Персональные данные в мед учреждении. Современные требования к защите персональных данных в медицинских организациях

Отвечает старший помощник прокурора Железнодорожного округа Курска Артем КОФАНОВ: «В последнее время пациенты медицинских организаций все чаще задают вопросы относительно того, что такое персональные данные и почему в больницах просят согласие на их обработку.

Федеральным законом №152-ФЗ от 27 июля 2006 года «О персональных данных» установлено, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Также определены случаи, когда требуется согласие граждан на их обработку, которая представляет собой любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Риски бедствия связаны с нарушениями данных или неправильным использованием информации. Природа проектов с большими данными может сделать получение осознанного согласия нецелесообразным. Если согласие не получено, отказ в выборе должен быть практической возможностью, которая требует гласности и просвещения общественности, с тем чтобы такое право могло быть осуществлено. Использование анонимных данных не требует согласия, но для определенных типов исследований требуется, чтобы записи имели идентификатор.

Основным механизмом для удовлетворения обоих требований является псевдонификация, где обычно идентификаторы заменяются уникальным идентификатором. Пациент может быть повторно идентифицирован с помощью кода ключа. Такие псевдонизированные данные могут или не могут считаться персональными данными в зависимости от обстоятельств и состояния участника - в частности, третьи стороны, не имеющие доступа к ключевому коду, могут или не могут обрабатывать данные как анонимные в зависимости от применяемого теста.

Статьей 6 вышеуказанного закона установлено, что обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласно статье 10 данного закона обработка специальных категорий персональных данных, касающихся, в том числе, состояния здоровья, не допускается, за исключением, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.

Этот вопрос имеет отношение к социальной лицензии, а не к законности как таковой. Некоторые люди могут считать использование анонимных данных неприемлемым, и это может произойти, если конкретный исследовательский проект оскорбил их мораль. Использование информационных технологий в больницах способствует углублению личных данных по шкале, не возможной с физическими данными больницы.

В целом 2% этих нарушений связаны с медицинскими организациями. Двумя основными мерами защиты частной информации являются защита данных и анонимность. Защита данных является неотъемлемой частью этико-правовой базы, и соответствующие технологии, процедуры и обучение необходимы для обеспечения соблюдения хороших стандартов безопасности данных. Анонимизация исключает рассмотрение данных как личных и, следовательно, их охват в соответствии с законодательством о защите данных.

Таким образом, закон №152-ФЗ ставит возможность обработки персональных данных пациентов больниц в зависимость от наличия их согласия. При этом, без согласия могут обрабатываться данные, относящиеся к состоянию здоровья субъекта персональных данных, если их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.

Определение персональных данных в Ревитате 26 Директивы гласит. Данные могут быть анонимными и сохранены в форме, в которой идентификация субъекта данных больше невозможна. Это интерпретируется как означающее, что анонимность должна быть необратимой, что исключает псевдонизированные данные как анонимные в соответствии с Директивой. Односторонняя криптография рассматривается как анонимная, поскольку она необратима.

Палата лордов передала вопрос о том, были ли анонимные данные или нет, а также обратно Комиссару по информации Шотландии, чтобы решить, как вопрос факта, а не закон. Применяемый тест не меняется в зависимости от контекста или чувствительности данных. Повторная идентификация является проблемой, которую старые правила не могут решить адекватно, хотя Закон о защите данных предусматривает, что персональные данные.

То есть при поступлении в медучреждение пациента в бессознательном состоянии в силу заболевания либо травмы ему будет оказана квалифицированная медицинская помощь без наличия выраженного согласия на обработку его персональных данных.

Согласно статье 13 Федерального закона от 21 ноября 2011 года №323-ФЗ «Об основах охраны здоровья граждан в РФ» сведения о факте обращения гражданина за оказанием медпомощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медобследовании и лечении, составляют врачебную тайну. Поэтому передача таких сведений другим гражданам, в том числе должностным лицам, возможна только с согласия субъекта персональных данных и в интересах обследования и лечения пациента. Предоставление указанных сведений без согласия гражданина или его законного представителя допускается лишь в исключительных случаях, установленных данным законом (в целях проведения медобследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю; при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений и т. д.).

В Европе существует множество различных стандартов анонимности. По существу непредсказуемым, потому что невозможно с уверенностью предсказать, какие данные уже доступны или какие данные могут быть выпущены в будущем. Можно с уверенностью утверждать, что мотивы желающих использовать данные должны влиять на уровень требуемой анонимности. Дальнейшим решением проблемы повторной идентификации является ограничение доступа к исследователям, которые дали заверения, что они не будут пытаться повторно идентифицировать.

В настоящее время нет никакой разницы, независимо от того, классифицируются ли данные как косвенно идентифицируемые или нет, несмотря на преимущества таких соглашений. Они являются неотъемлемой частью механизмов управления информацией для данных «безопасных гаваней». Защита данных может быть более важной, чем анонимность.

При этом статьей 8 Федерального закона №152-ФЗ установлено, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных. Закон позволяет включать в общедоступные источники персональных данных следующие сведения о гражданах: фамилия, имя, отчество гражданина; год и место рождения гражданина; адрес гражданина; абонентский номер.

Разумные ожидания общественности заключаются в том, что минимальный риск является приемлемым, особенно если существуют меры по снижению рисков. Все права, защищаемые Европейской конвенцией о правах человека, статья 3, являются квалифицированными правами, поэтому вмешательство в права Конвенции разрешается при соблюдении определенных критериев. Соединенное Королевство обязано в качестве договаривающейся стороны обеспечить совместимость британского законодательства с соблюдением прав на Конвенцию. Изъятия должны быть соразмерны преследуемой законной цели, и указанные причины должны быть релевантными и достаточными.

Однако все вышеуказанные сведения могут включаться в общедоступные источники персональных данных только с согласия субъекта персональных данных. При этом обязанность доказывания того, что такое согласие получено, возложена на оператора персональных данных.

Обработка персональных данных возможна также в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования. Так, согласно положениям Федерального закона от 29 ноября 2010 года №326-ФЗ «Об обязательном медицинском страховании в РФ» Федеральный фонд обязательного медицинского страхования вправе обрабатывать данные персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медпомощи, оказанной застрахованным лицам. При этом ведение персонифицированного учета сведений о медпомощи, оказанной застрахованным лицам, предполагает сбор, обработку, передачу и хранение целого ряда данных о гражданах.

В нескольких документах делается попытка подчеркнуть общественный интерес в пользу аудита и исследований как оправдание вмешательства в права на неприкосновенность частной жизни и автономию. Это необходимо оценивать на индивидуальной основе, что влечет за собой принятие принципиальной пропорциональной модели управления или чего-то очень похожего. Директива требует «существенных общественных интересов» для освобождений государств-членов выше и выше требований Директивы, и представляется опасным полагаться на общественные интересы как таковые, чтобы оправдать обычные эпидемиологические исследования с использованием личных данных о здоровье.

Таким образом, при обращении за медпомощью лица, которое в силу состояния здоровья может выразить свое волеизъявление, отказать в оказании медуслуг, если пациент не предоставляет свои персональные данные (то есть не показывает паспорт, полис и другие документы) медучреждение не может. Однако медицинская помощь в данном случае может быть оказана только на возмездной основе на основании договора возмездного оказания медицинских услуг, поскольку пациент не подтвердил статус застрахованного лица по обязательному медицинскому страхованию. При оформлении договора, акта или счета в графе «заказчик» указывается «аноним», и делается пометка о том, что пациент отказался от предоставления персональных данных».

Действительно, в докладе Европейской комиссии указано, что такое оправдание может быть нарушением Директивы. Анонимность до достаточно высокого стандарта устраняет риски, но также снижает полезность данных. Таким образом, существует сбалансированный акт для любого проекта, который лучше всего достигается с помощью подхода, основанного на правах человека.

Принципиальная пропорциональная модель управления

Существуют различные уровни чувствительности даже в пределах категории данных здравоохранения. Это обеспечило социальную лицензию на использование личных данных о здоровье и не исключало использование публичных данных в коммерческих целях с учетом определенных оговорок.

Читайте свежие новости «Друг для друга» в социальных сетях:
ВКонтакте , Одноклассники , Facebook , Twitter , Instagram .

Вверх — Отзывы читателей (1) — Написать отзыв — Версия для печати

Спасибо за информацию, врачам меньше времени остаеться времени лечить, ппиходить большое количество времени писать обязательные бланки.

Поэтому парадигмой будет «согласие, анонимность или авторизация». Можно реализовать потенциал для массового ускорения в улучшении безопасности пациентов. В худшем случае проблемы с данными могут привести к тому, что пациенты не будут доверять своему поставщику медицинских услуг и вообще избегают общественного здравоохранения. Общественность должна быть вовлечена в конструктивный подход, и это требует образования по этим вопросам. Прозрачность связанных с этим рисков имеет жизненно важное значение, и большинство населения принимает небольшой риск, если есть соответствующие меры для их смягчения.



Выскажите своё мнение о статье

Имя: *
E-mail:
Город:
Смайлики:

Есть целая отрасль, которая активно работает с наиболее важными персональными данными, - это медицина. В соответствии с классификацией ФСТЭК России сведения о здоровье человека относятся к специальным. Это означает, что для обеспечения информационной системы, обрабатывающей подобные сведения, требуются наиболее сложные меры по защите данных - вплоть до развертывания средств для предотвращения утечек побочного электромагнитного излучения и для строгого шифрования накопленных данных.

Это и стремление к исследованиям в интересах общества гарантируют, что существует социальная лицензия для исследований в области здравоохранения Больших Данных. Все большее внимание к обмену данными вызывает напряженность с требованиями защиты данных.

Участники клинического исследования могут по праву считать, что подходит более высокий стандарт анонимности, чем обычно, или что разные стандарты должны быть подходящими для использования исследователей по сравнению с публичным выпуском. Какая бы ни была структура, данные предыдущих исследований поддерживают постоянное участие общественности в механизме управления для обеспечения выполнения требований к социальной лицензии, и исследовательское сообщество продолжает заслуживать доверия общества. Одноразовый процесс получения согласия больше не может считаться достаточным при любых обстоятельствах, особенно при долгосрочных текущих проектах с большими данными.

Ситуация усугубляется тем, что медицинские учреждения, как правило, обрабатывают значительные объемы персональных данных, а регулирующие документы требуют в таком случае использования дополнительных средств защиты. «Особенности у информационных систем персональных данных (ИСПДн) лечебных учреждений, безусловно, имеются и касаются они следующих вещей: высокий класс ИСПДн - в медицинских учреждениях обрабатываются сведения о состоянии здоровья большого числа субъектов; территориальная распределенность -

Субъекты больше не могут рассматриваться как пассивные, и взаимность должна поддерживаться. Общественное участие должно включать более широкую общественность, а не только участников исследования, где результаты будут полезны для широкой общественности.

Национальная комиссия по делам беженцев и правам человека. Датская база данных общей практики. Европейская конвенция о правах человека. Общие правила защиты данных. Информационный центр по вопросам здравоохранения и социального обеспечения. Офис комиссара информации.

Наличие данных и материалов

Лично идентифицируемая информация. Только два автора участвовали в написании рукописи. Оба автора вносят свой вклад в этико-правовой анализ, разработку и составление рукописи. Оба автора прочли и утвердили окончательную рукопись. Авторы заявляют, что у них нет конкурирующих интересов.

почти каждое лечебно-профилактическое учреждение (ЛПУ) состоит из нескольких корпусов, некоторые из которых могут быть значительно удалены от других», - поясняет Игорь Егоренко, директор департамента региональных продаж компании «РАМЭК-ВС». В результате бюджет на защиту персональных данных может оказаться просто неподъемным для ЛПУ.

Согласие на этику и согласие на участие

Природа Спрингера остается нейтральной в отношении юрисдикционных требований в опубликованных картах и ​​институциональной принадлежности. Факультет естественных наук, инженерии и вычислительной техники, Университет Кингстон в Лондоне. Школа науки и техники Школы науки и техники, Университет Ноттингема Трент.

Принципы консультирования: изучение концепций «общественных интересов» и «Достаточно практичный». Лондон: Управление по исследованиям в области здравоохранения, № отчета: Серия программ усовершенствования: Принципы консультирования. Дилемма и технология Коллингриджа. Рекомендации по удержанию, хранению и использованию остаточных высушенных образцов пятен крови после анализа скрининга новорожденных: заявление Совета региональных сетей по Генетические услуги. Генетика населения и совместное использование выгод. Управление генетической информацией: кто решает? Использование личной медицинской информации в медицинских исследованиях: общая общественная консультация. Лондон: Совет медицинских исследований; Обзор доказательств, связанных с вредом, связанным с использованием здоровья и биомедицинскими данными. Национальный опрос взглядов британской общественности на использование идентифицируемых медицинских данных Национальным реестром рака. Публичная приемлемость обмена данными между государственным, частным и третьим секторами в исследовательских целях. Социальное возрождение шотландского правительства; Независимая группа по надзору за управлением информацией. Информация: делиться или не делиться? Обзор управления информацией. Лондон: Департамент здравоохранения; Президент говорит, что пациенты должны иметь свои генетические данные. Почему пациенты не должны «владеть» своими медицинскими данными.

  • Обзор этики для международных исследований, основанных на данных.
  • Неизбежное применение больших данных для здравоохранения.
  • Большая аналитика данных в сфере здравоохранения: обещание и потенциал.
  • Этика, аудит и исследования: все оттенки серого.
Это означает, что персональные данные и, в частности, данные о здоровье могут быть собраны, сохранены и обработаны только в случае строго определенных условий каркаса. Совместная рекомендация в отношении Федерального закона о защите данных Германии в настоящее время является адаптацией, даже если их юридическая полусрочка описана некоторыми экспертами как очень неясная.

«Мне рассказывали, что департамент здравоохранения Москвы поручил ряду фирм провести обследование и определить мероприятия по защите персональных данных. В результате медицинские учреждения получили по 300-страничному тому, из которого следовало, что защита одного компьютера будет стоить в два-три раза больше, чем сам компьютер и вся его программная начинка. Как сказал мне один знакомый, предложенные мероприятия по защите обойдутся в сумму, равную шестилетнему ИТ-бюджету его организации. Ясно, что таких денег нет», - говорит Борис Зингерман, заведующий отделом компьютеризации Гематологического научного центра. При этом совершенно непонятно, кто и как будет подобные расходы компенсировать. Вряд ли пациенты готовы взять эти расходы на себя.

Сейчас в лечебных учреждениях только начали внедрять медицинские информационные системы (МИС), разрабатываются стандарты на электронную историю болезни. Однако, как замечает Евгений Модин, руководитель направления консалтинга компании Aladdin: «Принятие стандарта ГОСТ Р 52636-2006 “Электронная история болезни”, к сожалению, не позволило решить вопросы взаимодействия между различными медицинскими учреждениями, полностью отказаться от бумажных историй болезни. Очевидно, что дальнейшее развитие данного направления тесно связано с развитием электронного документооборота, а для этого необходимы изменения в законодательных актах».

Скорее всего, выполнение впрямую требований Федерального закона «О персональных данных» № 152-ФЗ может только еще больше отсрочить отказ российской медицины от бумажных медицинских карт. «Сегодня вся страна “болеет” законом “О персональных данных”. Некоторые болеют особенно остро, некоторые с умеренными симптомами. Никто толком не знает, чем и как лечиться: стоит ли покупать супердорогие антибиотики или этот “насморк” пройдет сам по себе? - отмечает Зингерман. - Медицинские данные требуют по закону самой высокой степени защиты среди всех видов персональных данных. И если ввязываться в эту историю, как говорится, по “полной программе”, то здравоохранение можно просто закрывать. С другой стороны, в головах руководителей ЛПУ живет трезвая мысль: “Ну не закроют же медицинское учреждение из-за каких-то персональных данных. Иначе кто тогда будет лечить субъектов этих персональных данных?” Поскольку денег на адекватную защиту нет, то их не выделяют вообще ни на какую защиту».

Методология

Именно поэтому Министерство здравоохранения и социального развития инициировало процесс согласования требований закона № 152-ФЗ с одним из регуляторов - ФСТЭК, чтобы выполнить требования закона, но в то же время не израсходовать слишком много бюджетных денег и не остановить развитие медицинской отрасли из-за неоправданно завышенных законодательных требований по защите. В декабре 2009 года были опубликованы «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», которые призваны сократить затраты на защиту медицинских персональных данных.

В частности, вот как объясняется в этом документе, почему медицинским учреждениям не нужно выполнять требования по первому классу защищенности для типовых информационных систем: «В медицинских учреждениях все ИСПДн будут отнесены к специальным, поскольку обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных, а также потому, что, как правило, помимо конфиденциальности требуется обеспечить свойство целостности ПДн. Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных». Именно поэтому в списке необходимых документов, которые должны подготовить медицинские учреждения (см. врезку «Перечень документов»), фигурирует «модель угроз». Это означает, что медицинским учреждениям необязательно ставить системы шифрования или системы противодействия утечкам по техническим каналам, если эти угрозы не указаны в модели. Другими словами, от того, насколько правильно составлена модель угроз, зависит, какие именно средства защиты потребуется установить в медицинском учреждении.

При составлении частной модели угроз рекомендуется «исключение из модели маловероятных угроз, что существенно снизит затраты на реализацию механизмов защиты на дальнейших этапах работ». В частности, атака с использованием перехвата побочного излучения для медицинских учреждений, очевидно, является маловероятной, поэтому она может быть исключена - это сильно снизит затраты на реализацию системы защиты в дальнейшем. Таким образом, исключение маловероятных угроз позволяет не внедрять самые сложные системы защиты и сэкономить значительные средства.

Кроме того, как поясняет Игорь Фохт, аналитик центра медицинских разработок Института программных систем им. А. К. Айламазяна, «в МИС не предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных - юридически значимым документом является “бумажная” история болезни, по которой принимаются решения». Таким образом, хотя в общей классификации сведения о здоровье и являются «опасными», в медицинских системах они таковыми не являются - решения все равно принимаются на основании бумажной истории болезни. Зингерман добавляет: «Наш коллега Н. Е. Шкловский, который много занимался психологическими аспектами тяжелых заболеваний, утверждает, что по-настоящему больной человек, наоборот, старается показать свои медицинские данные любому, кто готов его выслушать, в надежде на дополнительную помощь в борьбе с болезнью». Так что, вполне возможно, пациенты будут считать опасным не разглашение медицинских сведений, а, наоборот, ограничение доступа к ним.

Впрочем, даже всего вышеназванного может не хватить в медицинских учреждениях для снижения необходимого уровня защиты до приемлемого минимума. Поэтому в методологии предлагается еще несколько методов, которые предназначены для минимизации расходов.

Обезличивание

Обезличивание персональных данных является хорошим приемом снижения расходов на защиту. Дело в том, что для выполнения лечебных процедур врачу совсем не обязательно знать, как зовут пациента - ему нужен диагноз и другие медицинские данные. Значит, появляется возможность ввести специальный идентификатор, который, с одной стороны, не позволяет идентифицировать пациента, а с другой - позволяет привязать к нему все необходимые врачам данные о конкретном человеке. Сюда же относится и кодирование диагнозов. Кодификатор болезней стоит также вынести в отдельную информационную систему или иметь в виде бумажного справочника. В результате сведения о состоянии здоровья пациента (а они являются специальной категорией персональных данных) будут вынесены за пределы медицинской информационной системы.

Вот как подобный прием определен в методологии: «Обезличивание можно провести путем нормализации баз данных. После выполнения обезличивания защите будет подлежать (по требованиям регулирующих документов) лишь справочник, позволяющий выполнить обратное преобразование». То есть в медицинском учреждении при первичном приеме на пациента заводится специальный идентификатор, а соответствие между именем пациента и его идентификационным номером обеспечивается справочником, который, как правило, располагается в регистратуре. Причем этот справочник может храниться только на одном компьютере и не содержать сведений о здоровье пациента, что позволяет снизить необходимый класс защиты. Значит, требования к общей системе могут быть снижены.

Абстрагирование

Еще одним приемом по снижению уровня персональных данных является «размывание» точных данных о пациентах, то есть вместо прямого указания диагноза можно просто внести пациента в группу риска или группу для прохождения определенной процедуры. Такой прием позволяет хранить в базе не точные сведения о здоровье, а лишь некоторые атрибуты, понятные только специалистам. Другой пример абстрагирования - это разделение пациентов по участкам: вместо точного адреса пациента поликлиника может сохранять в базе лишь номер участка, а точный адрес хранить либо в регистрационной карточке пациента на бумаге, либо в отдельной, хорошо защищенной информационной системе.

В методологии Минздравсоцразвития этот прием комментируется так: «Зачастую на некоторых участках обработки или сегментах сети персональные данные можно сделать менее точными, например путем группирования общих. При грамотном использовании такой прием позволит без ущерба для основной деятельности снизить класс ИСПДн». Однако подобный прием, с одной стороны, снижает стоимость защитной системы, а с другой - может потребовать перестройки медицинской информационной системы учреждения. Что будет дешевле, то и стоит предпринимать в каждом конкретном случае.

Сегментация

Собственно, два приведенных выше приема по снижению расходов при построении защиты персональных данных можно свести к одному - разделению общей базы, где хранится вся информация обо всех пациентах, на несколько специализированных, в каждой из которых класс хранимых персональных данных будет ниже, чем в исходной. При обезличивании таким образом скрывается идентификационная информация пациентов, а при абстрагировании - сведения об их здоровье. В обоих случаях из общей медицинской информационной системы вырываются наиболее важные для защиты персональных данных сведения и переносятся в среду, где выполнить требования закона проще. Однако и сама МИС может быть разделена на части таким образом, чтобы в каждой из них обрабатывался свой класс персональных данных. Ту часть, где приходится обрабатывать наиболее важные данные, лучше минимизировать, что существенно снижает затраты на защиту.

Сегментация также входит в рекомендации Минздравсоцразвития, где она поясняется следующими словами: «Физическая или логическая сегментация ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в которых происходит автоматизированная обработка персональных данных. Данные работы можно провести с помощью соответствующей настройки существующих в учреждении сертифицированных межсетевых экранов (МСЭ)». Таким образом, в рекомендации определен даже защитный механизм, позволяющий разделить одну информационную систему на сегменты с различными уровнями персональных данных. Правда, для соблюдения всех требований необходимо, чтобы межсетевой экран был сертифицирован.

Разделение данных

Еще одной проблемой медицинских учреждений является размер базы данных. Дело в том, что выбор средств защиты, которые необходимо установить для предотвращения утечек персональных данных, зависит от количества записей в базе - чем их больше, тем более сложными продуктами приходится защищаться. Количество пациентов в лечебном учреждении может быть достаточно большим, поэтому сведения обо всех пациентах стоит разделить на несколько баз данных, например по участкам или по отделениям. Тогда удастся снизить уровень необходимых средств защиты, а также уменьшить требования к масштабированию всей информационной системы учреждения. Скорее всего, возникнут проблемы в координации деятельности отделений, поэтому рекомендуется делить базы так, чтобы они не потребовали согласования.

Вот как прием разделения баз данных описан в методологии: «В некоторых случаях возможно уменьшение количества субъектов ПДн, обрабатываемых в системе, с помощью разделения баз персональных данных. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных». То есть чиновники министерства рекомендуют использовать возможности СУБД для разделения базы данных на несколько независимых частей без потери целостности всей базы. Однако стоит помнить, что если базы приходится разделять, то и располагаться их данные должны в разных хранилищах, а СУБД - на разных серверах. Таким образом, этот прием может потребовать увеличения количества серверов, что в целом способно увеличить общую стоимость системы, поэтому прежде чем использовать данный метод, стоит просчитать его экономические последствия.

Аналогичное решение предлагает и Игорь Игнатущенко, директор по клиентским сервисам компании «Пост Модерн Текнолоджи». По его словам, «в терминологии закона “О персональных данных” медицинская информационная система фактически является лишь частью информационной системы персональных данных. Сами же ИСПДн, как правило, являются целиком аппаратно-программными комплексами, в которых обрабатываются персональные данные». Такие сертифицированные продукты могут быть хорошо защищены в полном соответствии с требованиями регламентирующих документов, однако они могут находиться за пределами МИС и содержать в себе все персональные данные. Поскольку в этом случае в самой МИС не хранятся и не обрабатываются персональные данные, то и защищать их не обязательно.

Как бы то ни было, даже при разделении персональных данных по различным информационным системам и снижении класса ИСПДн другими методами нужно соблюдать все требования для данного класса. В частности, даже для низшего третьего класса систем рекомендуется использовать продукты, сертифицированные ФСТЭК России как минимум на наличие недекларированных возможностей. Кроме того, требуется создавать специальное подразделение, ответственное за обработку персональных данных, и назначать ответственных сотрудников в каждом подразделении, где обрабатываются персональные данные. В методической рекомендации Минздравсоцразвития есть перечень документов (см. врезку «Перечень документов»), которые необходимо подготовить в учреждении, чтобы доказать проверяющему органу, что на предприятии проводится работа по защите персональных данных. Кроме того, там же есть рекомендации по использованию средств защиты, которые необходимо применять для защиты ИСПДн (см. врезку «Средства защиты»).

Перспективы

Закон № 152-ФЗ полностью вступает в силу с января 2011 года, с этого момента начинаются плановые проверки операторов персональных данных. Обычно проверяющие вначале запрашивают набор документов и, только ознакомившись с ними, могут провести проверку соответствия. Если же документы подготовлены правильно, то, скорее всего, проверяющие не будут проводить дальнейшие сверки соответствия документов реальному положению дел. Впрочем, если проверка не плановая, а по жалобе граждан, то ситуация может быть другой.

Медицинские учреждения вполне могут подготовить указанные в списке документы за достаточно короткое время. Причем в методике явно указано, что все документы могут быть подготовлены сотрудниками самих медицинских учреждений без привлечения дополнительных консультантов - даже приведены шаблоны документов, которые просто достаточно правильно заполнить. Организационные меры практически не требуют расходов, кроме средств на зарплату соответствующих сотрудников.

Таким образом, даже если медицинское заведение ничего не знало до сегодняшнего дня про закон «О персональных данных», у него еще есть шанс быстро выполнить минимум необходимых действий, чтобы не быть наказанным регуляторами.

К тому же Минздравсоцразвития фактически часть ответственности берет на себя. «Суть этих весьма объемных рекомендаций состоит в том, чтобы понизить класс защиты персональных данных в медицинском учреждении с “невменяемого” уровня защищенности класса 1 до класса 3, весьма нетребовательного в плане защиты, - поясняет Зингерман. - Некоторые эксперты считают, что методы, которыми этого добиваются, не совсем однозначны. Но главное, что Минздравсоцразвития взяло ответственность на себя. Спасибо ему за это!» Другими словами, ссылка на рекомендации Минздравсоцразвития должна быть существенным аргументом для проверяющих.

Игнатущенко считает, что «разобраться в требованиях закона на самом деле не так сложно, а “побочных” дивидендов это может принести достаточно: от оптимизации собственных бизнес-процессов и ИТ-инфраструктуры до имиджевых преимуществ. Если подойти к этому ответственно, то вполне возможно привести инфраструктуру в соответствие требованиям закона № 152-ФЗ за два-три месяца». Его мнение разделяет и Модин: «Выполнения рекомендаций Минздравсоцразвития будет достаточно для того, чтобы на 1 января 2011 года соответствовать основным требованиям закона “О персональных данных”. Возможно, останутся некоторые специфические задачи, которые необходимо будет решить в дальнейшем, но основные требования будут выполнены».

Впрочем, по-прежнему существует мнение, что медицинские учреждения не успеют выполнить все требования закона. В частности, Егоренко считает, что «на данный момент можно с уверенностью заявить: лишь незначительное число медицинских лечебных учреждений успеют выполнить у себя весь комплекс организационно-технических мероприятий, требуемых нормативными и руководящими документами по защите персональных данных. К таким учреждениям могут быть отнесены те, в которых уже началась реализация системы защиты персональных данных, а также относительно небольшие медицинские конторы, сроки создания систем защиты для которых могут составлять всего один-два месяца». Таким образом, вполне возможно, что часть медицинских учреждений, особенно крупных, может быть наказана за несоблюдение закона «О персональных данных».

Валерий Коржов - обозреватель еженедельника «Computerworld Россия»; [email protected]

Средства защиты
Категория Внедрение Рекомендованный продукт
Антивирусы обязательно «Антивирус Касперского», Dr. Web
Межсетевой экран обязательно ViPNet, «Застава-S»
Управление доступом необязательно
Защита от программно-математических воздействий необязательно
Подсистема регистрации и учета необязательно
Обеспечение целостности необязательно
Контроль отсутствия недекларированных возможностей необязательно
Анализ защищенности необязательно
Обнаружение вторжений необязательно
Перечень документов
  1. Разработать и утвердить приказ о защите персональных данных.
  2. Разработать и утвердить приказ о подразделении по защите персональных данных.
  3. Разработать и утвердить приказ о назначении ответственных лиц за обработку персональных данных.
  4. Разработать и утвердить «Концепцию информационной безопасности» и «Политику информационной безопасности».
  5. Разработать и утвердить приказ о проведении внутренней проверки. Результат оформить в виде отчета.
  6. Определить состав и категории обрабатываемых персональных данных. Результат оформить в виде перечня ПДн.
  7. Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные. Результат оформить в виде акта классификации.
  8. Разработать и утвердить положение о разграничении прав доступа к обрабатываемым персональным данным.
  9. Адаптировать модель угроз для конкретной ИСПДн учреждения. Результат оформить в виде модели угроз.
  10. Разработать и утвердить план мероприятий по защите ПДн. Необходимо учесть, что план мероприятий может быть пересмотрен через шесть месяцев ввиду опубликования новых пояснений к закону № 152-ФЗ.
  11. Зарегистрироваться в качестве оператора персональных данных: подготовить и направить уведомление в территориальный орган Россвязькомнадзора - уполномоченный орган по защите прав субъектов персональных данных.
  12. Назначить ответственных за обеспечение безопасности персональных данных и подготовить должностные инструкции сотрудников, обрабатывающих ПДн.
  13. Разработать и утвердить порядок резервирования и восстановления работоспособности технических средств и ПО, баз данных и средств защиты информации.
  14. Разработать и утвердить план внутренних проверок состояния защиты ПДн.
  15. Разработать и утвердить журнал учета обращений субъектов ПДн о выполнении их законных прав.
  16. Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
  17. Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн.
  18. Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн.
  19. Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн.
Валерий Коржов