Неумолимо приближается срок вступления в силу федерального закона «О персональных данных» — 1 января 2010 года. К этому времени каждая организация здравоохранения должна будет для начала составить акт об отнесении информационной системы обработки персональных данных к одному из классов типовых систем.
«Передовым» лечебно-профилактическим учреждениям (ЛПУ), которые успели обзавестись информационными системами, особенно не повезло — медицинские системы относятся к специальным, для которых в настоящее время не существует классификаторов. Далее необходимо зарегистрироваться в качестве оператора персональных данных, организовать получение, учет и хранение письменного согласия пациента на обработку его данных. Кроме того, закон предписывает информировать пациентов по их запросам о сроках, способах обработки персональных данных и лицах, имеющих к ним доступ. Причем информация должна быть предоставлена бесплатно в течение десяти рабочих дней. Собственно создание системы защиты конфиденциальной информации тоже включает целый комплекс мероприятий: обследование объекта, оформление документа «Модель угроз безопасности», написание технического задания на создание системы, закупку и установку средств криптографической защиты. Затем потребуется издать приказы о допуске персонала к работе с персональными данными, написать регламенты обработки конфиденциальной информации, назначить ответственных за обеспечение безопасности и обучение персонала. После испытания системы и приказа о вводе в эксплуатацию придется пройти аттестацию на соответствие системы заявленному классу, которую проводят уполномоченные организации, имеющие специальные лицензии ФСТЭК и ФСБ. Желательно при этом отследить, чтобы сроки действия сертификатов на аттестацию системы и на средства криптозащиты совпадали. Кроме того, следует получить лицензию ФСТЭК на организацию технической защиты информации, что подразумевает наличие в штате не менее трех соответствующих специалистов.
По словам директора департамента информатизации Минздравсоцразвития Олега Симакова, планируется объявить конкурс на разработку методических указаний для ЛПУ, выполнение которых снизит затраты на удовлетворение требований федерального закона «О персональных данных». Правда, непонятно, когда ЛПУ успеют выполнить данные методические указания, учитывая, что остался всего квартал.
Совершенно ясно, что сделать это до января нереально. Законопослушные руководители ЛПУ в ужасе, ведь выполнение некоторых положений федерального закона, например сбор бумаг, подтверждающих письменное согласие пациентов при выписке каждого рецепта, способно парализовать всю работу. Не говоря уже о том, что производительность информационных систем зарубежного происхождения при шифровании данных отечественными криптосредствами падает в два-семь раз, отметил в своем выступлении на недавней конференции, организованной компанией InterSystems, заместитель директора МИАЦ РАМН Андрей Столбов.
На этапе создания закона утверждалось, что его реализация не потребует дополнительных затрат федерального бюджета. Однако, по оценке Столбова, для выполнения положений этого закона потребуется приблизительно 6% ВВП. Если бы такая оценка прозвучала в Госдуме, вряд ли этот закон был бы принят. Ведь владельцев данных — налогоплательщиков интересует не только их безопасность, но и ее цена.
О том, в какой степени владельцы персональных данных на самом деле заинтересованы в их защите, в какой-то мере можно судить по результатам эксперимента, проведенного во Франции: из 30 тыс. пациентов только 100 решили скрыть какую-то часть своих данных. Остальные предпочли дать всем врачам полную информацию о себе.