А.П. Столбов, д-р техн. наук, проф. Высшей школы управления здравоохранением, ГБУ ВПО «Первый московский государственный медицинский университет им. И.М. Сеченова» Минздрава России

Сегодня трудно представить себе медицинскую организацию, не интегрированную в сеть Интернет. В соответствии со ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее – Закон № 323-ФЗ) медицинская организация обязана информировать граждан в доступной форме, в т. ч. с использованием сети Интернет, об осуществляемой медицинской деятельности, а также о медицинских работниках, уровне их образования и квалификации.

Главная специфика отрасли состоит в повышенных требованиях к информационной безопасности, которые предъявляются к защите персональных данных в соответствии с Федеральным законом № 152. многие клиники вынуждены... отказываться от своих систем именно по причине несоответствия требованиям этого закона…

Н.В. Зезюлинский, директор по развитию бизнеса компании «ФОРС»

Требования к интеграционным решениям в медицине включают прежде всего обеспечение необходимого уровня информационной безопасности¹.

Массовое использование ресурсов сети Интернет в сфере здравоохранения порождает множество непростых проблем, связанных как с обеспечением конфиденциальности персональных данных и сохранением врачебной тайны, так и с защитой современной цифровой медицинской техники от несанкционированного внешнего воздействия.

Важно! Сеть Интернет, в т. ч. обычная электронная почта, не обеспечивает конфиденциальность передаваемой информации. Владелец сайта и оператор системы обмена почтовыми сообщениями обязаны предупреждать об этом потенциальных пользователей 

Рассмотрим основные вопросы обработки и защиты персональных данных², размещаемых на официальном сайте медицинской организации в сети Интернет.

Общие принципы и порядок работы с персональными данными определены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Требования к защите персональных данных при их обработке в информационных системах (ИС) утверждены постановлением Правительства России от 01.11.2012  № 1119³, состав и содержание организационных и технических мер по обеспечению безопасности персональных данных – приказами Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18.02.2013 № 21⁴ и Федеральной службы безопасности (ФСБ) от 10.07.2014 № 378⁵ (при использовании средств криптографической защиты (шифрования) информации). Требования и состав мер по защите информации в государственных и муниципальных ИС, в т. ч. ИС органов управления здравоохранением и фондов обязательного медицинского страхования (ОМС), утверждены приказом ФСТЭК от 11.02.2013 № 17⁶, а также описаны в методическом документе ФСТЭК от 11.02.2014 «Меры защиты информации в государственных информационных системах».

Практические рекомендации по обеспечению информационной безопасности и организации работы с персональными данными приведены в ГОСТах:

• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
• ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
• ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
• ГОСТ Р ИСО/МЭК 27003-2012 «Руководство по реализации системы менеджмента информационной безопасности».
• ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» (действует с 01.01.2015).
• ГОСТ Р ИСО/МЭК 18045-2013 «Методология оценки безопасности информационных технологий».
• ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» (ред. от 21.04.2014).
• ГОСТ Р ИСО/МЭК 15408-1-2012, -2, -3-2013 «Критерии оценки безопасности информационных технологий». Часть 1. «Введение и общая модель». Часть 2. «Функциональные компоненты безопасности». Часть 3. «Компоненты доверия к безопасности».
• ГОСТ Р ИСО/МЭК 27031-2012 «Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».
• ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных».
• ГОСТ Р 55235.3-2012 «Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям».

Рассмотрим основные обязанности владельца интернет-сайта, в т. ч. медицинской организации, при работе с персональными данными.

Важно! Сайт медицинской организации является информационной системой персональных данных, а владелец сайта – оператором персональных данных

При этом необходимо иметь в виду, что практически во всех случаях предоставление и обработка персональных данных с использованием сайта в сети Интернет осуществляется исключительно с согласия субъекта – пользователя сайта.

Итак, владелец сайта (оператор) в сети Интернет обязан:

а) опубликовать на своем сайте документы, определяющие политику в отношении обработки персональных данных и реализации требований по их защите, в т. ч. как и для чего используются персональные данные пользователей, передаются ли они третьим лицам и на каком основании, и т. д. (далее – Политика безопасности) (ст. 18.1 Закона № 152-ФЗ).

Кроме того, на сайте должна быть опубликована информация о наименовании владельца сайта (оператора) и его месте нахождения (юридический и фактический адреса), а также контактные реквизиты (телефоны, адреса электронной почты).

Важно! Владелец сайта обязан предупредить пользователя о том, как и для чего он использует его персональные данные, передает ли он их третьим лицам, а также предупредить его об их возможном использовании в целях распространения рекламы, в т. ч. в случае передачи кому-либо в обезличенном виде номеров его телефонов, адресов электронной почты, сетевых адресов компьютеров и т. д. 

б) проинформировать пользователя о его праве безвозмездно (ст. 20 Закона № 152-ФЗ) ознакомиться с его персональными данными, обрабатываемыми с помощью сайта, правовыми основаниями, целями, способами и сроками их обработки, в т. ч. сроком хранения, сведениями о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть раскрыты на основании договора с оператором или на основании федерального закона (см. выше), наименованием или Ф. И. О. и адресом лица, осуществляющего обработку персональных данных по поручению оператора (аутсорсера), если обработка поручена или будет поручена такому лицу, а также о порядке ознакомления с указанными сведениями (ст. 14 Закона № 152-ФЗ);

в) в случае хостинга (размещения) сайта медицинской организации на сервере, принадлежащем третьему лицу, предупредить пользователя об аутсорсинге обработки его персональных данных и получить его согласие на это (ст. 6 Закона № 152-ФЗ).

При этом пользователь должен быть проинформирован о том, кто является провайдером хостинга сайта (аутсорсером) (ч. 7 ст. 14 Закона № 152-ФЗ).

Следует заметить, что в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ с 01.09.2015 серверы с базами персональных данных граждан РФ должны размещаться на территории Российской Федерации (кстати, в соответствии с Федеральным законом № 149-ФЗ технические средства ИС, используемых государственными органами, органами местного самоуправления, государственными и муниципальными учреждениями и унитарными предприятиями, с 01.07.2015 должны размещаться на территории РФ).

Важно! Хостинг сайта, с помощью которого его владельцем осуществляется обработка персональных данных, следует рассматривать как аутсорсинг обработки персональных данных по поручению оператора – владельца сайта, поскольку последний не контролирует процесс и средства обработки данных.

Обработка персональных данных в этом случае может осуществляться только с согласия субъекта персональных данных.

Ответственность за риски, связанные с обработкой персональных данных аутсорсером (хостером сайта) перед субъектом несет владелец сайта (ст. 6 Закона № 152-ФЗ);  

г) предупредить пользователя, что передача данных по открытым каналам связи на сайт (с сайта) в сети Интернет не гарантирует их конфиденциальность, и получить его согласие на обработку персональных данных на этих условиях.

Заметим, что использование так называемого защищенного протокола https обмена данными с сайтом с помощью встроенных в «стандартные» web-браузеры средств шифрования данных и механизма аутентификации (проверки подлинности) сайтов не обеспечивают надежной защиты информации от несанкционированного доступа – перехвата, искажения или подмены.

Важно! Предоставление и обработка персональных данных с помощью сайта в сети Интернет осуществляется исключительно с согласия субъекта – пользователя сайта. Согласие субъекта на обработку его персональных данных должно быть конкретным, информированным, сознательным и добровольным (ст. 9 Закона № 152-ФЗ) 

д) обеспечить техническую возможность отзыва согласия субъекта на обработку персональных данных с помощью этого сайта (это его право – см. ч. 2 ст. 9 Закона № 152-ФЗ)

Указанная процедура должна предусматривать отзыв согласия как с помощью заполнения соответствующей формы на сайте, так и путем направления сообщения владельцу сайта (оператору) по электронной почте;

е) пользователю (субъекту) следует напомнить также, что в случае отзыва согласия оператор (владелец сайта) имеет право продолжить обработку его персональных данных, например хранить эти данные, если это необходимо для выполнения обязанностей, возложенных на оператора, указанных в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ (выполнения международных договоров, осуществления правосудия, выполнения государственных и муниципальных услуг, для защиты жизни, здоровья или иных жизненно важных интересов пользователя и других граждан, осуществления прав и законных интересов оператора или третьих лиц и т. д.).

Кроме того, надо напомнить, что во всех случаях остается нерешенной проблема практической реализации права «быть забытым» в сети Интернет.

Важно! Гарантированное полное удаление информации, когда-либо опубликованной (размещенной) в сети Интернет, в настоящее время невозможно 

Сегодня не существует технологий и процедур, обеспечивающих учет и контроль за распространением (тиражированием) информации в сети Интернет. Поэтому так называемое право быть забытым в сети на практике не может быть реализовано.

Даже полное удаление определенных сведений из баз данных и всех резервных копий только одного сайта, например, учетных записей пользователей, во многих случаях является нетривиальной, чрезвычайно затратной и трудно выполнимой технологической задачей;

ж) предупредить пользователя о применении сайтом так называемых cookies и получить его согласие на это, при необходимости – проинформировать пользователя о возможном изменении функциональности (состава сервисов) сайта в случае отказа от cookies.

Следует заметить, что большинство обычных, «непродвинутых» пользователей не знает, как настроить параметры безопасности web-браузера и отключить (запретить) cookies.

Важно! Требования под пунктами «в», «г», «д» и «ж» должны быть реализованы в виде обязательных, «активных» сообщений пользователю при регистрации на сайте либо перед выполнением им определенных действий (вызове соответствующих функций

Необходимо, чтобы информирование, предупреждение пользователя о возможных рисках, связанных с обработкой его персональных данных с помощью средств интернет-сайта, было реализовано в виде интерактивного диалога «предупреждение – вопрос – ответ: получение согласия».

Примером того, как это может быть сделано, является регистрация гражданина в Единой системе идентификации и аутентификации⁷ на Едином портале госуслуг esia.gosuslugi.ru, при выполнении которой ему предлагается подтвердить, что он:

• ознакомлен с порядком подачи заявления в электронном виде;
• дает свое согласие на передачу информации в электронной форме заявления (в т. ч. персональных данных) по открытым каналам связи сети Интернет.

По нашему мнению, описанные выше правила (порядок) получения информированного добровольного согласия пользователя на обработку его персональных данных с помощью сайта в сети Интернет должны быть определены и приняты в виде нормативного документа. Заметим, что в Европейском союзе еще в 2002 г. была принята специальная директива, в которой изложены основные правила «безопасного» использования сети Интернет и установлены требования к владельцам (операторам) сайтов, в т. ч. их обязанность информировать пользователей об использовании cookies.

Важно! Как показал анализ целого ряда сайтов, в т. ч. государственных, описанные выше общие правила информирования и получения согласия пользователя на обработку его персональных данных, которые можно было бы назвать «интернет-деонтологией», очень часто не выполняются

Наиболее типичными нарушениями при этом являются:

• отсутствие на сайте опубликованной Политики безопасности либо публикация «формального» текста указанных документов «для галочки» – чаще всего в виде переписанных из нормативных документов требований «как должно быть» и общих фраз, без учета специфики работы организации – владельца сайта;
• при регистрации на сайте информация о рисках, связанных с использованием открытых каналов связи, не сообщается пользователю в обязательном порядке – она где-то «спрятана», и пользователь должен сам ее найти и прочитать (если, конечно, он что-то знает об этом); иногда об указанных рисках написано «мелким шрифтом» в Политике безопасности (типичная, известная в маркетинге тактика умышленного «умалчивания» информации о рисках для привлечения как можно большего количества клиентов – пользователей сайта);
• специальные отметки о согласии пользователя на обработку его персональных данных либо совсем отсутствуют, либо уже поставлены по умолчанию – при любом случайном нажатии на клавишу, даже если пользователь не принял решения на предоставление своих персональных данных, автоматически происходит регистрация его согласия («интерфейс, провоцирующий ошибки пользователя»); заметим, что сам факт регистрации пользователя на сайте с предоставлением своих персональных данных является одной из форм согласия на их обработку;
• избыточность запрашиваемых у пользователя сведений при регистрации на сайте – объем и содержание (состав) обрабатываемых персональных данных не соответствуют заявленным целям обработки (ст. 5 Закона № 152-ФЗ), правовым актам и нормативным документам.

В качестве примера одного из таких «неправильных» сайтов можно назвать московский портал госуслуг www.pgu.mos.ru, на котором до последнего времени не были опубликованы документы, указанные в ст. 18.1 Закона № 152-ФЗ (Политика безопасности), пользователь не предупрежден, что передача им персональных данных осуществляется по открытым каналам связи, что не гарантирует их конфиденциальность.

При этом экран сайта, на котором осуществляется регистрация пользователя на портале, вообще не содержит никаких предупреждающих сообщений.

Недостатком, которым сегодня «страдают» некоторые сайты, является их программная реализация, ориентированная для работы с определенным web-браузером. При этом, как правило, некоторые ресурсы и (или) функции сайта доступны только при его использовании.

В качестве примера можно назвать сайт Росздравнадзора roszdravnadzor.ru, «оптимизированный» для работы с браузером Microsoft Internet Explorer – доступ к некоторым страницам сайта возможен только с помощью этого браузера.

По нашему мнению, реализация сайта должна быть «технологически нейтральной» – все возможности сайта должны быть полностью доступны при использовании любого браузера.

Важно! В статье 3 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» сказано о недопустимости установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий (ИТ) перед другими, если только обязательность применения определенных ИТ для создания и эксплуатации государственных ИС не установлена федеральными законами

Несколько слов об использовании сети Интернет при обработке персональных данных соискателей на замещение вакантных должностей.

Работа с персональными данными регулируется ст. 86–90 ТК РФ и предполагает получение согласия соискателей на их обработку на период принятия работодателем решения о приеме либо отказе в приеме на работу.

Согласие соискателя не требуется, если он самостоятельно разместил свое резюме в сети Интернет, прислал его по электронной почте или по факсу. В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней. Отметим, что получение согласия соискателя необходимо также в случаях направления работодателем запросов о соискателе в иные организации, например по прежнему месту работы.

Более подробно вопросы работы с персональными данными сотрудников и соискателей рассмотрены в разъяснениях Роскомнадзора от 14.12.2012 (уполномоченного органа по защите прав субъектов персональных данных, ст. 23 Закона № 152-ФЗ).

Каким образом может быть организована «безопасная» работа пользователей, обрабатывающих персональные данные и иную конфиденциальную информацию, при подключении ИС учреждения к сети Интернет? При ответе на этот вопрос необходимо учитывать следующее:

1. Интернет – источник кибератак, программ-шпионов, вирусов и др., являющихся причиной утечки, кражи, удаления или искажения информации в базах данных, а также отказов и нарушений в работе цифровой медицинской техники и систем жизнеобеспечения⁸. При подключении к сети Интернет и применении внешних носителей информации необходимы средства антивирусной защиты⁹.

Важно! Следует иметь в виду, что мероприятия и средства обнаружения и защиты от вирусов затратны и недостаточно эффективны – по оценкам экспертов, ежедневно в мире появляется около 1000 новых вирусов

2. Информационная система медицинской организации должна подключаться к сети Интернет только через специальные межсетевые экраны и иметь средства обнаружения вторжений¹⁰, которые должны быть сертифицированы ФСТЭК России для работы в ИС, в которых обрабатываются специальные категории персональных данных (к ним относятся в т. ч. сведения о состоянии здоровья – ст. 10 Закона № 152-ФЗ).

3. Компьютеры и серверы, предназначенные для работы с персональными данными, должны быть оснащены специальными, сертифицированными ФСТЭК средствами защиты информации¹¹, включающими: средства аутентификации пользователей и управления доступом к ресурсам ИС, средства регистрации и учета действий пользователей, средства доверенной загрузки программного обеспечения¹².

Важно! Пользователь должен иметь как минимум две учетные записи – одну для выхода в Интернет, другую – для входа в подсистему ИС, в которой обрабатываются персональные данные и другая конфиденциальная информация

Очевидно, что это не очень удобно; однако только в этом случае работа с указанной информацией может и будет осуществляться в отдельной, изолированной от Интернета безопасной функциональной среде, что позволит обеспечить надежную защиту конфиденциальной информации от несанкционированного доступа.

4. Доступ и работа пользователей ИС медицинской организации с «облачными» федеральными сервисами и подсистемами Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ), оператором которой является Минздрав России, а также региональными подсистемами ЕГИСЗ¹³ и ИС Федерального и территориальных фондов ОМС¹⁴, должны осуществляться через защищенные виртуальные сети передачи данных (Virtual Private Network – VPN), реализованные с использованием программных и (или) аппаратных средств защиты каналов связи, сертифицированных ФСТЭК и ФСБ¹⁵.

5. Для взаимодействия между подключенной к Интернету открытой и защищенной частями (сегментами) ИС медицинского учреждения следует использовать организационные процедуры и проектные решения, средства и механизмы безопасного обмена данными, в т. ч. описанные в перечисленных выше методических документах ФСТЭК и ФСБ России.

Важно! Минздравом России до настоящего времени не изданы нормативные документы, содержащие перечень актуальных угроз безопасности персональных данных при их обработке в информационных системах, используемых в здравоохранении, что предусмотрено ч. 5 ст. 19 Закона № 152-ФЗ, на основе которых должны определяться комплекс организационных и технических мероприятий, состав мер и выбор средств защиты информации в ИС медицинских организаций 

Несмотря на очевидные преимущества и удобства использования Интернета и «облачных» сервисов, одной из ключевых проблем остается обеспечение безопасности трафика в сетях передачи данных общего пользования.

После многочисленных публикаций о кражах и утечках персональных данных, взломе компьютерных систем, вирусных атаках, нарушающих нормальную работу медицинских организаций, которые имели место в последнее время, у определенной части населения (пациентов и врачей) начала формироваться своего рода «киберфобия», чувство недоверия к современным ИТ и даже желание запретить обработку персональных данных в электронном виде.

Однако кибербезопасность во многом зависит от четкой организации работы пользователей и технического персонала информационных систем, знания, понимания и соблюдения ими основных принципов обеспечения информационной безопасности, их ответственности и самоконтроля.

¹Напомним, что для публикации на сайте фотографии медицинского работника необходимо его письменное согласие (ст. 152.1 Гражданского кодекса РФ).

²Статью «Требования к организации автоматизированной обработки и защиты персональных данных» см.: Здравоохранение. 2014. № 3.

³Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

⁴Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

⁵Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

⁶Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

⁷См. постановление Правительства РФ от 28.11.2011 № 977 в ред. от 09.12.2013.

⁸За последнее время заметно возросло количество инцидентов, связанных с нарушением работы КТ, МРТ, УЗИ, кардиостимуляторов, инсулиновых помп (diabets.com.ua 18.01.2012) и другой медицинской техники из-за воздействия вредоносных программ (cybersquared.com 12.12.2013) и несанкционированного доступа к медицинским ИС (rusrim.blogspot.ru 13.01.2015).

⁹См. приказ ФСТЭК России от 20.03.2012 № 28.

¹⁰См. приказ ФСТЭК России от 06.12.2011 № 638.

¹¹ См. Перечень сертифицированных средств защиты информации на официальном сайте ФСТЭК Россииfstec.ru Напомним, что обычно срок действия сертификата – три года.

¹²См. приказ ФСТЭК России от 27.09.2013 № 119.

¹³См. приказ Минздравсоцразвития России от 28.04.2011 № 364, egisz-docs.rosminzdrav.ru.

¹⁴См. приказ Федерального фонда ОМС от 07.04.2011 № 79 в ред. приказа от 26.12.2013 № 276.

¹⁵ См. Пояснительную записку по обеспечению криптозащиты каналов передачи данных при взаимодействии в рамках ЕГИСЗ от 05.09.2014, egisz-docs.rosminzdrav.ru.

Журнал "Здравоохранение" №3 март 2015г.