Проблемы защиты Персональных Данных в информационных системах медицинских учреждений Проблемы защиты Персональных Данных в информационных системах медицинских учреждений Соколов Александр Васильевич ОАО «ЭЛВИС-ПЛЮС» 31 января 2008 г.

Вместо эпиграфа Программы модернизации системы государственного управления предусматривают формирование современной телекоммуникационной инфраструктуры, которая в сфере здравоохранения должна обеспечить: … мониторинг состояния здоровья населения управление деятельностью медицинских учреждений соответствие медицинских услуг стандартам качества оценку потребностей населения в лекарствах установление дополнительных льгот населению оценку расходов в сфере здравоохранения … «Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года», распоряжение Правительства РФ от г р

Зачем нужна защита информации в ИС медучереждений Защита конституционных прав граждан Устранение угрозы жизни и здоровью Выполнение требований законов

Важное замечание Закон Российской Федерации от года «Основы законодательства Российской Федерации об охране здоровья граждан»: «…Каждый пациент имеет право на сохранение личной тайны, и врач, равно как и другие лица, участвующие в оказании медицинской помощи, обязан сохранять врачебную тайну даже после смерти пациента, как и сам факт обращения за медицинской помощью. Тайна распространяется на все сведения, полученные в процессе обращения и лечения (диагноз, методы лечения, прогноз и др.) Лица, пользующиеся правом доступа к медицинской информации, обязаны сохранять в тайне все полученные о пациенте сведения…» ВЫВОД: Защита медицинской информации является обязанностью всех сотрудников медучреждений на всех уровнях

Особенности обработки медицинской информации Медицинская информация (МИ) – личная тайна пациента Деликатность взаимоотношений медиков и пациентов Жесткий временной регламент работы с МИ (доступность) Наличие одновременно защищаемой и открытой информации Фрагментарность обработки и разные права доступа персонала Гетерогенность программной и аппаратной платформ ИС Мигрируемость информации между прикладными программами

Угрозы безопасности медицинской информации Нарушение конфиденциальности Угроза нарушения тайны личной жизни (Конституционное право) Угроза разглашения персональных данных (Закон о ПД) Угроза разглашения врачебной тайны (Закон об охране здоровья) Нарушение целостности (модификация) Угроза жизни и здоровью пациента из-за искажения данных Угроза мошенничества для страховой медицины Нарушение доступности Угроза жизни и здоровью пациента из-за блокирования данных Угроза утраты информации

Строгость наказания за нарушение законов по защите ПД и МИ Законодательство США Максимальное наказание за нарушение HIPAA (закон по защите МИ): штраф в размере 250 тыс.долл. и тюремное заключение на срок до 10 лет.) Законодательство РФ Статья КоАП: …Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Методы защиты медицинской информации Правовые сдерживающий фактор для потенциальных нарушителей нормативно-правовой контроль нелегитимных действий Организационно-административные регламентация использования медицинской информации контроль за деятельностью персонала медучреждений порядок взаимодействия пользователей и администраторов ИС Технические (аппаратно-программные и др. ) идентификация и аутентификация пользователей разграничение и контроль доступа к медицинской информации обеспечение целостности медицинской информации регистрация событий безопасности защита каналов передачи медицинской информации

Область применения медицинских ИС

В каких ИС надо защищать медицинскую информацию Необходимо защищать медицинскую информацию в ИС учреждений всех уровней, в том числе: Органов управления медицинской отраслью Поликлиник, диагностических и профилактических центров Больниц и других стационарных лечебных учреждении Санаторно-курортных, оздоровительных и рекреационных центров Службы скорой и неотложной помощи, МЧС и телемедицины Органов социального обеспечения Страховых компаний

Парадигма защиты медицинской информации Требуемый уровень безопасности ИС медучредений достигается обеспечением: Локализации защищаемой медицинской информации Счетности субъектов и объектов ИС медучреждений Доверенности конфигурации и настроек ИС медучреждений Целостности всех элементов ИС медучреждений Подконтрольности всех действий субъектов медучреждений Документированности всех событий в ИС медучреждений

Важное замечание Национальный стандарт РФ ГОСТ Р «Электронная история болезни. Общие положения»: «…Для использования электронной персональной медицинской записи (ЭПМЗ) необходимо обеспечить … ее персонифицируемость (возможность определить автора и происхождение записи в любой момент времени – аналог подписи на традиционном документе)…. … После подписания ЭПМЗ приобретает статус официального медицинского документа и может служить основанием для принятия важных медицинских решений …Процедура подписания ЭПМЗ должна быть активной и осознанной. Предпочтительным является выполнение процедуры электронной цифровой подписи…» ВЫВОД: Придание юридической значимости электронным медицинским записям требует применения ЭЦП и, следовательно, услуг удостоверяющего центра

Архитектура системы защиты медицинской информации Исходя из парадигмы защиты, система безопасности информации ИС медучредений должна содержать подсистемы: Поддержки доверенной среды Идентификации и аутентификации Контроля и управления доступом Защиты потоков информации Регистрации и аудита событий Управления безопасностью информации Удостоверяющего центра

Выводы Защита информации в медицинских ИС – необходима Необходимо преодолевать отставание здравоохранения от других отраслей по уровню информатизации Необходимо развивать законодательство по защите медицинской информации Можно ожидать быстрое развитие рынка ИТ, ИБ медицинских ИС в перспективе

Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , , факс