Телемедицинские системы и защита персональных данных (И.А. Купеева, Р.А. Раводин, А.А. Ефремов, А.А. Ефремова, журнал "Врач и информационные технологии", N 2, март-апрель 2015 г.)

Телемедицинские системы и защита персональных данных

И.А. Купеева,

д.м.н., заместитель директора Департамента медицинского

образования и кадровой политики в здравоохранении

Министерства здравоохранения Российской Федерации,

г. Москва, Россия

Р.А. Раводин,

к.м.н., старший преподаватель

Военно-медицинской академии им С.М. Кирова,

г. Санкт-Петербург, Россия

А.А. Ефремов,

с.н.с. научно-исследовательской лаборатории

военно-научного сопровождения автоматизированных

систем управления научно-исследовательского отдела

медико-информационных технологий научно-исследовательского

центра Военно-медицинской академии им С.М. Кирова,

г. Санкт-Петербург, Россия

А.А. Ефремова,

преподаватель кафедры общественного здоровья и

экономики военного здравоохранения Военно-медицинской

академии им С.М. Кирова,

г. Санкт-Петербург, Россия

Журнал "Врач и информационные технологии", N 2, март-апрель 2015 г.

В статье рассматривается проблема защиты персональных данных в информационных системах. Проанализирована существующая нормативно-правовая база и возможные варианты реализации защиты персональных данных. Предложен новый подход к защите персональных данных на примере разработанной телемедицинской системы "Logoderm" в дерматовенерологии.

Введение

Одним из основных направлений развития информационных технологий в современной медицинской деятельности являются разработка и внедрение телемедицинских систем (ТС). Такие системы достаточно разнообразны как по своему функционалу и охватываемым задачам, так и по уровню технической реализации. При этом данные ТС объединяет общая проблема защиты персональных данных пациентов, которую ставят перед ними современные реалии и действующая нормативно-правовая база. Так, зачастую, реализация требований по защите персональных данных (ПДн) требует от оператора системы значительных ресурсных затрат, что ставит под сомнение целесообразность их внедрения в деятельность медицинских учреждений.

Цель исследования

Определить подходы к оптимизации затрат на защиту персональных данных в телемедицинских информационных системах.

Материалы и методы

Использованы методы литературно-правового анализа. Проанализированы нормативно-правовые акты, руководящие и методические документы, регулирующие вопросы защиты персональных данных в телемедицинских системах, а также подходы к их реализации.

Результаты и их обсуждение

Оптимизация затрат на защиту персональных данных в телемедицинских информационных системах требует предварительного и тщательного анализа действующего законодательства и сложившейся практики его применения.

Основным документом, регулирующим правоотношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, является Закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" [1].

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Постановление) вводит понятие "уровни защищенности персональных данных" (УЗ), которое является ключевым для организации защиты персональных данных [2]. Верное определение уровня защищенности ПДн позволяет определить состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в телемедицинских системах, избежать возможных проблем с контролирующими органами, вызванными нарушениями действующей нормативно-правовой базы, и необоснованного расходования материальных средств. Вопросы возможных негативных последствий для субъекта персональных данных вследствие их утечки авторы в настоящем исследовании не рассматривают.

Характер зависимости УЗ от категории ПДн, субъектов ПДн и типа актуальных для информационных систем (ИС) угроз представлен в таблице 1 [5].

Таблица 1

Определение уровня защищенности для ИС, обрабатывающих ПДн

Категории ПДн		Специальные			Биометрические	Иные			Общедоступные
Собственные работники		Нет	Нет	Да		Нет	Нет	Да	Нет	Нет	Да
Количество субъектов		Более 100 тыс.	Менее 100 тыс.			Более 100 тыс.	Менее 100 тыс.		Более 100 тыс.	Менее 100 тыс.
Тип актуальных угроз	1	1-й УЗ	1-й УЗ	1-й УЗ	1-й УЗ	1-й УЗ	2-й УЗ	2-й УЗ	2-й УЗ	2-й УЗ	2-й УЗ
	2	1-й УЗ	2-й УЗ	2-й УЗ	2-й УЗ	2-й УЗ	3-й УЗ	3-й УЗ	2-й УЗ	3-й УЗ	3-й УЗ
	3	2-й УЗ	3-й УЗ	3-й УЗ	3-й УЗ	3-й УЗ	4-й УЗ	4-й УЗ	4-й УЗ	4-й УЗ	4-й УЗ

О.А. Фохт и А.А. Цветков справедливо замечают, что Постановление не регламентирует порядок определения актуальности перечисленных угроз для конкретной информационной системы обработки ПДн ("определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами"). Определить тип актуальных угроз - задача оператора обработки ПДн [5].

Исходя из этого, становится очевидным, что для телемедицинской системы, обрабатывающей специальные и биометрические персональные данные при количестве субъектов менее 100 тысяч, уровень защищенности находится в прямой зависимости от определенного оператором типа актуальных угроз. Так, если затраты времени и средств на приведение информационных систем и персональных данных в соответствие с предъявляемыми требованиями окажутся слишком высокими, то оператору следует оценить возможность понижения класса типа актуальных угроз, руководствуясь принципом оценки затрат на организацию защиты данных в сравнении с возможным ущербом от их разглашения. Для этого необходимо четко понимать тип и характер информации, обрабатываемой в системе, а также суть процессов ее обработки.

Действующая нормативно-правовая база различает следующие категории ПДн, обрабатываемых с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств:

- специальные категории ПДн - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

- биометрические категории ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта ПДн;

- общедоступные категории ПДн - фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн и включенные с письменного согласия субъекта ПДн в общедоступные источники ПДн;

- иные категории ПДн [1].

При оценке возможных затрат на защиту ПДн в информационных системах необходимо ориентироваться на наиболее требовательные, с точки зрения законодательства, к своей защите категории ПДн. Так, для телемедицинских систем наиболее актуальными являются специальные и биометрические категории ПДн.

Разъяснения, подготовленные по результатам совместного обсуждения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с представителями экспертного сообщества по вопросам отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностям их обработки указывают на то, что рентгеновские или флюорографические снимки и другая информация (анализы), характеризующая физиологические и биологические особенности человека и находящаяся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), не являются биометрическим персональными данными, поскольку не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения автоматически становятся биометрическими персональными данными, поскольку используются операторами - органами следствия и дознания в целях установления личности конкретного лица [9].

Рассмотрим подробнее существующие подходы к обеспечению безопасности ПДн.

Как видно из анализа Приказа ФСТЭК России N 21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Приказ), в состав и содержание мер по обеспечению безопасности ПДн, используемых для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн, входят [3]:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и ПДн;

- обеспечение доступности персональных данных;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности ПДн, и реагирование на них;

- управление конфигурацией информационной системы и системы защиты ПДн [3].

Необходимо отметить, что состав и содержание данных мер нарастают с увеличением УЗ. При этом стоимость их воплощения зачастую может ставить под сомнение экономическую целесообразность существования самой системы обработки ПДн.

Существенным моментом, открывающим некую свободу действий, является допущение Приказом возможности разработки иных (компенсирующих) мер, направленных на нейтрализацию актуальных угроз безопасности ПДн при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер.

В этом случае в ходе разработки системы защиты ПДн Приказ требует проведения обоснования применения компенсирующих мер для обеспечения безопасности ПДн.

Еще одним подходом к обеспечению безопасности ПДн является их обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн [1].

Исходя из определения, процедура обезличивания требует изначального наличия ПДн, которые будут ей подвергнуты.

Принимая во внимание вышеизложенное, рассмотрим подходы, применяемые для снижения ресурсных затрат по организации защиты ПДн на примере современной телемедицинской системы "Logoderm". Система "Logoderm" разработана для дистанционного обучения врачей-дерматовенерологов, а также для проведения телемедицинских консультаций пациентов дерматовенерологического профиля. Телемедицинская система "Logoderm" содержит ряд связанных между собой информационных модулей, обеспечивающих врачей и пациентов информацией о дерматовенерологических заболеваниях, клиниках, лабораториях и фармпрепаратах. Для осуществления телемедицинских консультаций имеется модуль "консультация", где пользователю предлагается заполнить разделы, описывающие пациента и соответствующие основным подразделам истории болезни дерматовенерологического больного. Наименования разделов соответствуют 20 классам онтологии, разработанной нами ранее, при этом часть из этих разделов носит обязательный характер для заполнения, а часть - необязательный (однако их включение способствует повышению точности диагностики) [8]. После внесения информации в поля модуля "консультация" и нажатия кнопки "диагноз" система выдает перечень из десяти наиболее вероятных диагнозов с указанием вероятности каждого из них. Кроме этого, основываясь на выбранных пользователем симптомах, система формирует формализованное описание дерматологического больного, которое, сопроводив фотографиями, словесным описанием и результатами выполненных ранее анализов, пациент отправляет электронным письмом выбранному эксперту-дерматовенерологу. Эксперт вместе с описанием пациента, его фотографиями, результатами анализов получает также результаты ранее проведенной диагностики, что значительно упрощает процесс постановки диагноза. Необходимо отметить, что в системе "Logoderm" при осуществлении телемедицинской консультации врачом-экспертом используется в основном только та информация, которая относится к клинической симптоматике и без которой невозможна постановка достоверного диагноза (характер высыпаний на коже, тип сыпи на слизистых, изменения волос и ногтей, особенности расположения высыпаний, взаимное расположение элементов сыпи, локализация поражения и др.), а не информация, составляющая ПДн пациента.

Предлагаемый нами подход по защите персональных данных пользователей телемедицинских систем заключается в следующем (рисунок 1).

      |               |    /-----

                           |Пол (текстовая)

      |               |    |Возраст (цифровая)

          /-------\        |Результаты анализов (текстовая, графическая,

 Х  --+--|0100101|---+----|цифровая)

  l       \-------/        |Симптомы (текстовая, графическая)

      |               |    \-----

      |               |    /-----

                           |Пол (текстовая)

      |   /-------\   |    |Возраст (цифровая)

 X  -----|1011010|--------|Результаты анализов (текстовая, графическая,

  n       \-------/   |    |цифровая)

                           |Симптомы (текстовая, графическая)

      |               |    \-----

Рис. 1. Обработка ПДн в ТС "Logoderm"

При обращении к модулю "консультация" пользователю присваивается уникальный идентификатор, сгенерированный случайным образом. Данный идентификатор заменяет собой данные, не представляющие диагностического интереса для врача-эксперта: фамилия, имя, отчество, расовая принадлежность, домашний адрес, телефон. Таким образом, телемедицинская система "Logoderm" не хранит информацию, позволяющую однозначно идентифицировать субъект ПДн. Данный идентификатор привязывается к адресу электронной почты, который также не позволяет идентифицировать субъект ПДн, так как не требует документов, удостоверяющих личность при регистрации. Таким образом реализуется система двухступенчатой идентификации пользователя, позволяющая избежать сохранения информации в базе данных "Logoderm", относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Более того, система "Logoderm" не используется оператором для установления личности субъекта, обратившегося за консультацией. Установление же личности субъекта ПДн по имеющейся в наличии информации в корыстных целях или при передаче в органы следствия и дознания не представляется возможным в силу ее неоднозначности. Стоит обратить внимание на то, что подобный подход не является обезличиванием ПДн, поскольку алгоритмы обезличивания четко прописаны в [6, 7] и изначально предполагают наличие информации, по которой можно однозначно идентифицировать субъект ПДн.

Заключение

Проведенный сравнительный анализ показал, что существующие подходы к обеспечению безопасности ПДн достаточно универсальны, но не учитывают специфику отдельных видов информационных систем - телемедицинских систем для дистанционного обучения врачей и проведения телемедицинских консультаций пациентов. Затраты, связанные с реализацией таких способов по защите ПДн, могут ставить под сомнение экономическую целесообразность существования самих телемедицинских систем. Ввиду этого представляется целесообразным применять разработанный нами подход к защите ПДн, реализованный в ТС "Logoderm", который является наиболее надежным, не ограничивает функционирование самой системы и не требует привлечения дополнительных материальных ресурсов.

Литература

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" // Российская газета, Федеральный выпуск N 4131 от 29 июля 2006 г.

2. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

3. Приказ ФСТЭК России N 21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

4. RISSPA. Материалы вебинара - обсуждения приказа ФСТЭК по защите персональных данных // http://www.risspa.ru/masterclass/new-fstek-order (дата обращения: 20.12.2014).

5. Фохт О.А., Цветков А.А. Защита персональных данных. Новое в законодательстве: тенденции, вопросы практического применения в медицинских информационных системах // Врач и информационные технологии. - 2013. - N 5. - С. 44-51.

6. Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ").

7. Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013).

8. Раводин Р.А. Создание онтологии при проектировании систем интеллектуальной поддержки врачебных решений в дерматовенерологии // Проблемы медицинской микологии. - 2013. - Т. 15. - N 1. - С. 3-7.

9. Разъяснения, подготовленные по результатам совместного обсуждения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с представителями экспертного сообщества: А.В. Лукацким, М.Ю. Емельянниковым, А.Н. Волковым, А.В. Токаренко http://rkn.gov.ru/docs/Raz6iasneniia_RKN_po_biometrii_okonchatel6naja_ver sija.doc.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.