЭК по защите персональных данных // http://www.risspa.ru/masterclass/new-fstek-order (дата обращения: 20.12.2014).
5. Фохт O.A., Цветков A.A. Защита персональных данных. Новое в законодательстве: тенденции, вопросы практического применения в медицинских информационных системах//Врач и информационные технологии. — 2013. — №5. — С. 44-51.
гол 5, № г
6. Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»).
7. Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013).
8. Раводин P.A. Создание онтологии при проектировании систем интеллектуальной поддержки врачебных решений в дерматовенерологии//Проблемы медицинской микологии. — 2013. — Т. 15. — № 1. — С. 3-7.
9. Разъяснения, подготовленные по результатам совместного обсуждения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с представителями экспертного сообщества: A.B. Лукацким, М.Ю. Емель-янниковым, А.Н.Волковым, A.B. Токаренко http://rkn.gov.ru/docs/Raz6iasneniia_RKN_ po_biometrii_okonchatel6naia_versiia.doc.
1/1Т-новости
-/-
IBM ЗАПУСТИЛА WATSONHEALTHCLOUD
Корпорация IBM объявила о запуске WatsonHealthCloud — безопасной и открытой облачной платформы, предназначенной для врачей, исследователей, страховых агентов и различных компаний, которые специализируются на решениях в области здравоохранения. Основной целью является улучшение качества предоставляемых услуг в этой сфере. Платформа WatsonHealthCloud полностью соответствует закону США об ответственности и переносе данных о страховании здоровья граждан и обеспечит безопасный доступ к персонализированным аналитическим выводам и более полной картине факторов, которые могут повлиять на здоровье людей.
В рамках расширения когнитивной вычислительной компьютерной платформы Watson: IBM заключает новые партнерские соглашения с ведущими компаниями, среди которых Apple, Johnson&Johnson и Medtronic, чтобы совместными усилиями добиться наивысшей эффективности в вопросах сбора, анализа данных и обратной связи при использовании пользовательских и профессиональных медицинских приборов; IBM приобретает Explorys и Phytel для развития аналитических технологий в сфере здравоохранения; IBM создает специализированное бизнес-подразделение IBM WatsonHealth со штаб-квартирой в районе Бостона, штат Массачусетс.
Подробнее:
http://www.pcweek.ru/its/news-company/detail.php?ID=173738
