АлгоритмыКалькуляторыКлинические рекомендацииНаписать редакции
ГлавнаяМедицина и бизнесМысли вслух
Защита персональных данных...

Защита персональных данных в медорганизации: как обеспечить безопасность

06.08.2020
08:46
Бизнес и госструктуры ежедневно имеют дело с огромными объемами персональных данных: они «знают» наши имена и фамилии, даты рождения и адреса, семейное положение и социальный статус. Однако особенно остро вопрос информационной безопасности встает перед медицинскими учреждениями. Ведь они собирают и хранят персональные данные, крайне чувствительные для любого человека, – результаты лабораторных и инструментальных исследований, диагнозы, истории болезней.
Фото: omprot.ru

Руководитель отдела продаж компании «Нетрика Интеграция» Руслан Харлашин рассказывает, как обеспечивается безопасность персональных данных в частных и государственных медицинских учреждениях и каким образом этот вопрос регулируется в нашей стране.

depositphotos_359745792_s-2019.jpg (108 KB)Руслан Харлашин

Что говорит закон?

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», где они представлены как «информация ограниченного доступа». В ФЗ уточнено, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных». Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

ФСБ России выпустила приказ № 378 от 10.07.2014, в котором описаны меры обеспечения безопасности персональных данных при использовании средств криптографической защиты информации.

Освежил законодательство в области персональных данных и Минздрав, выпустив Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

Особенности работы с персональными данными в медицине

Работа с медицинскими ПД отличается рядом особенностей. Клиники обязаны хранить данные о здоровье каждого пациента в виде медкарты, и разглашать их запрещено при любых условиях. Поэтому здесь остро встает проблема возможных утечек информации.

Именно здравоохранение лидирует в антирейтинге утечек данных. По результатам исследования «СёрчИнформ», с проблемой столкнулись почти две трети медучреждений – и около 50% из них стараются не раскрывать факт инцидента. При этом личную информацию потеряли 42% организаций.

Необходимый уровень защиты ПД важно обеспечивать на каждом этапе их обработки, что оказывается непростой задачей в процессе сбора и записи сведений, их систематизации и хранения в базе, уточнения деталей и, наконец, уничтожения информации, потерявшей актуальность.

В медучреждениях могут обрабатываться персональные данные двух типов. Первый – это простые данные: скажем, ФИО; информация о дате и месте рождения; антропологические показатели (рост и вес), фотографии человека; место жительства и контактные данные, в том числе номер телефона и адрес электронной почты.

Второй тип – персональные данные специальной категории. К этой группе относятся сведения о состоянии здоровья пациента, информация о причинах обращения за медицинской помощью, диагноз и особенности лечения. Именно эти специальные сведения и объединяются под широко известным термином «врачебная тайна», сохранность которой регулируется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».

Скрытая угроза

Поликлиники и больницы ежедневно обрабатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет. Из-за этого на плечах врачей, медсестер, администраторов лежит более высокая нагрузка: им приходится вручную заполнять направления, искать бумаги с результатами лабораторных исследований. Данные, представленные в бумажном виде, легче потерять; кроме того, высокая загруженность повышает риск ошибок из-за невнимательности или спешки.

Но и с ростом уровня цифровизации риски утечек ПД не исчезают. Например, в медучреждениях, где уже установлены МИС или СЭД, данные могут пропадать из-за технических сбоев.

Также нельзя забывать о еще одной распространенной проблеме – человеческом факторе. Иногда сотрудники, которые отвечают за безопасность данных в информационных системах, не обладают нужными компетенциями или демонстрируют безответственное отношение к вопросу. Но чаще всего проблемы возникают по вине «рядовых» специалистов: согласно исследованию Infowatch, на долю сотрудников приходится более половины потерь данных – и около 80% из них возникают без злого умысла, из-за ошибок и халатности.

Зачастую проблемы возникают из-за отсутствия налаженного взаимодействия между медучреждениями и разработчиками. Поставщики могут предлагать информационные системы и программное обеспечение, предполагая, что клиника самостоятельно позаботится о защите данных, а у организации на этот счет может быть другое мнение. В результате злоумышленникам даже не приходится ничего взламывать: конфиденциальная информация хранится в открытом доступе. По этой причине произошла одна из крупнейших утечек медицинских персональных данных, в результате которой из-за использования устаревших серверов в сеть попали КТ- и МРТ-снимки 24 млн человек из 590 архивов. По данным Infowatch, почти 20% медицинских данных «утекает» не в результате внешнего воздействия.

Груз ответственности

Последствия таких утечек могут оказаться очень серьезными для клиники и ответственных за инцидент сотрудников. Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

Разумеется, ответственность несут и злоумышленники: как хакеры, так и сотрудники клиник, копирующие и распространяющие информацию о пациентах. Незаконный сбор и распространение сведений о частной жизни, составляющих личную и семейную тайну, могут наказываться штрафом до 200 тыс. руб. или лишением свободы на срок до двух лет (четырех – если будет доказано, что для этого использовалось служебное положение).

Ответственность придется понести не только за прямые нарушения безопасности, но и за невозможность предоставить данные, в том числе и из-за неисправности информационных систем. Например, если оператор не предоставляет пациенту информацию, которая касается его персональных данных, он может получить штраф до 40 тыс. руб.

Пять уровней безопасности

Чтобы обезопасить личные данные пациентов, а вместе с тем себя и своих специалистов, медучреждениям необходимо построить прочную систему защиты. Первым этапом здесь становится моделирование угроз, которые рассматриваются применительно к действующей информационной системе обработки персональных данных (ИСПД) – как правило, это МИС.

Затем, в соответствии с приказом ФСТЭК России № 21, нужно определить состав и содержание организационных и технических мер, которые позволят обеспечить безопасность данных. Они должны работать на всех уровнях информационной системы: МИС, автоматизированных рабочих мест, каналов передачи данных, СУБД, виртуальной инфраструктуры.

На уровне МИС могут применяться встроенные механизмы безопасности и различные дополнительные средства защиты от несанкционированного доступа, например, антивирусные комплексы, системы предотвращения вторжений, межсетевые экраны и системы предотвращения утечек данных.

Широкий список инструментов применяется и на уровне автоматизированных рабочих мест. Для защиты используются сертифицированные операционные системы, а также антивирусы, системы для предотвращения вторжений и межсетевые экраны.

Недавно появились новые решения – автоматизированные рабочие места, в которые встроен сертифицированный модуль доверенной загрузки (МДЗ). Они помогают защищать средства вычислительной техники от несанкционированного доступа, а также контролируют целостность программной и аппаратной конфигурации устройств, на которых установлен этот модуль – еще до начала загрузки его операционной системы. Один из примеров – инструмент Numa Arce (ИТ.СДЗ.УБ4.ПЗ), реализованный в виде EFI-модуля, который работает на уровне BIOS материнской платы.

На уровне каналов передачи данных, помимо уже упомянутых инструментов, могут использоваться криптографические шлюзы. На рынке такие продукты представлены как в виде программно-аппаратных комплексов, так и в программном исполнении. Для СУБД используются специальные системы защиты. А что касается виртуальной инфраструктуры, то здесь безопасность могут обеспечивать даже доверенные защищенные гипервизоры.

Пошаговая инструкция

В общем виде проект по построению системы защиты персональных данных состоит из нескольких этапов.

  • Сбор данных о существующих информационных системах персональных данных (ИСПД).
  • Моделирование угроз безопасности.
  • Определение уровней защищенности.
  • Разработка технического задания.
  • Проектирование система защиты персональных данных (СЗПД).
  • Разработка организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  • Поставка средств защиты информации, их установка и настройка.
  • Аттестация информационных систем персональных данных по требованиям безопасности информации (опционально).

Ошибки могут возникать на любом из указанных этапов. Например, если организация неверно определит угрозы, появляется риск утечек ПД. А если специалисты медучреждения посчитают, что информационной системе требуется более высокий уровень защищенности, чем нужен на самом деле, придется применять избыточные меры и устанавливать лишние средства защиты. Это может привести к многократному росту стоимости внедрения и обслуживания системы.

Нет комментариев

Комментариев: 0

Вы не можете оставлять комментарии
Пожалуйста, авторизуйтесь
Новости
ЗдравоохранениеОбразованиеНаукаТехнологииПрактикаФарминдустрия
Школа клинициста
АлгоритмКлинический случайЛекторийIn brevisNota beneПроверь себя
Медицина и бизнес
БизнесЗдравоохранениеСделано в РоссииDura lexМысли вслухТехнологии
Видео
РепортажИнтервьюPraxisMedNewsФакультет
Справочники
КомпанииПерсоныДокументыСтандарты мед. помощиСимптомы и синдромыСправочник лекарств
Другие форматы
ПодкастыИнтерактивыКалькуляторыОфтальмологияАлгоритмы
Рекламодателям
Реклама на сайтеРеклама в газетеПрезентация порталаКейсыЛоготипы портала
Контакты
Написать в редакцию

Воспроизведение материалов допускается только при соблюдении ограничений, установленных Правообладателем, при указании автора используемых материалов и ссылки на портал Medvestnik.ru как на источник заимствования с обязательной гиперссылкой на сайт medvestnik.ru
«Политика конфиденциальности»
«Основные виды деятельности компании»
«Редакционная политика»

Яндекс.Метрика
Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, которые обеспечивают правильную работу сайта.