Rambler's Top100
Статьи ИКС № 11 2013
Андрей ПРОЗОРОВ  11 ноября 2013

Требований инфобезопасности слишком много

С точки зрения информационной безопасности есть несколько проблем, которые сдерживают развитие информатизации здравоохранения в РФ. Прежде всего это большое число требований, связанных с защитой персональных данных (152-ФЗ, ПП1119, приказ ФСТЭК №21 и другие), которые необходимо учитывать и выполнять.

Андрей ПРОЗОРОВ, ведущий эксперт по информационной безопасности, InfoWatchС учетом того, что в ИС здравоохранения обрабатываются персональные данные о здоровье (специальная категория ПДн), количество и сложность требований, а значит, и стоимость их выполнения, возрастают. Ситуацию усугубляют многочисленные требования, связанные с использованием государственных и муниципальных ИС (приказ ФСТЭК №17), которые необходимо будет выполнять при подключении к ЕГИСЗ, что тоже непросто и довольно затратно.

Но основная сложность в том, что все эти требования периодически меняются. Так, в 2011 г. был существенно изменен 152-ФЗ, в конце 2012 г. вышло постановление Правительства №1119, в начале 2013 г. – приказ ФСТЭК России №21, а сейчас регуляторы готовят рекомендации по выполнению его требований. Подход к защите персональных данных за последние полгода серьезно изменился, и тем операторам, которые привели свои информационные системы в соответствие ранним требованиям, сейчас придется проделать дополнительную работу.

Большинство данных пациентов, обрабатываемых в МИС, подпадают под «специальную категорию ПДн» (сведения о состоянии здоровья, лабораторных исследованиях и пр.), а также в ряде случаев и под категорию «биометрические персональные данные», что повышает требования к системе защиты. Медицинские учреждения должны также обеспечивать безопасную трансграничную передачу персональных данных пациентов (например, при телемедицине). Помимо стандартных средств обработки данных (рабочие станции и серверы) в МИС может присутствовать специализированное медицинское оборудование, для которого не подходят стандартные программные и аппаратные средства защиты информации, и тогда должны применяться встроенные средства защиты и/или организационные меры. Кроме того, довольно часто в медицинских учреждениях встречается «самописное» и/или разработанное по договору ПО, при создании которого практически не учитывались требования ИБ. Проверить и внести необходимые изменения в исходный код и настройки таких систем обычно бывает непросто.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: