Як захистити персданние в лікарні
У медицині в міру інформатизації галузі та автоматизації мережі лікувально-профілактичних установ питання захисту персональних даних набуває принципового значення. Але в Росії цього питання поки не приділяється належної уваги: кожна установа змушена вирішувати його самостійно, немає гідного фінансування і централізованого контролю.
Федеральний закон №152-ФЗ «Про захист персональних даних» є основним регулюючим документом в забезпеченні захисту інформації в медицині. Згідно з ним, лікувальні установи є операторами персональних даних, отже, забезпечення безпеки цих даних - їх зона відповідальності. Існують також ряд нормативно-методичних документів, ініційованих, наприклад, ФСБ і ФСТЕК Росії. Згідно запропонованим в них способам і порядку забезпечується безпека персональних даних, в тому числі і в охороні здоров'я. Благо, зараз на ринку інформаційних технологій представлено безліч засобів захисту, зазначає Володимир Соловйов. директор бізнес-центру «БАРС-Медицина» компанії «БАРС Груп».
«Що стосується конкретних рішень, то ринок тут досить вузький, - не погоджується генеральний директор компанії« Сван »Сергій Метелев. - Є кілька досить ефективних розробок і кілька схем побудови захисту, які диктують вибір конкретних технічних рішень ».
Проблема безпеки персональних даних поки вирішується у вигляді формальної відповідності 152-ФЗ і методичних рекомендацій МОЗ, вважає Костянтин Суслов. генеральний директор групи компаній ХОСТ. За його словами, для реального вирішення завдання безпеки треба, щоб самі пацієнти задумалися про те, кому вони готові надавати свої дані і як ці дозволи будуть забезпечуватися.
У Росії, як і в інших країнах, головна особливість захисту особистої інформації в медицині - це необхідність обробки колосального обсягу даних і виняткова важливість персональних відомостей. При цьому в нашій країні є яскраво виражена специфіка.
По-перше, тема захисту інформації в цілому і персональних даних зокрема зараз стає актуальною в зв'язку з початком масового впровадження інформаційних технологій в діяльність ЛПУ, зазначає ІгорьГрідін. генеральний директор компанії «АКСІМЕД». Наша країна приступила до інформатизації охорони здоров'я значно пізніше в порівнянні з Європою і США, які також проходили подібну фазу «усвідомлення проблеми» і необхідності її розв'язання, а для Росії вона відносно нова і тому особливо болюча.
По-друге, очевидно, що заходи щодо забезпечення інформаційної безпеки вимагають істотного фінансування, а зараз головні асигнування йдуть на формування ІТ-інфраструктури (федеральних сервісів і регіональних сегментів Єдиної державної інформаційної системи у сфері охорони здоров'я), а не на її захист.
Проблему забезпечення безпеки персональних даних в охороні здоров'я кожен суб'єкт, орган і лікувальний заклад вирішують самостійно. «У деяких регіонах це завдання беруть на себе регіональні органи і вирішують цю проблему централізовано для всіх лікарень і поліклінік. Однак в рамках Міністерства охорони здоров'я це питання централізовано не наважується, - звертає увагу Інна Ашенбреннер. генеральний директор компанії «Корус Консалтинг ІТ».
У медичних установах сьогодні існують чотири основні інструменти обробки персональних даних: звичайні файли в стандартних офісних пакетах; спеціалізовані програми з локальним / мережевим сховищем; комплексні медичні інформаційні системи (МІС) зі сховищем в межах контрольованої зони медичної організації; «Хмарні» МІС.
У медичних установах сьогодні існують чотири основні інструменти обробки персональних даних: звичайні файли в стандартних офісних пакетах; спеціалізовані програми з локальним / мережевим сховищем; комплексні медичні інформаційні системи (МІС) зі сховищем в межах контрольованої зони медичної організації; «Хмарні» МІС.
Але перш ніж вибирати рішення для захисту персональних даних, лікувально-профілактичному закладу необхідно вжити комплекс заходів. Ігор Грідін зазначає, що в першу чергу необхідно усвідомити, що захист інформаційних систем медичного закладу - це не разова акція, а безперервний, складний і дорогий процес. Далі необхідно керуватися комплексним підходом, результатом реалізації якого повинна стати атестація ІСПДн ЛПУ за відповідними класами на основі численних технічних і організаційних заходів щодо захисту інформації.
«Іншими словами, завдання полягає не в придбанні якогось одного сертифікованого засобу або системи, а в перекладі інформаційних систем на якісно новий рівень захищеності», - підкреслює Ігор Грідін. За його словами, ЛПУ також потрібно хоча б визначити і класифікувати свої ІСПДн. «Поки ж відповіддю на елементарне запитання про кількість і номенклатуру цих систем служить здивоване мовчання», - нарікає фахівець.
На сьогодні рівень захисту персональних даних як в державних, так і в приватних клініках більшість експертів оцінюють як вкрай низький і недостатній. І проблема полягає не тільки в нестачі ресурсів у одних і економії на нібито непрофільних напрямках у інших, але і в зовсім нездійсненних надіях на те, що проблеми захисту персональних даних на рівні конкретних ЛПУ будуть вирішені або вольовими вказівками «зверху», або якимось одним «чарівним» (і при цьому найдешевшим або навіть безкоштовним) способом або продуктом.