Здравоохранение
Здравоохранение относится к сферам, работающим с наиболее критичной информацией – данными о состоянии здоровья пациентов. В силу этого обстоятельства к информационной безопасности медицинских организаций государством предъявляются специализированные требования в следующих нормативно-правовых актах:
Зачастую медицинские организации обрабатывают сведения о состоянии здоровья, которые относятся к специальной категории персональных данных и, следовательно, их информационные системы персональных данных как минимум относятся к третьему уровню защищенности (УЗ-3) составляющую врачебную тайну.
Согласно приказу ФСТЭК России №21 от 18.02.2013г. УЗ-3 обязывает организации, кроме использования стандартного набора средств защиты информации (антивирус и межсетевой экран), дополнительно использовать средства защиты от несанкционированного доступа, средства поиска и анализа уязвимостей, специализированные средства защиты виртуализации, а также обезличивать персональные данные на машинных носителях при их передаче между пользователями.
Согласно Федеральному закону №187-ФЗ - организации сферы здравоохранения относятся к субъектам КИИ, а имеющиеся у них информационные системы, автоматизированные системы и информационно-телекоммуникационные сети, в случае участия их в критических процессах, являются объектами КИИ.
При этом нельзя говорить о прямом соответствии имеющихся у организации ИСПДн и объектов КИИ, в силу самого различия процессов обработки персональных данных и критических процессов лечения пациентов. Ниже приведена иллюстрация сравнения типовых ИСПДн и объектов КИИ.
Сфера здравоохранения непосредственно связана с состоянием здоровья людей, поэтому практически все критические процессы в ней относятся к социальной категории критериев значимости объектов КИИ.
При этом, отнесение объектов КИИ к значимым или к незначимым зависит от степени информатизации того или иного процесса в каждой организации. Так МИС, отвечающие за регистрацию состояний здоровья пациентов могут быть незначимыми, если они используются исключительно с целью формирования статистических данных. И наоборот, если в МИС ведется полноценный документооборот и на основе введенных данных специалисты ставят диагнозы и планируют лечение пациентов, то такую МИС целесообразно относить к значимым объектам КИИ – т.к. сбои в ней могут повлечь причинение вреда здоровью хотя бы одного человека.
Еще одной особенностью объектов КИИ является то, что объектом КИИ может быть не только компьютерная сеть, но и отдельное, работающее автономно компьютеризированное медицинское оборудование, в частности: аппараты УЗИ и лучевой диагностики, томографы, эндоскопы, лабораторные приборы экспресс-анализа и т.п.
Разрабатывая и внедряя системы безопасности значимых объектов КИИ в здравоохранении, нужно четко понимать, что в случае, если значимый объект КИИ является компьютеризированным медицинским оборудования, то необходимо продумывать компенсирующие меры безопасности, в виду невозможности прямого использования средств защиты информации.
При этом, если медицинское оборудование передает данные по внутренней сети на сервер или МИС, то каналы передачи таких данных должны быть зашифрованы и физически/логически ограждены от общей сети организации.
В силу того, что работа с ведением амбулаторных карт и регистрацией состояния здоровья пациентов ведется в электронном виде, требуется фиксация и визирование каждой записи квалифицированной электронной подписью врача.
Устройства, обеспечивающие хранение и передачу электронной подписи являются средствами криптографической защиты информации (СКЗИ) и требуют соблюдения специализированных правил их эксплуатации и хранения. Данные правила регламентируются приказом ФАПСИ РФ №152 от 13.06.2001г.
С целью информационного обеспечения государственного регулирования в сфере здравоохранения, информационной поддержки деятельности медицинских организаций, обеспечения доступа граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения с 2017г. начала работу Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ).
Участие в ЕГИСЗ обязательно для всех государственных медицинских учреждений, включая организации федерального, регионального и муниципального подчинения. А с вступлением в силу с 01.01.2020г. Приказа Минздрава России от № 911н и для частных медицинских и фармацевтических организаций.
ЕГИСЗ включает в себя 13 групп подсистем:
- Федеральная интегрированная электронная медицинская карта
- Федеральная электронная регистратура
- Подсистема ведения специализированных регистров пациентов по отдельным нозологиям и категориям граждан, мониторинга организации оказания высокотехнологичной медицинской помощи и санаторно-курортного лечения
- Подсистема автоматизированного сбора информации о показателях системы здравоохранения из различных источников и предоставления отчетности
- Интеграционные подсистемы
- Федеральный регистр медицинских работников
- Федеральный реестр нормативно-справочной информации в сфере здравоохранения
- Федеральный реестр электронных медицинских документов
- Подсистема обезличивания персональных данных
- Федеральный реестр медицинских организаций
- Геоинформационная подсистема
- Защищенная сеть передачи данных
- Информационно-аналитическая подсистема мониторинга и контроля в сфере закупок лекарственных препаратов для обеспечения государственных и муниципальных нужд
При этом ЕГИСЗ также имеет 3 уровня:
I Уровень - Федеральный сегмент: Федеральная ГИСЗ, являющаяся центральным компонентом информационных систем в сфере здравоохранения и обеспечивающая доступ граждан к услугам в сфере здравоохранения в электронной форме, а также взаимодействия информационных систем в сфере здравоохранения;
II Уровень - РМИС Интеграционные системы (шины): ГИСЗ в сфере здравоохранения субъектов Российской Федерации;
III Уровень - МИС медицинских и фармацевтических организаций.
При подключении к ЕГИСЗ соблюдаются все требования, предъявляемые при подключении к ГИС, в соответствии с мероприятиями Приказа ФСТЭК России №17 и классом защищенности информационной системы.
При подключении к ЕГИСЗ необходимо:
С 01.01.2020г. вступил в силу Приказ Минздрава России № 911н от 24.12.2018г. «Об утверждении Требований к ГИС в сфере здравоохранения субъектов РФ, МИС медицинских организаций и ИС фармацевтических организаций».
Ключевыми особенностями Приказа Минздрава России № 911н является:
- Приравнивание региональных МИС к ГИС;
- Распространение требований в т.ч. на фармацевтические организации;
- Регламентация необходимости ведения всего документооборота в ЭДО с использованием ЭП;
- Регламентация использования исключительно отечественного ПО и ПАК.
Телемедицина – это технология осуществления медицинской деятельности с использованием компьютерных и телекоммуникационных технологий для обмена медицинской информацией между врачом и пациентом, а также врачами в рамках проведения консилиумов.
Телемедицинские технологии могут применяться при оказании следующих видов медицинской помощи:
При этом для начала оказания медицинской помощи в формате телемедицинских технологий медицинской организации необходимо:
- обеспечить аутентификацию пользователей через портал госуслуг (ЕСИА);
- обеспечить взаимодействие с подсистемами ЕГИСЗ: Федеральным регистром медработников и Федеральным реестром мед. организаций;
- использование усиленной квалифицированной электронной подписи медицинского работника;
- обеспечить шифрование каналов связи;
- обеспечить мероприятия по защите персональных данных, включая врачебную тайну;
- обеспечить хранение всей информации, получаемой в ходе оказания медицинской помощи, включая хранение документации, аудио и видео записей кронсультаций.