Телемедицине не хватает защиты (КоммерсантЪ, апрель 2019)

25.04.2019
Закон о телемедицине в России вступил в силу 1 января 2018 года. После его принятия врачи могут давать онлайн-консультации и вести наблюдение за здоровьем пациента удаленно. Телемедицину в Башкирии развивают в рамках федерального проекта «Информационная инфраструктура» национальной программы «Цифровая экономика Российской Федерации» и федерального проекта «Цифровой контур здравоохранения» национальной программы «Здравоохранение». 

Одной из самых серьезных проблем развития сферы телемедицинских услуг эксперты называют защиту персональных данных. Недостаточная оснащенность оборудованием, отсутствие законодательного регулирования и компетентных сотрудников в кибербезопасности могут привести, как минимум, к разглашению истории болезни пациентов.

Регулирование деятельности по обработке и использованию персональных данных в России определяется ФЗ-152 «О персональных данных». За безопасность персональных данных отвечает оператор системы: организации, которые хранят, собирают, передают или обрабатывают персональные данные, должны выполнить ряд технических и организационных требований по защите этой информации. Каждая организация обязана иметь пакет документов, подтверждающий защищенность персональных данных.

Однако стандартных мер защиты персональных данных для телемедицины недостаточно. Как развивается законодательство и отраслевые требования в сфере здравоохранения, рассказал руководитель направления Департамента информационной безопасности "Сервионики" Александр Сальников.  

  • Как регулируется Роскомнадзором передача персональных данных?

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – это федеральное подразделение Минкомсвязи России, одной из задач которого является защита прав субъектов персональных данных и на которое возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Как мы видим, Роскомнадзор осуществляет надзорные функции, а непосредственное регулирование обработки и защиты персональных данных, в том числе и их передача, осуществляется Федеральными законами и иными нормативными правовыми актами, а также методическими документами, предназначенными для конкретизации положений федеральных, ведомственных или отраслевых нормативных правовых актов в области персональных данных.

  • Как обеспечивается безопасность передачи данных?

Персональные данные (ПДн), обращающиеся в телемедицине, так или иначе относятся к категории специальных и (или) биометрических. Одним из важных элементов их безопасности является получение согласия субъекта ПДн на их обработку. В телемедицине гарантированным получением такого согласия от субъекта предлагается использование Единой системы идентификации и аутентификации (ЕСИА), которая также позволит врачу практически гарантированно удалённо идентифицировать пациента, в случае использования последним подтверждённой учётной записи в ЕСИА. Но формат "врач-пациент" зачастую подразумевает использование мобильных устройств - при запросе консультации на них нет возможности оперативно обеспечить требования 152ФЗ - организационно и технически.

Безопасность ПДн обеспечивает непосредственно оператор: он обязан определить актуальные угрозы с учётом условий обработки и применительно к конкретным категориям ПДн и, уже на основании анализа таких угроз, выбирать соответствующие меры защиты, определённые Приказом ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Кроме того, учитывая особенности предоставления услуг телемедицины широкому кругу лиц через информационно-телекоммуникационные сети общего пользования (Интернет), целесообразно было бы следовать «Методическим рекомендациям по разработке нормативных правовых актов, определяющим угрозы безопасности персональных данных, актуальным при обработке ПДн в информационных системах ПДн, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждены ФСБ России № 149/7/2/6-432 от 31.03.2015 г.), которые однозначно указывают на необходимость использования сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ) при передаче ПДн через Интернет.

  • Насколько сложно обеспечить кибербезопасность в телемедицине, каковы отраслевые особенности ИБ

Особенность телемедицины - в том, что применение СКЗИ при взаимодействии «врач-пациент» практически не реализуемо. Безопасная передача ПДн в формате субъект (физическое лицо) – оператор ПДн, с учётом стремительно развивающихся телекоммуникационных услуг, связанных с обработкой самых чувствительных категорий ПДн - одна из самых актуальных проблем на сегодняшний день.

Кроме того, удалённый мониторинг здоровья с использованием медицинских приборов, настраиваемых на пациенте, соответствует парадигме «Интернета вещей», для которого также еще нет российских стандартов. Всё это создает определённые cложности: при использовании медицинских систем удалённого мониторинга здоровья необходимо обеспечивать кибербезопасность и информационных систем, и каналов взаимодействия, и самих устройств удалённого мониторинга здоровья.

На сегодня, пожалуй, единственным прикладным отраслевым документом в области защиты информации в медицине, не считая общеизвестных и частично устаревших ГОСТов, являются «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» от 23.12.2009 г.. Их явно недостаточно с учетом современного развития информационных технологий. Отстают от современных ИТ-реалий и нормы регулирования в области телемедицины: отраслевого стандарта по ИБ для этой сферы пока нет. Однако с созданием единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) в соответствии с Постановлением Правительства № 555 от 5 мая 2018 г. «О единой государственной информационной системе в сфере здравоохранения» можно предположить, что в дальнейшем будут сформированы и отраслевые требования к ИБ в сфере медицины. 

Полный текст публикации - на сайте газеты "КоммерсантЪ"


Назад к разделу "Публикации"