CC BY
96
Персональные данные
www.idmz.ru
2D1 1,N"3
■■■■
рчва
А.П. СТОЛБОВ,
д.т.н., заместитель директора Медицинского информационно-аналитического центра РАМН, профессор кафедры организации здравоохранения, медицинской статистики и информатики факультета управления и экономики здравоохранения Первого московского государственного медицинского университета им. И.М. Сеченова, г. Москва, AP100Lbov@mail.ru
О ВОЗМОЖНОСТИ СНИЖЕНИЯ ЗАТРАТ НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКИХ ОРГАНИЗАЦИЯХ
УДК 6J4.2
Столбов А.П. О возможности снижения затрат на защиту персональных данных в медицинских организациях (Первый московский государственный медицинский университет им. И.М. Сеченова, г. Москва) Аннотация: Рассмотрены основные способы и методы снижения расходов на защиту персональных данных в медицинских организациях. Даны определения основных понятий и терминов. Приведены ссылки на основные нормативные и методические документы и стандарты.
Ключевые слова: защита персональных данных, здравоохранение.
UDC 6J4.2
Stolbov A.P. About possibility of decrease in expenses for protection of the personal data in medical organisations (First MGMU named after Setchenov, Moscow)
Abstract: The basic ways and methods of decrease in expenses on protection of the personal data in the medical organisations are considered. Definitions of the basic concepts and terms are given. References to the basic standard both methodical documents and standards are given.
Keywords: personal data protection, public health services.
Организация обработки и защиты персональных данных (ПДн) работников и пациентов, сохранение врачебной тайны — одна из важнейших задач, которую приходится решать в медицинских учреждениях (организациях). Напомним, что персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (статья 3 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ)1.
Обеспечение конфиденциальности информации при использовании компьютеров для ведения медицинской документации, под-
1 Более правильным и удобным было бы называть персональными данными только сведения, которые в совокупности могут использоваться для идентификации конкретного человека (персоны): Ф.И.О., дата рождения, адрес, реквизиты паспорта, № полиса ОМС, фото, место работы, должность и т.д., а все иные документированные сведения о человеке, в том числе о состоянии здоровья, оказанной медпомощи и т.п., если они указываются вместе с перечисленными данными, позволяющими определить их принадлежность конкретному лицу, называть персонифицированными.
© А.П. Столбов, 2011 г.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 39 ■
W4MM
1 и информационные
технологии
Персональные данные
готовки и печати реестров для оплаты по ОМС, ведения кадрового и налогового учета и т.д., особенно в том случае, когда осуществляется смешанная обработка данных — с использованием бумажных и электронных документов — требует значительных затрат. Для выполнения всех законодательно установленных требований к защите конфиденциальной информации при ее автоматизированной обработке в медицинском учреждении должна быть создана комплексная система обеспечения информационной безопасности2. Рассмотрим, каким образом можно оптимизировать ее состав и структуру, чтобы сократить расходы на защиту информации.
Выделение подсистем обработки персональных данных
Для определения необходимого и достаточного перечня мер и способов защиты различных категорий информации в составе информационной системы (ИС) учреждения выделяются (под)системы обработки персональных данных (ИС ПДн) и проводится их классификация [9]. Каждому классу ИС ПДн в [12] сопоставлен определенный набор требований к безопасности ПДн, в соответствии с которым определяется состав мер и осуществляется выбор средств защиты информации (СЗИ)3. Типизация комплекса мер и состава СЗИ на основе класса ИС ПДн позволяет унифицировать набор применяемых специальных программных и технических средств и сократить затраты на проектирование системы защиты и проведение испытаний по оцен-
ке соответствия ИС заданным требованиям к безопасности информации.
Основными критериями выделения в составе ИС медицинского учреждения отдельных ИС ПДн являются: а) цель обработки ПДн (назначение ИС ПДн) и б) категория обрабатываемых ПДн — данные о состоянии здоровья пациентов относятся к наивысшей 1-й категории, данные кадрового, налогового и пенсионного учета работников учреждения — ко 2-й категории. В зависимости от характеристик безопасности ПДн системы подразделяются на типовые и специальные. В типовых ИС ПДн требуется обеспечение только конфиденциальности данных4, в специальных — дополнительно требуется обеспечить еще защищенность данных от несанкционированного: а) уничтожения и изменения (целостность данных) и(или) б) блокирования — невозможности обрабатывать, использовать данные. Как указано в [9], системы, в которых обрабатываются данные о состоянии здоровья, относятся к специальным системам ПДн. Для специальных ИС ПДн должна быть разработана (частная) модель угроз безопасности персональных данных с использованием методических документов ФСТЭК и ФСБ [10, 11, 12, 13, 14] и проведена оценка актуальности угроз, по результатам которой требования по защите ПДн от различных угроз могут быть скорректированы по сравнению с типовыми. Разработку модели угроз для медицинских ИС целесообразно осуществлять на основе модели типовой системы, разработанной Мин-здравсоцразвития России [24] (см. далее). Для
2 Система защиты информации — это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации [17].
3 В соответствии с пунктом 5 Положения [4] в ИС ПДн должны применяться СЗИ, сертифицированные Федеральной службой по техническому и экспортному контролю (ФСТЭК) и(или) Федеральной службой безопасности (ФСБ) для применения в ИС ПДн соответствующего класса. Перечни сертифицированных СЗИ публикуются на их официальных сайтах — www.fstec.ru и www.fsb.ru. Отметим, что срок действия сертификата — 3 года, что необходимо учитывать при выборе и закупке СЗИ.
4 Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания [статья 3 Федерального закона «О персональных данных»].
40 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
типовых ИС ПДн построение модели угроз безопасности информации необязательно.
В общем случае в составе ИС медицинского учреждения можно выделить две основные группы ИС ПДн, цели обработки данных в которых различны. Это ИС персональных данных:
1) о сотрудниках учреждения — подсистемы «Кадры» и «Зарплата» — типовые ИС ПДн класса КЗ (их можно объединить в одну ИС ПДн, поскольку состав субъектов и категория ПДн совпадают и цели их обработки совместимы);
2) о пациентах учреждения — медицинская ИС, в которой обрабатываются данные о состоянии здоровья и оказанной медицинской помощи, составляющие врачебную тайну (ИС «Пациенты») — специальная ИС ПДн класса К1 (это наивысший, самый «защищаемый» класс).
По структуре информационные системы ПДн подразделяются на:
а) автономные, если они не подключены к другим ИС (отдельный компьютер без подключения к локальной вычислительной сети (ЛВС) учреждения);
б) локальные, если в них не используются технологии удаленного доступа (ЛВС);
в) распределенные, если взаимодействие в ИС ПДн осуществляется по каналам связи, выходящим за пределы контролируемой (охраняемой) зоны, или используются беспроводные технологии, например, WiFi5.
В локальных системах ИС ПДн разного класса должны быть разделены межсетевым экраном (МЭ) (см. п. 2.11 в [12]). Подключение ИС ПДн к сетям общего пользования (Интернет) также должно осуществляться через МЭ. В соответствии с Положением [12] подключение ИС ПДн класса К1 к сетям
www.idmz.ru 2D1 1,14=3
■■■■
РЧВВ
( ИС,(КЗ))
-У-
( ИС, (К1))
пг
МЭ,
т
МЭ2
I
[ ис, (КЗ) J
^^Интернет^^
Рис. 1. Применение межсетевых экранов в локальной сети
общего пользования должно осуществляться с использованием МЭ, сертифицированных по 3-му классу защищенности6.
Для реализации распределенных ИС ПДн и(или) обеспечения возможности беспроводного доступа в локальных системах необходимо организовать защищенную виртуальную сеть (Virtual Private Network), которая должна быть построена с использованием сертифицированных ФСТЭК и ФСБ средств защиты информации7.
На всех компьютерах пользователей и серверах, входящих в состав ИС ПДн, должны быть установлены СЗИ, реализующие функции управления доступом, регистрации и учета, обеспечения целостности и др., сертифицированные для соответствующего класса ИС ПДн [12]. При использовании внешних носителей информации, а также при подключении к сетям общего пользования (Интернет)
5 Wireless Fidelity («беспроводная точность») — торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11.
6 Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации (Гостехкомиссия РФ, 25.07.1997).
7 Обмен электронными документами в Минздравсоцразвития России, Фонде социального страхования, Федеральном фонде ОМС и Пенсионном фонде осуществляется по единой защищенной корпоративной сети передачи данных (VPN), реализованной с использованием программных продуктов ViPNet, сертифицированных ФСТЭК и ФСБ (см. на сайте www.crt.rosminzdrav.ru/vipnet.doc).
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■ ■ ■■■ ■ !5 ■■ ■ ■ ■■■ ■■ ■■ ■ ■ ■ ■■■ ■■ ■ ■ ■ ■ ■ ■ ■■ ■■ ■ ■
W4MM
1 и информационные
технологии
Персональные данные
должны применяться антивирусные средства. Заметим, что средняя стоимость установки и годовой поддержки комплекта сертифицированных «для К1» СЗИ для одного компьютера примерно в 7-10 раз ниже стоимости программного МЭ (подчеркнем, что это условные, ориентировочные цифры).
Таким образом, для сокращения затрат на закупку, установку и обслуживание сертифицированных средств защиты информации можно рекомендовать следующее:
1. По возможности разделить ЛВС на отдельные, не связанные сегменты локальной сети, объединяющие компьютеры пользователей и серверы, относящиеся к ИС ПДн одного класса (К1 или КЗ) — обособить сегменты ИС ПДн разного класса так, чтобы не надо было ставить между ними МЭ (рис. 1).
2. В случае, если компьютер используется в составе разных ИС ПДн, например, у главного врача, имеющего доступ и к ИС «Пациенты» (класс К1), и к ИС «Кадры» (класс КЗ), в системе управления доступом на этом компьютере надо завести две отдельные учетные записи — для доступа к каждой из указанных ИС ПДн; наверное, это не очень удобно для пользователя; однако в этом случае работа с каждой из этих ИС ПДн осуществляется в отдельной, изолированной доверенной среде, поэтому МЭ можно не ставить, если комплект СЗИ сертифицирован «для К1».
3. В случае большого количества компьютеров в составе ИС целесообразно приобрести и установить сервер безопасности (СБ), предназначенный для централизованного управления всеми СЗИ с рабочего места администратора (как правило, комплект СЗИ для компьютера и СБ — это единая линейка продуктов одного разработчика). В среднем СБ стоит примерно столько же, сколько комплекты СЗИ для 5 компьютеров пользователей (это также ориентировочные цифры). По нашим оценкам, при количестве компьютеров
в ИС более десяти это позволяет заметно сократить трудозатраты на администрирование СЗИ в системе.
Если компьютеры, входящие в ИС ПДн, подключены к защищенной внешней сети (VPN), например, реализованной на технологиях ViPNet (см. выше), то в определенных случаях в качестве МЭ можно использовать компонент Coordinator, через который ИС (ЛВС) подключается к внешней сети8.
Иными словами, при соответствующей конфигурации ЛВС и ее разделении на отдельные обособленные сегменты для ИС ПДн одного класса можно сократить общее количество межсетевых экранов — одних из наиболее дорогостоящих средств защиты информации.
Очевидно, что снижению затрат на администрирование системы защиты информации способствует также унификация СЗИ, используемых в организации. Представляется целесообразным разработать стандартный (типовой) комплект программно-технических средств защиты информации и обмена электронными документами с использованием VPN, единый для всех учреждений и организаций здравоохранения и ОМС. Сейчас это особенно актуально в связи с общей тенденцией перехода к «облачным» технологиям в отрасли (см. далее).
Типовая модель угроз безопасности персональных данных о состоянии здоровья
Миниздравсоцразвития России была разработана и согласована с ФСТЭК модель угроз типовой медицинской информационной системы (МИС) типового лечебно-профилактического учреждения (ЛПУ) [24]. Ключевыми в этом документе являются два положения:
а) что нарушение безопасности персональных данных, обрабатываемых в МИС, может привести к незначительным негативным
Он сертифицирован ФСТЭК как МЭ по 3-му классу защищенности и может использоваться в ИС ПДн класса К1.
42
Персональные данные
последствиям для субъектов персональных данных9;
б) что утечка информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) маловероятна (практически исключена).
Исходя из этого, в том случае, когда ИС ПДн в составе МИС типового ЛПУ:
— не имеет подключений к сетям общего пользования (Интернет);
— все ее технические средства находятся внутри контролируемой зоны;
— обслуживающий персонал (администраторы) и пользователи МИС — это доверенные лица, по отношению к которым применен комплекс организационных мер по контролю выполнения ими функциональных обязанностей;
— количество субъектов персональных данных (пациентов) менее 100 тысяч;
— все юридически значимые решения принимаются исключительно на основе бумажных документов (смешанная технология обработки данных);
то, как сказано в этом документе «учитывая особенности функционирования, небольшое количество актуальных угроз и незначительность опасности их реализации, МИС определяется как специальная ИС ПДн с требованиями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в основном соответствующими 3-му классу». Иногда не совсем корректно это утверждение интерпретируют как «МИС является ИС ПДн класса К3», что совсем неправильно. В соответствии с [9] ИС ПДн, в которых обрабатываются данные о состоянии здоровья, относящиеся к 1-й категории, во всех случаях являются специальными системами класса К1 — в акте классификации ИС ПДн и в уведомлении, направляемом оператором в тер-
www.idmz.ru 2D1 1,14=3
■■■■
РЧН
риториальный орган Роскомнадзора [15, 16], надо указывать «специальная класса К1» (см. выше). Однако в данном случае ФСТЭК согласна с тем, что требования к безопасности в таких ИС ПДн «в основном соответствуют» требованиям, предъявляемым к системам класса К3, в частности, признаны неактуальными утечки информации за счет ПЭМИН, что делает возможным не использовать СЗИ, необходимые для их нейтрализации.
Иными словами, если ИС ПДн в составе МИС удовлетворяет перечисленным выше критериям, то перечень мер и способов защиты информации, которые должны быть в ней реализованы, совпадает с перечнем, рекомендованным для систем класса К3, что в общем случае потребует меньших затрат, чем для ИС класса К1. Следует заметить, что «Модель угроз типовой МИС типового ЛПУ» была разработана и согласована с ФСТЭК в ноябре 2009 года, то есть еще до издания Приказа ФСТЭК от 15.02.2010 №58 [12], которым были утверждены новые требования к способам и методам защиты персональных данных. Однако какой-либо официальной информации о том, что эта модель теперь не актуальна или не может применяться в медицинских учреждениях, нет.
Псевдонимизация персонифицированных данных
Еще один вопрос, который часто обсуждается, — это возможность снижения затрат на защиту информации путем присвоения пациенту некоего внутреннего условного номера (ID) с выдачей ему на руки соответствующего документа и разделение МИС на две подсистемы (ИС ПДн): 1) в которой обрабатываются только записи вида <ID, ПДн>, не содержащие сведений о состоянии здоровья пациента (здесь ПДн — это «паспортные» данные паци-
9 Очевидно, что это не соответствует принятой классификации ИС ПДн [9], в соответствии с которой считается, что нарушение безопасности (конфиденциальности) персональных данных, относящихся к 1-й категории, в том числе о состоянии здоровья, приводит к значительным негативным последствиям для субъектов ПДн (пациентов).
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 43 ■
W4MM
1 и информационные
технологии
Персональные данные
ента: Ф.И.О., адрес, № полиса ОМС и т.д.) и 2) в которой обрабатываются данные <ID, сведения о состоянии здоровья и медицинской помощи>. При этом полагают, что защищать надо только первую подсистему, поскольку в ней есть ПДн, а вторую защищать не нужно, поскольку в ней для идентификации пациента используется «секретный» ID и поэтому медицинские данные обезличены10. Подобная схема принята, например, в г. Омске (см. www.omskminzdrav.ru). Рассмотрим, насколько это правильно и целесообразно.
Для реализации такой технологии потребуется изменить рабочие процессы в учреждении. При этом надо иметь в виду, что:
а) в системе в целом осуществляется смешанная обработка с применением бумажных документов, содержащих персональные данные ПДн пациентов, учет движения и контроль доступа к которым весьма затруднен; риск нарушения их конфиденциальности очень велик (это должно быть учтено в модели нарушителя и модели угроз);
б) потребуется переработать некоторые формы бумажных медицинских документов, чтобы исключить из них либо ID, либо ПДн пациента; это непривычно для медработников и, безусловно, будет для них очень неудобно; наверняка возрастет количество ошибок при использовании таких документов и работе с ними на компьютере; последствия такого рода ошибок могут быть самыми серьезными; кроме того, потребуется специальная процедура подготовки и печати медицинских документов, содержащих реальные ПДн пациента, например, выписки из медицинской карты или направления на госпитализацию в другое учреждение, в «защищенной» части МИС — ИС ПДн класса К1.
в) если МИС уже не разделена на эти подсистемы, то структуру ее базы данных
надо перепроектировать, доработать или переписать прикладное ПО, протестировать его, переработать документацию, переобучить пользователей и т.д.; все это потребует значительных трудозатрат и, соответственно, средств и ресурсов.
Главным же и критическим недостатком такой модели, ее самым «слабым звеном», очевидно, является пациент. Возлагать на пациента обязательства не раскрывать свой ID и тем самым делать его «ответственным» участником системы защиты информации в ИС ПДн учреждения представляется не вполне корректным. Как потом доказать, что нарушение конфиденциальности произошло по вине пациента, а не медицинского учреждения?
Общемировая практика показывает, что псевдонимизацию — присвоение пациентам условных номеров или иных ID (псевдонимов) целесообразно применять в основном для работы со вторичными массивами полицевых медицинских данных — различного рода медицинскими регистрами (больных диабетом, туберкулезом, онкологическими заболеваниями, участников клинических испытаний, потенциальных доноров и реципиентов органов и тканей и т.д.) и проч. При ведении первичной медицинской документации (в бумажном или электронном виде) псевдонимизация может использоваться только как технологический прием — для разделения персональных и медицинских (клинических) данных в базе данных МИС, что позволяет, в частности, предоставить доступ, в том числе удаленный, к псевдонимизированным медицинским документам пациентов различным консультантам, экспертам, а также иным пользователям, например, при проведении клинических испытаний, исследований и т.п. в тех случаях, когда может потребоваться идентифицировать пациента. Лечащий врач во всех случаях,
0 В книге [Дементеева А.А., Дерябин Е.В. Защита персональных данных: Методические рекомендации для руководителей служб здравоохранения Краснодарского края/Под. ред. Л.Н. Шмыгленко и В.Н. Зиманина. — Краснодар: ГУЗ МИАЦ, 2010. — 88 с.; см. на сайте www.miackuban.ru] эта подсистема отнесена к классу К4. «Ах, если бы было все так просто...».
44 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
www.idmz.ru 2D1 1,N"3
■■■■
рчва
кроме случаев анонимного лечения (см. далее), должен видеть в медицинской карте (и на экране) реальные ПДн пациента, поскольку должен идентифицировать его личность (это юридически значимое действие; помните, «история болезни пишется для прокурора»). На этот счет Международной организацией стандартизации выпущены технические спецификации [18, 19]. В них для прямого и обратного преобразования «ПДн (ID) — псевдоним» рекомендуется использовать специальные криптосредства и соответствующие процедуры, а также генераторы таблиц соответствия11. Технически это может осуществляться с помощью специальных шлюзов или серверов псев-донимизации. Заметим, что псевдоним:
а) во всех случаях не известен пациенту и врачу, и поэтому не может быть ими передан кому-либо или раскрыт случайно или намеренно, в отличие от других идентификаторов, например, № медкарты, СНИЛС, № полиса ОМС и т.п.;
б) никогда не указывается вместе с персональными данными на экране или на документах, если контроль за их движением и учет доступа к ним не является тотальным, например, таким, как к документам, содержащим государственную тайну, что требует очень немалых ресурсов;
в) может быть сопоставлен с ПДн пациента (раскрыт) только с его согласия или в специальных случаях, предусмотренных законодательством по жестко контролируемым процедурам.
Псевдонимизированные сведения уже не содержат ПДн пациентов и поэтому не являются конфиденциальными, что позволяет существенно сократить затраты на защиту таких баз данных. Отметим также, что организация применения псевдонимов в здравоохранении, когда вся информация должна быть документирована и юридически значи-
ма, требует соответствующего правового обеспечения. Например, в национальной системе здравоохранения Великобритании создана специальная служба SUS (Second Uses Service), организующая работу с псевдонимами пациентов и удаленный доступ лечащих врачей и пациентов к национальной базе данных эпикризов Spine, которая ведется с использованием псевдонимов (см. на сайте www.connectingforhealth.nhs.uk).
Иными словами, если Вы не сможете организовать обмен данными и документооборот внутри медицинского учреждения так, чтобы гарантированно контролировать доступ к персональным данным <ID, ПДн>, то практически никакого смысла в разделении медицинской ИС ПДн на две подсистемы нет. Помимо того, что это практически сложно и неудобно и для медработников, и для пациентов (см. выше), надо еще доказать контролирующим органам, что такое разделение обеспечивает конфиденциальность персональных данных, что также в данном случае является весьма нетривиальной задачей. Если врач на компьютере работает с персональными медицинскими данными пациента, относящимися к 1-й категории, то на нем все равно должны стоять сертифицированные СЗИ «для К1», в том числе если обработка осуществляется с использованием технологии «тонкого» клиента.
К сожалению, очень часто путают понятия обезличивание, псевдонимизация и анонимное лечение. Обезличивание — это необратимый процесс, обезличенные данные уже невозможно сопоставить с ПДн, поэтому, например, первичный медицинский документ (запись в медицинской карте) после обезличивания уже нельзя использовать по его прямому назначению. При анонимном лечении пациент не сообщает свои ПДн и его личность в юридическом смысле не устанавлива-
11 Chaum D. Security without identification: Transaction system to make Big Brother obsolete//Communications of the ACM 28 (1985). — P. 1030-1044.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 45 ■
W4MM
1 и информационные
технологии
Персональные данные
[ ID, Nn, Пд ] [ Nn, Мп ]
О о
t\/t
U1 U2 U3
Роли:
U1 — регистратор, U2 — врач, медсестра,
U3 — лаборант, эксперт.
Пд — Ф.И.О., пол, дата рождения, адрес места жительства, место работы и др.
ID — внешний идентификатор: СНИЛС, номер полиса ОМС, номер паспорта и т.д.
Nn — локальный идентификатор: № медкарты, № талона,
№ направления и т.д.
Мп — медицинские данные, пол и возраст пациента
Рис. 2. Ролевой доступ к персональным данным (пример)
ется. В статье 77 проекта закона «Об основах охраны здоровья граждан в Российской Федерации», опубликованного 28.02.2011 на сайте Минздравсоцразвития России, введено понятие анонимного лечения. При этом, очевидно, весьма проблемной и процедурно сложной становится возможность предъявления претензий по поводу качества лечения, например, через суд.
Представляется целесообразным на законодательном уровне определить понятие псевдонимизации персональных (персонифицированных) данных, определить статус псев-донимизированных данных как неконфиденциальных (общедоступных), а также установить требования к процедурам псевдонимизации и обратной персонификации.
Ролевой доступ к персональным данным пациентов
Одним из основных принципов защиты информации является минимизация полномочий доступа сотрудников к ресурсам системы: предоставление им доступа только к тем данным, которые необходимы для выполнения должностных обязанностей. При этом распределение прав доступа пользователей к ресурсам
должно быть организовано таким образом, чтобы в случае любого нарушения круг потенциальных виновников был четко определен.
Как уже отмечалось, в системе защиты информации должна быть реализована функция управления доступом пользователей к ресурсам ИС — объектам доступа — именованным элементам информационного, программного и аппаратного обеспечения ИС12. Наиболее рациональными принципами организации доступа пользователей к защищаемым ресурсам МИС являются:
а) ролевой доступ к ресурсам МИС (см. рис. 2; стрелка означает наличие доступа к данным);
б) разрешительная политика доступа: «запрещено все, что явно не разрешено».
Ключевым элементом системы управления доступом к ресурсам ИС является так называемая матрица доступа, которая обычно представляется в виде совокупности таблиц двух типов записей (все ресурсы ИС и субъекты доступа известны, идентифицированы и именованы):
1) «роль — ресурс ИС — полномочия» (создание, изменение, удаление, чтение, запись, копирование, печать, пересылка, запуск приложения и т.д.);
12 Инвентаризация, идентификация и категорирование всех информационных ресурсов (ИР) учреждения, в том числе персональных данных (ПДн), является одним из наиболее трудоемких этапов, поскольку при этом надо не только составить общий перечень всех основных массивов данных (документов), но также описать, где они физически размещены (на каких серверах, компьютерах, дисках, внешних носителях и т.д.), и как именованы соответствующие объекты операционной системы (компьютер/диск/каталог/файл и т.д.).
46 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
www.idmz.ru 2D1 1,N"3
■■■■
рчва
2) «роль — пользователь» (он может выполнять несколько ролей, например, лечащий врач, дежурный врач, зав. отделением и т.д.).
В отличие от таблицы «роль — пользователь», изменения в которую приходится вносить достаточно часто (например, из-за текучести кадров), перечень ролей и соответствующие им полномочия доступа к ресурсам изменяются не так часто — только при значительных изменениях в организации работ в учреждении.
При определении полномочий доступа к ресурсам МИС надо учитывать, что технология обработки данных в медицинском учреждении сегодня в общем случае смешанная — с использованием компьютеров и бумажных документов, что существенно усложняет процедуры контроля за реальным доступом к ПДн. Понятно, что регистратор, врач и лаборант имеют разные полномочия доступа к медицинской карте пациента. Однако необходимо исходить из принципа разумной достаточности, поскольку любое дополнительное ограничение, как правило, связано с усложнением системы управления доступом и увеличением расходов на ее создание и администрирование. Общий принцип может быть таким: полномочия (права) доступа пользователя к данным в МИС не должны быть меньше, чем реальные возможности его доступа к соответствующим бумажным медицинским документам. Например, нет смысла запрещать доступ по чтению (разумеется, без права копирования и изменения записей) к медицинским данным пациента в МИС медрегистратору, имеющему доступ ко всем бумажным амбулаторным картам, если это потребует значительного усложнения структуры и управления доступом к базе данных, например, разделения на подсистемы классов К1 и К2 или КЗ, и установку между ними межсетевых экранов. Тем более, что для ИС ПДн
класса К1 используемые СЗИ должны осуществлять учет доступа и регистрацию всех действий с записями (факторы «учетности» и «неотказуемости» — наиболее действенная защита от инсайдеров). Основные рекомендации по управлению правами доступа в медицинских ИС приведены в нормативнотехнических документах [20, 21].
Безусловно, рассмотренные выше вопросы далеко не исчерпывают всего множества проблем и аспектов, связанных с организацией автоматизированной обработки и защиты персональных данных в медицинских учреждениях и в здравоохранении в целом. Например, не рассмотрены вопросы, связанные с обеспечением конфиденциальности персональных данных при записи на прием к врачу через «электронную регистратуру», использования универсальной электронной карты гражданина в качестве средства идентификации пациента, носителя его персональных медицинских данных, а также в качестве профессиональной карты медработника. Не освещены также особенности организации защиты информации при реализации так называемых «облачных» технологий, когда доступ пользователей к необходимым информационно-вычислительным ресурсам и обработка данных реализуются в виде Интернет-сервисов13. В концепции создания единой информационной системы отрасли (ЕИС) и программах модернизации здравоохранения на 2011-2012 годы «облачная» модель принята в качестве основной для дальнейшего развития ЕИС. Надо сказать, что вопросы нормативно-методического обеспечения функционирования распределенных ИС ПДн, оператором которых является, в частности, Минздравсоцразвития, а пользователями — территориальные органы управления здравоохранением и медицинские организации, требуют отдельного рассмотрения. К таким
13 Гусев А.В. Перспективы «облачных» вычислений и информатизация учреждений здравоохранения//Врач и информационные технологии. — 2011. — № 2. — С. 6-17 (см. также на сайте www.kmis.ru).
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 47 ■
W4MM
1 и информационные
технологии
Персональные данные
системам относятся, например, онлайн-системы ведения федерального регистра медицинских работников, оформления и учета направлений на высокотехнологичную помощь и др. Не совсем понятно, как должна осуществляться аттестация таких систем по требованиям безопасности информации, какие организационно-распорядительные документы «в центре и на местах» должны быть изданы и т.д.
В заключение хотелось бы еще раз обратить внимание читателей на важность и сложность проблемы защиты конфиденциальной, особенно персональной информации. Кража данных из компьютерных систем — это новая опасная и растущая угроза. Недавно Ponemon Institute провел общенациональное исследование по кражам личных медицинских сведений в США. Как показали его результаты, жертвами таких краж ежегодно становятся почти 1,5 млн. американцев. При этом в 14% случаев инцидент произошел в результате кражи информации у поставщика медицинских услуг, в 10% случаев виновным оказался недобросовестный сотрудник медицинского учреждения14. По данным InfoWatch, в 2010 году 44% случаев утечек конфиденциальной информации носило умышленный характер, а 48% — случайный. При этом число умышленных «сливов» информации по сравнению с 2009 годом сократилось на 12%, что стало следствием активного внедрения решений для защиты информации.
Количество же случайных утечек возросло почти на 10%. Наиболее популярный канал случайных утечек — мобильные носители данных, в которых не используются средства шифрования, другой частой причиной остаются бумажные носители, контроль за которыми гораздо слабее. Почти 90% утекающей конфиденциальной информации — персональные данные, которые становятся новым специфическим классом активов15.
Еще один важный тезис, который автор хотел донести до своих коллег, заключается в том, что переход к активному использованию современных информационно-коммуникационных технологий требует от всех нас гораздо большего, чем простой перевод бумажных документов в электронные формы, обновление компьютерной инфраструктуры и подключение к Интернету, — он сопряжен с серьезными правовыми, организационными и социальными изменениями. Их выполнение требует значительных ресурсов, основательной научной и методической проработки, мобилизации усилий и согласованной работы всех звеньев. Однако без этого дальнейшее развитие и повышение эффективности здравоохранения практически невозможно.
Автор будет признателен всем, кто пришлет свои замечания и предложения по рассмотренным вопросам по электронной почте на адрес AP100Lbov@mail.ru.
НОРМАТИВНЫЕ ССЫЛКИ
1. Об информации, информационных технологиях и защите информации, федеральный закон от 27.07.2006 № 149-ФЗ.
2. О персональных данных, Федеральный закон от 27.07.2006 № 152-ФЗ. Законом № 359-ФЗ от 29 декабря 2010 г. установлен очередной, новый срок приведения всех информационных систем в соответствие с требованиями закона «О персональных данных» — теперь до 1 июля 2011 года.
14 CSO Magazine, США, 29.03.2011.
15 В январе 2011 года был опубликован очень интересный отчет «Personal Data: The Emergence of a New Asset Class» (www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf, см. 22.02.2011)
48 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
Персональные данные
www.idmz.ru 2D1 1,N"3
■■■■
рчва
3. О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена, Указ Президента РФ от 17.03.2008 № 351.
4. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждено Постановлением Правительства РФ от 17.11.2007 № 781.
5. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утверждены Постановлением Правительства РФ от 06.07.2008 № 512.
6. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено Постановлением Правительства РФ от 15.09.2008 № 687.
7. О лицензировании деятельности по технической защите информации, утверждено Постановлением Правительства РФ от 15.08.2006 № 504.
8. Положение о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, утверждено Постановлением Правительства РФ от 29.12.2007 № 957.
9. Порядок проведения классификации информационных систем персональных данных, Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008 № 55/86/20.
10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено ФСТЭК, 14.02.2008, гриф «ДСП» снят 16.11.2009).
11. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено ФСТЭК, 15.02.2008, ДСП, «открытая» выписка опубликована на сайте www.fstec.ru).
12. Положение о методах и способах защиты информации в информационных системах персональных данных (Приказ ФСТЭК от 05.02.2010 № 58, рег. № 16456 в Минюсте РФ от 19.02.2010).
13. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено ФСБ, 21.02.2008)
14. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждено ФСБ, 21.02.2008)
15. Об утверждении образца формы уведомления об обработке персональных данных, Приказ Роскомнадзора от 16.07.2010 № 482.
16. Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных», Приказ Минкомсвязи России от 30.01.2010 № 18.
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ 49 ■
W4MM
1 и информационные
технологии
Персональные данные
Нормативно-технические документы
17. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.
18. ISO/TS 25237:2008 Health informatics. Pseudonymization.
19. ISO/TS 22220:2009 Health informatics. Identification of subject of health care.
20. ГОСТ Р 52636-2006 Электронная история болезни. Общие положения.
21. ГОСТ Р ИСО/ТС 22600-1,2-2009 Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1. Общие сведения и управление политикой. Часть 2. Формальные модели.
Методические документы Минздравсоцразвития России и Федерального фонда ОМС
22. Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утверждены 23.12.2009, согласованы с ФСТЭК).
23. Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (утверждены 23.12.2009, согласованы с ФСТЭК).
24. Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, Письмо от 27.11.09 № 240/2/4009).
25. Об организации работ по технической защите информации, Письмо Федерального фонда ОМС от 22.04.2008 № 2170/90-и.
Актуальные нормативные документы
—'v--------------------------------------------------------------------
ОПРЕДЕЛЕНО, КАК ВЫПУСКАЮТСЯ УНИВЕРСАЛЬНЫЕ ЭЛЕКТРОННЫЕ КАРТЫ
Постановление Правительства РФ от 25 апреля 2011 г. № 321 «Об утверждении Правил выпуска универсальной электронной карты»
Утверждены Правила выпуска универсальной электронной карты. Она представляет собой материальный носитель, на котором в графической и электронной формах зафиксированы сведения о ее пользователе. Карта обеспечивает доступ к информации, необходимой, чтобы удостоверить права на получение государственных и муниципальных, а также иных услуг.
Региональная уполномоченная организация по своему усмотрению (кроме случаев, установленных законом) определяет центры для изготовления заготовок и для персонализации карт.
Закреплено, какие операции осуществляются данными центрами. Последние отбираются из числа организаций, имеющих лицензии на определенные виды деятельности. Федеральная уполномоченная организация — ОАО «Универсальная электронная карта» заключает с центрами соглашения. Она должна направлять в Минкомсвязь России информацию о факте выпуска карты. Центром изготовления заготовок и центром персонализации может быть одна и та же организация.
До 1 июля 2012 г. отдельные положения правил, касающиеся персонализации карты, не обязательны для применения. До указанной даты федеральный и региональный пакеты сведений о гражданине могут формироваться уполномоченной организацией субъекта Российской Федерации.
50 ■ ■ ■ ■ ■■ ■ ■ ■ ■■■ ■ ■ ■ ■■ ■ ■ ■■■ ■ ■ ■ ■ ■
