Rambler's Top100
 
Статьи
09 января 2014

В.ДМИТРИЕВ: В наших законах больше санкций за нарушение правил, нежели стандартов

Защита персональных данных в медицине столь же актуальна, как и в банковском секторе. Однако проблемы инфобезопасности часто тормозят процессы информатизации.

Читайте полную версию Дискуссионного клуба «ИКС», №11`2013, «ИТ-здоровье». Часть V. 


? ИКС: Являются ли проблемы информационной безопасности сдерживающим фактором для информатизации здравоохранения? В чем особенности защиты персональных данных в медицинских ИС и специфика разработки решений, призванных обеспечить конфиденциальность и безопасность персональных медицинских данных?  Андрей СВИРИДЕНКО


Андрей СВИРИДЕНКО, председатель правления SPIRIT: Когда речь идет о медицине, информация о пациентах должна быть максимально защищена. Этим летом, когда разразился скандал, последовавший за разглашением Эдвардом Сноуденом данных о сотрудничестве со спецслужбами США софтверных гигантов Microsoft, Skype, Google, Facebook и других крупнейших интернет компаний, мы еще раз убедились в том, что нельзя рассчитывать на сохранение конфиденциальности личной или служебной информации, расположенной на зарубежных веб-сервисах. Мы не рекомендуем использовать в телемедицине, когда речь идет о здоровье и жизни людей, любительские VoIP-сервисы и программные продукты дискредитировавших себя зарубежных компаний. Между тем в России уже существуют защищенные программные продукты для видеоконференций, не подконтрольные ни зарубежным компаниям, ни сотрудничающим с ними спецслужбам. Владимир ДМИТРИЕВ


Владимир ДМИТРИЕВ, директор по продажам подразделения системной интеграции, T-Systems CIS: Нормативно-правовая база по обработке персональных данных значительно затрудняет внедрение новых технологий в медицине. Так как медицинские данные подлежат наиболее высокому уровню защиты, и в нашем законодательстве лучше и больше прописаны санкции за их нарушение, нежели стандарты, которым необходимо следовать. 

Максим МАКСИМОВМаксим МАКСИМОВ, руководитель отдела защиты персональных данных, LETA: В связи с тем, что эксплуатация медицинских ИС предполагает обработку специальных категорий персональных данных, а именно – информации о здоровье, можно предположить, что в большинстве случаев в данных ИС потребуется обеспечение первого или второго уровня защищенности персональных данных. Выход на данные уровни влечет за собой необходимость применения средств защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей, а это «удовольствие» не из дешевых. Также в медицинских учреждениях возможна эксплуатация государственных информационных систем (ГИС), которая подразумевает необходимость выполнения более жестких требований законодательства в области обработки и защиты персональных данных (применение исключительно сертифицированных средств защиты информации, аттестация ИС). В целом же обработка специальных категорий персональных данных подразумевает более глубокую проработку вопросов, связанных именно с организацией правомерной обработки персональных данных: получение согласия на обработку/передачу ПДн, заключение необходимых договоров с субъектами ПДн и т.д. 

Григорий ШЕВЧЕНКОГригорий ШЕВЧЕНКО, коммерческий директор, Открытые Технологии: Если при разработке и внедрении медицинских информационных систем не принимать во внимание и не выполнять требования по ИБ, ограничиваясь реализацией "функционала", то действительно возникнут «проблемы» с ИБ. Применение средств защиты может быть не всегда удобно пользователям, наличие подсистемы ИБ увеличивает стоимость проекта, но без этого, я считаю, проводить информатизацию медицины нельзя. Персональные данные, обрабатываемые в медицинских информационных системах, относятся к специальным категориям персональных данных. И, в соответствии с Постановлением Правительства РФ №1119, для них должен выбираться второй или первый уровень защищённости. То есть к защите таких данных предъявляются самые высокие требования. Я думаю, ни губернатору, ни простому фермеру не понравится, если их медицинские данные или данные членов их семей станут достоянием гласности.  Дамир ЕНГАЛЫЧЕВ


Дамир ЕНГАЛЫЧЕВ, директор по работе с ключевыми заказчиками департамента по работе со здравоохранением, IBS: Существующие технологии во многом могут обеспечить раздельное хранение демографических и медицинских данных, требования законодательства суровы, но выполнимы. Всё остальное - это культура людей, работающих с этими технологиями. А этим часто пренебрегают. Так, например, внедрение продвинутых систем, обеспечивающих персонифицированное управление правами и ролями, натыкается на то, что врачи попросту оставляют карты доступа к системе под клавиатурой. Надо работать с культурой персонала в части обеспечения информационной безопасности.  Олег СИМАКОВ


Олег СИМАКОВ, директор по ИТ, Медицинский информационно-аналитический центр РАМН: Сказать, что проблем информационной безопасности нет, было бы некорректно: законодательство о защите персональных данных есть (152-ФЗ, 63-ФЗ), но в то же время существуют определенные трудности в реализации этих требований в полном объеме. С одной стороны требования сформулированы неоднозначно, с другой стороны часть положений явно избыточны, да и реальные медицинские организации и органы управления здравоохранением не имеют достаточно средств для реализации всех этих требований, особенно имеющих неоднозначное трактование. Меняются представления регуляторов в части использования средств криптозащиты, которые в значительной мере могли бы снять проблемы, с большим опозданием регуляторы выпускают подзаконные акты, например приказы ФСТЭК и ФСБ, да и качество отдельных положений этих документов тоже вызывает вопросы в части практической реализации.


Подготовила Евгения Волынкина

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!