CC BY
24
Вопросы и ответы
От редакции:
Закон «О персональных данных» вступает в силу с 1 января 2011 года. В редакцию продолжают поступать вопросы, связанные с его правоприменительной практикой. Предлагаем познакомиться со второй подборкой ответов, подготовленных экспертом журнала, заместителем директора Медицинского информационно-аналитического центра РАМН, д.т.н. А.П. Столбовым (ответы на первые 3 вопроса Вы найдете в МЗ, 2010, № 9).
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ О ПАЦИЕНТАХ ПРИ ЕЕ КОМПЬЮТЕРНОЙ ОБРАБОТКЕ В СООТВЕТСТВИИ О ТРЕБОВАНИЯМИ ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ» от 27.07.2006 №Л52-ФЗ. ЧАСТЬ 2
НА ВОПРОСЫ ОТВЕЧАЕТ эксперт журнала, заместитель директора Медицинского информационно-аналитического центра РАМН, д.т.н. А.П. СТОЛБОВ
Можем ли мы пользоваться Методическими рекомендациями Министерства здравоохранения и социального развития России, которые согласованы со ФСТЭК 22 декабря 2009 г.? Каким образом мы можем написать концепцию и политику информационной безопасности? Мы сами должны сочинять эти документы или достаточно будет распечатать текст из методических рекомендаций? Консалтинговая компания сказала нам, что эти рекомендации использовать уже не нужно и что концепцию информационной безопасности написать может только человек с сертификатом. Как нам быть, если я являюсь сотрудником медицинского учреждения (программист) и каких-то особых знаний, связанных с защитой данных, у меня нет. Медучреждение не выделяет денег на защиту сети, так как якобы нет бюджетной статьи на это, и просит сделать только документацию, поскольку на это особых затрат не нужно. В городе нет сведений о том, как нужно получить лицензии, единственное, чем я сейчас руководствуюсь, — это методические указания, которые нам дал Департамент здравоохранения г. Твери. В этих методических указаниях написано, что если нет у медучреждения дополнительного финансирования,
енеджер №13
здравоохранения ЗОЮ
70
Вопросы i/i ответы
то достаточно все свести к установке антивируса, решеток на окнах и межсетевого экрана. Насколько это законно?
Использовать указанные методические документы Минздравсоцразвития России и можно, и нужно. Во-первых, они опубликованы на официальном сайте федерального органа исполнительной власти, отвечающего за нормативно-правовое регулирование в сфере здравоохранения, — Минздравсоцразвития России — и не отменены в связи с изданием приказа ФСТЭК от 05.02.2010 №58 (см. Письмо Министерства от 05.03.2010 № 328-29). Во-вторых, в этих документах много практически полезных и конкретных рекомендаций, в том числе приведены образцы (шаблоны) некоторых организационно-распорядительных документов, которые должны быть изданы в учреждениях здравоохранения. И, в-третьих, в этих документах перечень необходимых организационно-технических мероприятий по защите ПДн разбит на две группы — те, которые не требуют явного специального финансирования и должны быть обязательно выполнены, и те, которые выполняются при наличии дополнительного финансирования. Конечно, такое разделение мероприятий по защите ПДн, с точки зрения требований нормативных актов и руководящих документов ФСТЭК, неправомерно. Однако, если контролирующие органы укажут, что у Вас что-то не сделано, всегда можно сослаться на отсутствие финансирования и эти методические документы Минздравсоцразвития России. Для этого, конечно, надо официально обратиться в орган управления здравоохранением для выделения денег на закупку и эксплуатацию специальных средств защиты информации в медицинском учреждении и получить официальный «отказ» из-за отсутствия средств в бюджете. Предписание Роскомнадзора, ФСТЭК или ФСБ на устранение недостатков в системе защиты ПДн будет направлено также в орган управления здравоохранением, в ведении которого находится медицинское учреждение. К сожалению, это наша «правда жизни». Сначала мы принимаем законы и только уже потом думаем, где взять ресурсы на их выполнение и вообще, есть ли они у нас.
Могу ли я, не имея сертификатов о специальном образовании по защите информации, сделать все документы по защите сети?
В соответствии в нашим законодательством для подготовки документов по защите информации наличие у разработчика каких-либо специальных сертификатов или лицензий не является обязательным. Другое дело, что если эти документы разработаны организацией-лицензиатом ФСТЭК и это документально подтверждено, то и заказчик, и проверяющие органы в этом случае, как правило, могут быть уверены в полноте и качестве указанных документов (конечно, за исключением случаев откровенной «халтуры», с примерами которой, к великому сожалению, мне в последнее время приходилось встречаться). Однако еще раз замечу, что по закону это не обязательно. Другой вопрос, хватит ли у Вас знаний и времени, чтобы полностью самостоятельно подготовить эти документы по тем шаблонам (образцам), которые, например, приведены в приложениях к Методическим рекомендациям по защите персональных данных, изданным и опубликованным Минздравсоцразвития России?
№12 Менеджер
ЗОЮ
здравоохранения
Вопросы i/i ответы
Каким образом можно медицинскую систему отнести к К2, если там обрабатываются данные о состоянии здоровья человека, а это уже в любом случае К1? А если оператор говорит, что потеря этих сведений не принесет негативных последствий, то можно сказать, что у нас К2? Или всегда МИС — это К1?
Исходя из критериев классификации ИСПДн, установленных Приказом ФСТЭК, ФСБ и Мининформсвязи России №55/86/20 от 13.02.2008 («приказ трех»), системы, в которых обрабатываются персонифицированные данные о состоянии здоровья, во всех случаях относятся к специальным системам класса К1 независимо от количества субъектов ПДн и каких-либо иных классификационных характеристик. Что касается отнесения МИС к классу К2 или даже К3, условия которого изложены в документе «Модель угроз типовой медицинской информационной системы типового лечебнопрофилактического учреждения», который опубликован на официальном сайте Мин-здравсоцразвития России (см. Письмо Министерства от 05.03.2010 №328-29), то это явно не соответствует требованиям и критериям для определения класса ИСПДн, согласно указанному выше «приказу трех». Конечно, и здравый смысл, и формальная логика подсказывают, что все медицинские ИС — это системы класса К1. Кроме того, «Модель угроз типовой МИС ...» была согласована только с ФСТЭК и подписана еще до того, как был издан новый Приказ ФСТЭК от 05.02.2010 №58, которым утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных». В нем уже нет явных обязательных требований по наличию у оператора лицензии на техническую защиту информации и обязательную аттестацию объекта информатизации, в котором эксплуатируется ИСПДн класса К1, из-за чего в основном и была предпринята попытка снизить класс защиты для МИС до уровня К3 (для этого класса в старых документах ФСТЭК, которые были отменены в связи с изданием Приказа 58, лицензирование и аттестация были не обязательны только для систем класса К3, для К1 и К2 они были обязательны). Поэтому сейчас практически нет смысла «искусственно снижать» класс МИС до уровня К3, если, конечно, у Вас есть ресурсы на построение системы защиты «для К1» (см. ответ на вопрос 5), поскольку, почти наверняка, контролирующие органы не согласятся с этим.
Интересная идея обсуждается здесь: www.pd.rsoc.ru/inter-services/fo-
rum/dep47/topic2079/ {CRM и медицинские данные}. Можно создать дополнительную изолированную ИСПДн, которая будет связывать Ф.И.О. пациента с идентификатором. ID будет использоваться для работы в «основной» системе. Раздавать ID будут в регистратуре (выделить одно рабочее место без доступа к Интернету, разграничить доступ). Пациент приходит в регистратуру, ему выдают ID, который заводится в «основной» базе, с которым в дальнейшем будут работать все. Если же пациент забыл свой ID, он всегда сможет получить его, сделав соответствующий запрос.
Такой подход предполагает значительное снижение затрат на внедрение системы защиты (1 серверная часть и 1 клиентская для самого простого варианта). Допустим ли такой подход?
Подобная схема — присвоение пациенту некоего условного номера (ID) с выдачей ему на руки соответствующего документа и разделение МИС на две подсистемы
-G
1енеджер №13
здравоохранения ЗОЮ
Вопросы i/i ответы
(ИСПДн): 1) в которой обрабатываются только данные (ID, ПДн), не содержащие сведений о состоянии здоровья пациента, и 2) в которой обрабатываются данные (ID, сведения о состоянии здоровья и медицинской помощи), — принята, например, в г. Омске (см. на сайте www.omskminzdrav.ru). Однако следует заметить, что для реализации такой технологии потребуется изменить рабочие процессы в учреждении и при этом:
а) практически всю МИС и структуру ее базы данных надо перепроектировать, существенно доработать или переписать прикладное ПО, протестировать его, переработать (переписать) документацию, переобучить пользователей и т.д.; все это потребует значительных трудозатрат и соответственно средств и ресурсов;
б) в системе в целом осуществляется смешанная обработка с применением бумажных документов, содержащих персональные данные (ID, ПДн), учет движения и контроль доступа к которым весьма затруднены; риск нарушения их конфиденциальности очень велик (это должно быть учтено в модели угроз);
в) в зависимости от того, как организован документооборот, возможно потребуется переработать некоторые формы бумажных документов, чтобы исключить из них либо ID, либо ПДн пациента; это непривычно для медработников и, безусловно, будет для них очень неудобно; наверняка возрастет количество ошибок при ручном заполнении и использовании таких документов; последствия такого рода ошибок могут быть самими серьезными.
Общемировая практика показывает, что псевдонимизацию — присвоение пациентам условных номеров или иных ID (псевдонимов) целесообразно применять только для работы со вторичными массивами полицевых медицинских данных, формируемыми и используемыми вне медицинских учреждений, — различного рода медицинскими регистрами (диабет, онкология, туберкулез, клинические испытания и т.д.). Ведение первичной медицинской документации (в бумажном или электронном виде) с использованием псевдонимов ни к чему хорошему не приводит. На этот счет Международной организацией стандартизации выпущены технические спецификации ISO/TS 25237:2008 Health Informatics. Pseudonimization. В них для прямого и обратного преобразования «ПДн-псевдоним» рекомендуется использовать специальные криптосредства и соответствующие процедуры. Заметим, что псевдоним: а) во всех случаях не известен пациенту и поэтому не может быть им раскрыт или передан кому-либо (в отличие от других идентификаторов, например, СНИЛС); б) никогда не указывается вместе с персональными данными на документах, если контроль за их движением и учет доступа к ним не является тотальным (например, таким, как к документам, содержащим государственную тайну особой важности). Отметим также, что организация применения псевдонимов в здравоохранении, когда вся информация должна быть юридически значима и документирована, требует соответствующего правового обеспечения. Например, в Национальной системе здравоохранения Великобритании (NHS) организована специальная служба SUS (Second Uses Service), которая обеспечивает работу с псевдонимами пациентов.
№12 Менеджер
ЗОЮ
здравоохранения
Вопросы i/i ответы
Иными словами, если Вы не сможете организовать обмен данными и документооборот внутри медицинского учреждения так, чтобы гарантированно контролировать доступ к персональным данным (ID, ПДн), то никакого смысла в разделении медицинской ИСПДн на две подсистемы нет. Помимо того, что это практически сложно и неудобно и для медработников, и для пациентов, надо еще доказать контролирующим органам, что такое разделение обеспечивает конфиденциальность персональных данных, что также в данном случае является весьма нетривиальной задачей.
Каким образом в состав МИС — ИСПДн класса К1 можно подключить импортный компьютеризированный медицинский прибор, куда вводятся персональные данные пациента (например, компьютерный томограф), и который по требованию поставщика (производителя) и сервисной организации должен быть постоянно подключен к сети общего пользования (Интернету)?
Проблема подключения такого рода медицинских устройств к МИС, относящихся к ИСПДн класса К1, с выполнением всех установленных требований по безопасности обработки конфиденциальной информации была обозначена перед Минздрав-соцразвития России более двух лет назад, однако сегодня она пока еще должным образом не решена, какие-либо нормативно-методические документы по этому вопросу до настоящего времени не опубликованы. Если установка на такого рода устройство сертифицированных СЗИ (управления доступом, регистрации и учета, обеспечения целостности) не возможна, например, из-за того, что в нем используется специфическая операционная среда, то для его включения в состав МИС сегодня можно рекомендовать следующее.
1) По возможности отказаться от использования (ввода) персональных данных в таких устройствах путем применения условных идентификаторов (номеров) пациентов, сопоставление которых с ПДн осуществляется исключительно вне устройства.
2) Выделить такое устройство или несколько подобных устройств в отдельную(ые) ИСПДн, подключенную(ые) к остальной части МИС через сертифицированный ФСТЭК межсетевой экран (МЭ). Возможность доступа из устройства в другие ИСПДн МИС должна быть заблокирована.
3) Подключение такого устройства к сети общего пользования также должно осуществляться только через сертифицированный МЭ.
Напомним, что, согласно установленным требованиям (см. «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждены Приказом ФСТЭК от 05.02.2010 №58), межсетевые экраны для использования в ИСПДн класса К1 должны быть сертифицированы ФСТЭК по 3-му классу защищенности.
Может ли ИСПДн принадлежать сразу нескольким операторам — отдельным юридическим лицам? Например, являются ли операторами информационной системы (ИСПДн), в которой Минздравсоцразвития России осуществляет сбор и обработку персональных данных о высокотехнологичной медицинской помощи (заполнение и ведение талонов-направлений на ВМП, передача копий медицинских документов в федеральные учреждения, оказывающие
-G
1енеджер №13
здравоохранения ЗОЮ
Вопросы i/i ответы
ВМП по каналам связи и т.д.), территориальные органы управления здравоохранением и медучреждения? Кто является оператором этой системы? Аналогичный вопрос и по другим федеральным системам — ведения федерального регистра медицинских работников, ведения регистра больных по «7 нозологиям» и т.д.? Кто и какие документы по организации обработки и защиты персональных данных в этих ИСПДн должен подготовить и утвердить? Или можно считать, что есть отдельные ИСПДн на федеральном уровне в Министерстве, и региональные ИСПДн, которые передают персональные данные в эту федеральную ИСПДн?
Согласно определению в ст. 3 Закона 152-ФЗ «О персональных данных», оператор — это государственный или муниципальный орган, юридическое или физическое лицо, организующее и(или) осуществляющее обработку персональных данных, а также определяющее цели и содержание их обработки. Поскольку перечисленные в вопросе ИСПДн — это федеральные системы, цели и содержание обработки ПДн в которых определены Минздравсоцразви-тия России в соответствии с его полномочиями, то оператором этих систем является Министерство, а территориальные органы управления здравоохранением и медицинские организации в этой ИСПДн являются пользователями. Поэтому ответственность за организацию разработки и издание нормативнометодических документов, регламентирующих процессы автоматизированной обработки и защиты ПДн в этих системах, в том числе в организациях-пользо-вателях ИСПдн, возлагается на Министерство. Состав и содержание необходимых методических и организационно-распорядительных документов для этих ИСПДн определены требованиями руководящих документов, утвержденных Правительством РФ, ФСТЭК и ФСБ, а также методическими документами Минздравсоцразвития России по защите персональных данных, опубликованными на его официальном сайте. К сожалению, до настоящего времени в полном объеме эти документы Министерством не подготовлены и не утверждены.
Разделение субъектов, осуществляющих обработку ПДн в любых распределенных ИСПДн, на оператора и пользователей выполняется аналогично: оператор — тот, кто определяет цели и содержание обработки ПДн в ИСПДн и организует ее функционирование.
От редакции:
Несмотря на то, что 152-ФЗ вступает в силу с 1 января 2011 года, остается много неснятых для ЛПУ вопросов по его правоприменительной практике. Специально для «МЗ» готовит статью «Обеспечение безопасности при обработке и передаче данных о пациентах и проблемы реализации требований законодательства при использовании сети Интернет» директор по развитию бизнеса НИП «ИНФОРМЗАЩИТА» М.Ю. Емельянников. Читайте МЗ-1-2011!
№12 Менеджер
ЗОЮ
здравоохранения
