На протяжении последних лет активно и последовательно продвигается идея внедрения информационных и коммуникационных технологий (ИКТ) при оказании услуг в сфере здравоохранения.
В 2010 году Правительством Российской Федерации была принята государственная программа «Информационное общество (2011–2020 годы)», которая призвана учесть ошибки программы «Электронная Россия» и придать новый импульс процессу внедрения ИКТ.
Одним из ключевых задач принятой программы является создание единой информационной системы в здравоохранении, обеспечивающей персонифицированный учет оказания медицинской помощи гражданам Российской Федерации.
В рамках программы «Информационное общество» 28 апреля 2011 года Минздравсоцразвития России утвердило «Концепцию создания единой государственной информационной системы в сфере здравоохранения» (далее — Концепция), основной целью которой является обеспечение информационной поддержки методического и организационного обеспечения деятельности участников системы здравоохранения.
Концепция описывает текущую проблематику применения в здравоохранении информационных технологий и технических средств.
Авторы Концепции предлагают создать в рамках единой государственной информационной системы в сфере здравоохранения (далее — Система) сегмент централизованных общесистемных компонентов (включая вновь создаваемый Федеральный центр обработки данных Минздравсоцразвития) и сегмент прикладных компонентов (транзакционные, управленческие и информационные системы), которые подразделяются по уровням: на федеральные и региональные. Так же на федеральном уровне ЦОД предлагается размещать региональные компоненты.
Одним из главных требований к Системе является обеспечение конфиденциальности информации, которая в больших объемах аккумулируется в медицинских организациях.
В то же время вопросы информационной безопасности при проектировании и эксплуатации информационных систем здравоохранения ранее не были приоритетными, но, на наш взгляд, требуют пристального внимания при создании Системы.
В частности, пунктом 8 Концепции прямо определена необходимость защиты персональных данных граждан в Системе, которая должна обеспечивается в соответствии с требованиями законодательства Российской Федерации, но авторы, к сожалению, не раскрыли, как это они предполагают сделать.
Реализация вышеуказанного пункта Концепции потребует разрешения ранее накопленных проблем нормативного правового регулирования в сфере информационной безопасности.
Концептуальной проблемой является осуществление единого режима обработки и защиты персональных данных и сведений, составляющих медицинскую тайну в рамках единой государственной информационной системы.
Правовые институты персональных данных и медицинской тайны имеют сходную юридическую природу, но содержат в себе несколько различающиеся режимы правового регулирования и требований к обработке и защите сведений (более подробно с данной проблематикой можно ознакомиться в нашей статье «Медицинская (врачебная) тайна и персональные данные»).
Несовершенство правового регулирования в сфере персональных данных порождает целый круг проблем и противоречий, с которыми придется столкнуться при реализации Концепции.
Источником, на наш взгляд, является явное «отставание» имеющейся нормативной базы от интенсивно развивающейся области ИТ.
Еще авторами Концепции предлагается широкое использование технологий виртуализации и облачных вычислений, в частности, реализация моделей «инфраструктура как услуга» (IaaS) и «программное обеспечение как услуга» (SaaS).
Полный или частичный перенос IT-инфраструктуры медицинских организаций в виртуальную среду предлагаемой Системы с последующей удаленной обработкой данных в этой среде сулит как преимущества, так и проблемы различного характера.
Безусловным преимуществом данного подхода с точки зрения обеспечения информационной безопасности является возможность применения единого и комплексного подхода в реализации требований законодательства о конфиденциальности персональных данных и сведений, составляющих медицинскую и иную тайну.
Кроме этого, централизованное обеспечение защиты информации значительно снизит остроту «хронической» проблемы медицинских организаций, заключающейся в получении лицензий на деятельность по технической защите конфиденциальной информации и деятельность в области шифрования информации, использовании сертифицированных средств защиты информации и аттестации информационных систем персональных данных по требованиям безопасности информации.
С другой стороны, гибкость и масштабируемость виртуальной инфраструктуры ИТ затрудняет техническое и юридическое обеспечение конфиденциальности обрабатываемых данных.
Существующая нормативная база не отвечает современным требованиям в сфере информационной безопасности.
Достаточно явно это несоответствие можно увидеть на примере правового института обработки и защиты персональных данных, основной нормативный правовой акт которого — Федеральный закон № 152-ФЗ «О персональных данных» (далее ФЗ-152) — в значительной мере построен на понятии «информационной системы персональных данных» (ИСПДн).
В то же время применение определения ИСПДн к компонентам создаваемой Системы наталкивает на множество препятствий концептуального, технологического и технического характера.
Еще более ухудшает сложившуюся ситуацию «отсталость» требований в сфере защиты информации органов государственного надзора (ФСТЭК России и ФСБ России), которое, по большей части, опираются на разработанные 15–20 лет назад руководящие документы Гостехкомиссии и ФАПСИ, которые не учитывают современные реалии и тенденции развития информационных технологий.
Аналогичная судьба постигла «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» Минздравсоцразвития России, разработанные согласно требованиям государственных регуляторов.