Есть целая отрасль, которая активно работает с наиболее важными персональными данными, — это медицина. В соответствии с классификацией ФСТЭК России сведения о здоровье человека относятся к специальным. Это означает, что для обеспечения безопасности информационной системы, обрабатывающей подобные сведения, требуются наиболее сложные меры по защите данных — вплоть до развертывания средств для предотвращения утечек побочного электромагнитного излучения и для строгого шифрования накопленных данных.
Ситуация усугубляется тем, что медицинские учреждения, как правило, обрабатывают значительные объемы персональных данных, а регулирующие документы требуют в таком случае использования дополнительных средств защиты. «Особенности у информационных систем персональных данных (ИСПДн) лечебных учреждений, безусловно, имеются и касаются они следующих вещей: высокий класс ИСПДн — в медицинских учреждениях обрабатываются сведения о состоянии здоровья большого числа субъектов; территориальная распределенность —
почти каждое лечебно-профилактическое учреждение (ЛПУ) состоит из нескольких корпусов, некоторые из которых могут быть значительно удалены от других», — поясняет Игорь Егоренко, директор департамента региональных продаж компании «РАМЭК-ВС». В результате бюджет на защиту персональных данных может оказаться просто неподъемным для ЛПУ.
«Мне рассказывали, что департамент здравоохранения Москвы поручил ряду фирм провести обследование и определить мероприятия по защите персональных данных. В результате медицинские учреждения получили по 300-страничному тому, из которого следовало, что защита одного компьютера будет стоить в два-три раза больше, чем сам компьютер и вся его программная начинка. Как сказал мне один знакомый, предложенные мероприятия по защите обойдутся в сумму, равную шестилетнему ИТ-бюджету его организации. Ясно, что таких денег нет», — говорит Борис Зингерман, заведующий отделом компьютеризации Гематологического научного центра. При этом совершенно непонятно, кто и как будет подобные расходы компенсировать. Вряд ли пациенты готовы взять эти расходы на себя.
Сейчас в лечебных учреждениях только начали внедрять медицинские информационные системы (МИС), разрабатываются стандарты на электронную историю болезни. Однако, как замечает Евгений Модин, руководитель направления консалтинга компании Aladdin: «Принятие стандарта ГОСТ Р 52636-2006 “Электронная история болезни”, к сожалению, не позволило решить вопросы взаимодействия между различными медицинскими учреждениями, полностью отказаться от бумажных историй болезни. Очевидно, что дальнейшее развитие данного направления тесно связано с развитием электронного документооборота, а для этого необходимы изменения в законодательных актах».
Скорее всего, выполнение впрямую требований Федерального закона «О персональных данных» № 152-ФЗ может только еще больше отсрочить отказ российской медицины от бумажных медицинских карт. «Сегодня вся страна “болеет” законом “О персональных данных”. Некоторые болеют особенно остро, некоторые с умеренными симптомами. Никто толком не знает, чем и как лечиться: стоит ли покупать супердорогие антибиотики или этот “насморк” пройдет сам по себе? — отмечает Зингерман. — Медицинские данные требуют по закону самой высокой степени защиты среди всех видов персональных данных. И если ввязываться в эту историю, как говорится, по “полной программе”, то здравоохранение можно просто закрывать. С другой стороны, в головах руководителей ЛПУ живет трезвая мысль: “Ну не закроют же медицинское учреждение из-за каких-то персональных данных. Иначе кто тогда будет лечить субъектов этих персональных данных?” Поскольку денег на адекватную защиту нет, то их не выделяют вообще ни на какую защиту».
Методология
Именно поэтому Министерство здравоохранения и социального развития инициировало процесс согласования требований закона № 152-ФЗ с одним из регуляторов — ФСТЭК, чтобы выполнить требования закона, но в то же время не израсходовать слишком много бюджетных денег и не остановить развитие медицинской отрасли из-за неоправданно завышенных законодательных требований по защите. В декабре 2009 года были опубликованы «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», которые призваны сократить затраты на защиту медицинских персональных данных.
В частности, вот как объясняется в этом документе, почему медицинским учреждениям не нужно выполнять требования по первому классу защищенности для типовых информационных систем: «В медицинских учреждениях все ИСПДн будут отнесены к специальным, поскольку обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных, а также потому, что, как правило, помимо конфиденциальности требуется обеспечить свойство целостности ПДн. Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных». Именно поэтому в списке необходимых документов, которые должны подготовить медицинские учреждения (см. врезку «Перечень документов»), фигурирует «модель угроз». Это означает, что медицинским учреждениям необязательно ставить системы шифрования или системы противодействия утечкам по техническим каналам, если эти угрозы не указаны в модели. Другими словами, от того, насколько правильно составлена модель угроз, зависит, какие именно средства защиты потребуется установить в медицинском учреждении.
При составлении частной модели угроз рекомендуется «исключение из модели маловероятных угроз, что существенно снизит затраты на реализацию механизмов защиты на дальнейших этапах работ». В частности, атака с использованием перехвата побочного излучения для медицинских учреждений, очевидно, является маловероятной, поэтому она может быть исключена — это сильно снизит затраты на реализацию системы защиты в дальнейшем. Таким образом, исключение маловероятных угроз позволяет не внедрять самые сложные системы защиты и сэкономить значительные средства.
Кроме того, как поясняет Игорь Фохт, аналитик центра медицинских разработок Института программных систем им. А. К. Айламазяна, «в МИС не предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных — юридически значимым документом является “бумажная” история болезни, по которой принимаются решения». Таким образом, хотя в общей классификации сведения о здоровье и являются «опасными», в медицинских системах они таковыми не являются — решения все равно принимаются на основании бумажной истории болезни. Зингерман добавляет: «Наш коллега Н. Е. Шкловский, который много занимался психологическими аспектами тяжелых заболеваний, утверждает, что по-настоящему больной человек, наоборот, старается показать свои медицинские данные любому, кто готов его выслушать, в надежде на дополнительную помощь в борьбе с болезнью». Так что, вполне возможно, пациенты будут считать опасным не разглашение медицинских сведений, а, наоборот, ограничение доступа к ним.
Впрочем, даже всего вышеназванного может не хватить в медицинских учреждениях для снижения необходимого уровня защиты до приемлемого минимума. Поэтому в методологии предлагается еще несколько методов, которые предназначены для минимизации расходов.
Обезличивание
Обезличивание персональных данных является хорошим приемом снижения расходов на защиту. Дело в том, что для выполнения лечебных процедур врачу совсем не обязательно знать, как зовут пациента — ему нужен диагноз и другие медицинские данные. Значит, появляется возможность ввести специальный идентификатор, который, с одной стороны, не позволяет идентифицировать пациента, а с другой — позволяет привязать к нему все необходимые врачам данные о конкретном человеке. Сюда же относится и кодирование диагнозов. Кодификатор болезней стоит также вынести в отдельную информационную систему или иметь в виде бумажного справочника. В результате сведения о состоянии здоровья пациента (а они являются специальной категорией персональных данных) будут вынесены за пределы медицинской информационной системы.
Вот как подобный прием определен в методологии: «Обезличивание можно провести путем нормализации баз данных. После выполнения обезличивания защите будет подлежать (по требованиям регулирующих документов) лишь справочник, позволяющий выполнить обратное преобразование». То есть в медицинском учреждении при первичном приеме на пациента заводится специальный идентификатор, а соответствие между именем пациента и его идентификационным номером обеспечивается справочником, который, как правило, располагается в регистратуре. Причем этот справочник может храниться только на одном компьютере и не содержать сведений о здоровье пациента, что позволяет снизить необходимый класс защиты. Значит, требования к общей системе могут быть снижены.
Абстрагирование
Еще одним приемом по снижению уровня персональных данных является «размывание» точных данных о пациентах, то есть вместо прямого указания диагноза можно просто внести пациента в группу риска или группу для прохождения определенной процедуры. Такой прием позволяет хранить в базе не точные сведения о здоровье, а лишь некоторые атрибуты, понятные только специалистам. Другой пример абстрагирования — это разделение пациентов по участкам: вместо точного адреса пациента поликлиника может сохранять в базе лишь номер участка, а точный адрес хранить либо в регистрационной карточке пациента на бумаге, либо в отдельной, хорошо защищенной информационной системе.
В методологии Минздравсоцразвития этот прием комментируется так: «Зачастую на некоторых участках обработки или сегментах сети персональные данные можно сделать менее точными, например путем группирования общих характеристик. При грамотном использовании такой прием позволит без ущерба для основной деятельности снизить класс ИСПДн». Однако подобный прием, с одной стороны, снижает стоимость защитной системы, а с другой — может потребовать перестройки медицинской информационной системы учреждения. Что будет дешевле, то и стоит предпринимать в каждом конкретном случае.
Сегментация
Собственно, два приведенных выше приема по снижению расходов при построении защиты персональных данных можно свести к одному — разделению общей базы, где хранится вся информация обо всех пациентах, на несколько специализированных, в каждой из которых класс хранимых персональных данных будет ниже, чем в исходной. При обезличивании таким образом скрывается идентификационная информация пациентов, а при абстрагировании — сведения об их здоровье. В обоих случаях из общей медицинской информационной системы вырываются наиболее важные для защиты персональных данных сведения и переносятся в среду, где выполнить требования закона проще. Однако и сама МИС может быть разделена на части таким образом, чтобы в каждой из них обрабатывался свой класс персональных данных. Ту часть, где приходится обрабатывать наиболее важные данные, лучше минимизировать, что существенно снижает затраты на защиту.
Сегментация также входит в рекомендации Минздравсоцразвития, где она поясняется следующими словами: «Физическая или логическая сегментация ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в которых происходит автоматизированная обработка персональных данных. Данные работы можно провести с помощью соответствующей настройки существующих в учреждении сертифицированных межсетевых экранов (МСЭ)». Таким образом, в рекомендации определен даже защитный механизм, позволяющий разделить одну информационную систему на сегменты с различными уровнями персональных данных. Правда, для соблюдения всех требований необходимо, чтобы межсетевой экран был сертифицирован.
Разделение данных
Еще одной проблемой медицинских учреждений является размер базы данных. Дело в том, что выбор средств защиты, которые необходимо установить для предотвращения утечек персональных данных, зависит от количества записей в базе — чем их больше, тем более сложными продуктами приходится защищаться. Количество пациентов в лечебном учреждении может быть достаточно большим, поэтому сведения обо всех пациентах стоит разделить на несколько баз данных, например по участкам или по отделениям. Тогда удастся снизить уровень необходимых средств защиты, а также уменьшить требования к масштабированию всей информационной системы учреждения. Скорее всего, возникнут проблемы в координации деятельности отделений, поэтому рекомендуется делить базы так, чтобы они не потребовали согласования.
Вот как прием разделения баз данных описан в методологии: «В некоторых случаях возможно уменьшение количества субъектов ПДн, обрабатываемых в системе, с помощью разделения баз персональных данных. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных». То есть чиновники министерства рекомендуют использовать возможности СУБД для разделения базы данных на несколько независимых частей без потери целостности всей базы. Однако стоит помнить, что если базы приходится разделять, то и располагаться их данные должны в разных хранилищах, а СУБД — на разных серверах. Таким образом, этот прием может потребовать увеличения количества серверов, что в целом способно увеличить общую стоимость системы, поэтому прежде чем использовать данный метод, стоит просчитать его экономические последствия.
Аналогичное решение предлагает и Игорь Игнатущенко, директор по клиентским сервисам компании «Пост Модерн Текнолоджи». По его словам, «в терминологии закона “О персональных данных” медицинская информационная система фактически является лишь частью информационной системы персональных данных. Сами же ИСПДн, как правило, являются целиком аппаратно-программными комплексами, в которых обрабатываются персональные данные». Такие сертифицированные продукты могут быть хорошо защищены в полном соответствии с требованиями регламентирующих документов, однако они могут находиться за пределами МИС и содержать в себе все персональные данные. Поскольку в этом случае в самой МИС не хранятся и не обрабатываются персональные данные, то и защищать их не обязательно.
Как бы то ни было, даже при разделении персональных данных по различным информационным системам и снижении класса ИСПДн другими методами нужно соблюдать все требования для данного класса. В частности, даже для низшего третьего класса систем рекомендуется использовать продукты, сертифицированные ФСТЭК России как минимум на наличие недекларированных возможностей. Кроме того, требуется создавать специальное подразделение, ответственное за обработку персональных данных, и назначать ответственных сотрудников в каждом подразделении, где обрабатываются персональные данные. В методической рекомендации Минздравсоцразвития есть перечень документов (см. врезку «Перечень документов»), которые необходимо подготовить в учреждении, чтобы доказать проверяющему органу, что на предприятии проводится работа по защите персональных данных. Кроме того, там же есть рекомендации по использованию средств защиты, которые необходимо применять для защиты ИСПДн (см. врезку «Средства защиты»).
Перспективы
Закон № 152-ФЗ полностью вступает в силу с января 2011 года, с этого момента начинаются плановые проверки операторов персональных данных. Обычно проверяющие вначале запрашивают набор документов и, только ознакомившись с ними, могут провести проверку соответствия. Если же документы подготовлены правильно, то, скорее всего, проверяющие не будут проводить дальнейшие сверки соответствия документов реальному положению дел. Впрочем, если проверка не плановая, а по жалобе граждан, то ситуация может быть другой.
Медицинские учреждения вполне могут подготовить указанные в списке документы за достаточно короткое время. Причем в методике явно указано, что все документы могут быть подготовлены сотрудниками самих медицинских учреждений без привлечения дополнительных консультантов — даже приведены шаблоны документов, которые просто достаточно правильно заполнить. Организационные меры практически не требуют расходов, кроме средств на зарплату соответствующих сотрудников.
Таким образом, даже если медицинское заведение ничего не знало до сегодняшнего дня про закон «О персональных данных», у него еще есть шанс быстро выполнить минимум необходимых действий, чтобы не быть наказанным регуляторами.
К тому же Минздравсоцразвития фактически часть ответственности берет на себя. «Суть этих весьма объемных рекомендаций состоит в том, чтобы понизить класс защиты персональных данных в медицинском учреждении с “невменяемого” уровня защищенности класса 1 до класса 3, весьма нетребовательного в плане защиты, — поясняет Зингерман. — Некоторые эксперты считают, что методы, которыми этого добиваются, не совсем однозначны. Но главное, что Минздравсоцразвития взяло ответственность на себя. Спасибо ему за это!» Другими словами, ссылка на рекомендации Минздравсоцразвития должна быть существенным аргументом для проверяющих.
Игнатущенко считает, что «разобраться в требованиях закона на самом деле не так сложно, а “побочных” дивидендов это может принести достаточно: от оптимизации собственных бизнес-процессов и ИТ-инфраструктуры до имиджевых преимуществ. Если подойти к этому ответственно, то вполне возможно привести инфраструктуру в соответствие требованиям закона № 152-ФЗ за два-три месяца». Его мнение разделяет и Модин: «Выполнения рекомендаций Минздравсоцразвития будет достаточно для того, чтобы на 1 января 2011 года соответствовать основным требованиям закона “О персональных данных”. Возможно, останутся некоторые специфические задачи, которые необходимо будет решить в дальнейшем, но основные требования будут выполнены».
Впрочем, по-прежнему существует мнение, что медицинские учреждения не успеют выполнить все требования закона. В частности, Егоренко считает, что «на данный момент можно с уверенностью заявить: лишь незначительное число медицинских лечебных учреждений успеют выполнить у себя весь комплекс организационно-технических мероприятий, требуемых нормативными и руководящими документами по защите персональных данных. К таким учреждениям могут быть отнесены те, в которых уже началась реализация системы защиты персональных данных, а также относительно небольшие медицинские конторы, сроки создания систем защиты для которых могут составлять всего один-два месяца». Таким образом, вполне возможно, что часть медицинских учреждений, особенно крупных, может быть наказана за несоблюдение закона «О персональных данных».
Валерий Коржов — обозреватель еженедельника «Computerworld Россия»; oskar@osp.ru
В методической рекомендации Минздравсоцразвития указаны следующие действия, которые должны выполнить все медицинские учреждения:
- Разработать и утвердить приказ о защите персональных данных.
- Разработать и утвердить приказ о подразделении по защите персональных данных.
- Разработать и утвердить приказ о назначении ответственных лиц за обработку персональных данных.
- Разработать и утвердить «Концепцию информационной безопасности» и «Политику информационной безопасности».
- Разработать и утвердить приказ о проведении внутренней проверки. Результат оформить в виде отчета.
- Определить состав и категории обрабатываемых персональных данных. Результат оформить в виде перечня ПДн.
- Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные. Результат оформить в виде акта классификации.
- Разработать и утвердить положение о разграничении прав доступа к обрабатываемым персональным данным.
- Адаптировать модель угроз для конкретной ИСПДн учреждения. Результат оформить в виде модели угроз.
- Разработать и утвердить план мероприятий по защите ПДн. Необходимо учесть, что план мероприятий может быть пересмотрен через шесть месяцев ввиду опубликования новых пояснений к закону № 152-ФЗ.
- Зарегистрироваться в качестве оператора персональных данных: подготовить и направить уведомление в территориальный орган Россвязькомнадзора — уполномоченный орган по защите прав субъектов персональных данных.
- Назначить ответственных за обеспечение безопасности персональных данных и подготовить должностные инструкции сотрудников, обрабатывающих ПДн.
- Разработать и утвердить порядок резервирования и восстановления работоспособности технических средств и ПО, баз данных и средств защиты информации.
- Разработать и утвердить план внутренних проверок состояния защиты ПДн.
- Разработать и утвердить журнал учета обращений субъектов ПДн о выполнении их законных прав.
- Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
- Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн.
- Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн.
- Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн.