Обычно персональная информация отдельного человека не представляет большого интереса (если кого-то и заинтересует ИБ Иванова И.И., получавшего лечение с ... по ... в ..., то заполучить копию ИБ, скорее всего, будет достаточно просто). Косвенно это подтверждает то, что регламентируется именно электронный вариант ИБ. Т.е., возможность получения доступа к большому объему информации. А здесь автоматически возникают другие вопросы. Кому, потенциально, может быть интересна такая информация и для чего?
Вполне возможно, что, как это обычно бывает и у вас, и у нас, "зонтиком" закрыли вопрос об ограничении доступа к персональной информации, не подумав о том, кого еще это затронет, и не просчитав риски и стоимость предполагаемого эффекта.

Обратите внимание - ФСТЭКом не сертифицирован ни один аппаратный межсетевой экран, включая последние модели ведущих мировых производителей. ... Сертифицированы десяток программных самоделок местных умельцев...
Это как раз понятно почему. Сколько фирм и фирмочек покормились на распространении средств защиты.

Подключать к сетям общего пользователя свою локальную сеть, используя только программный файерволл, неразумно. У меня даже дома аппаратный экран стоит.
Здесь позвольте не согласиться . Cisco -- всего лишь специализированный компьютер. А CheckPoint -- програмно-аппаратный комплекс. Компьютер под, скажем, freeBSD с правильно настроенной маршрутизацией и брандмауэром будет работать не хуже той же Cisco 36 или 39 серии. А то и гибче.
А есть ведь еще и VLANы для сегментации сети. А для доступа извне -- VPN, IPSec, SSH. Тем более, что по данным того же Oracle, подавляющее большинство угроз данным обусловлено непреднамеренными или намеренными действиями вполне легальных пользователей сети.

В книге Джона Чирилло "Обнаружение хакерских атак" утверждается, что само наличие и тип средства защиты - это уже должно быть большой тайной для хакера.
Все же, мне кажется, хакеры вряд ли являются основными заинтересованными мед. данными лицами . Информация о том, что в качестве сетевого экрана используется, например, CheckPoint, вряд ли сильно поможет при организации внешней атаки.

Кстати, еще информация. Роскомнадзор (http://www.rsoc.ru/) - регулятор по персональным данным, входит в состав Минкомсвязи (http://www.minsvyaz.ru/) в качестве структурного подразделения. А теперь попробуйте это.
У вас -- электронное правительство, у нас -- электронная Беларусь. Результат один и тот же .

К сожалению? Святая наивность! http://www.iksmedia.ru/blogs/post/449145.html Это еще минимально радикальное мнение.

Я уже цитировал п. 1 ст. 22 Закона 152. Процитирую п. 2 этой же статьи: "Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; ...". Т.е., достаточно заключить с пациентом договор (а многие клиники так и делают) на оказание медицинских услуг - и можно использовать для информационной защиты стандартные (возможно, несертифицированные), но эффективные средства, не получать лицензию на защиту информации и т.д. Кстати, в договоре учесть согласие на передачу данных в установленном законом порядке. Наверное, это является основанием того, чтобы все существующие медицинские информационные системы (МИС) могли быть выведены "из-под удара" Закона. Это мое личное мнение.

Однако некоторые авторы так не считают, а напротив, утверждают, что МИСам должна быть установлена максимально возможная конфиденциальность и максимальная группа по защите персональной информации (= максимально возможные затраты, ведущие к полной нереализуемости МИСов в существующих условиях, что, впрочем, самими авторами и признается). См., например, http://www.consultant.ru/online/base/?req=...MED;n=31473;p=1, а также http://www.consultant.ru/online/base/?req=...ase=MED;n=29496.

Сообщение отредактировал Игорь - 3.06.2009 - 18:00

Боюсь, что так легко не получится. Данная фраза об отсутствии уведомления не снимает всех требований к информационной защите, т.е. лицензионные органы могут просто проверить, насколько МИС исполняет требования 152 закона и связанных с ним подзаконных актов, даже если уведомления и не было. Во-вторых, договор будет только относительно платных услуг, а их в медицине меньшинство и большая часть ОМС и ДМС не будет прикрываться даже этой лазейкой.
Кроме того, конструкция статьи предполагает информацию, относящуюся к договору (в связи с заключением), т.е. законодатель имел в виду то, что содержится в договоре, а не дополнительную информацию, получаемую в ходе работ выполняемых и предоставляемых услуг по договору.

А вот еще проблема, на которую указали коллеги. Это - современное медицинское оборудование: томографы, цифровые рентгеновские аппараты, УЗИ и т.д. Все эти аппараты содержат встроенные компютеры и встроенные базы данных по пациентам. Уверен, что ни один из этих аппаратов должным образом не сертифицирован. И вряд ли возможно такую сертификацию провести (не повезете же вы томограф весом 5 тонн в соседний город на сертификацию).

Сообщение отредактировал Игорь - 4.06.2009 - 07:25

Ну, вот это не проблема - Вы же сами предлагали решение - вместо фамилии случайный код, расшифровка которого хранится только в истории болезни

Это еще раз доказывает, что основной угрозой для информационной системы прежде всего являются вполне легальные с точки зрения системы пользователи.

В любой БД ФИО хранится только как информационное поле (правда, может использоваться для связывания с другими БД) и используется для поиска. Вся информация, относящаяся к пациенту, связывается по паре первичный-внешний ключ. Таким образом, если первичный ключ продублировать на ИБ, возможна однозначная идентификация пациента. Особенно, если первичный ключ будет формироваться по определенным правилам и с ИБ вводиться посредством считывания штрих-кода.

А внимательно прочитать, что это случайный ключ? Не задумывались, что слово случайный и "формируются по правилам" вещи несовместные?

1. В БД, которые являются основой любой информационной системы, использование случайного числа в качестве первичного ключа вряд ли можно считать оправданным подходом. Во всех современных БД есть эффективные внутренние функции для генерации последовательностей, применяемых в качестве первичного ключа. Использование собственных генераторов ключей в большинстве случаев является нецелесообразным, поскольку может оказать неоправданную назгрузку на систему.
2. Честно говоря, не вижу причин, почему последовательно формируемый ключ не может использоваться в качестве идентификатора пациента, с одной стороны скрывающий его ФИО, с другой -- обеспечивающий однозначное соответствие.
3. Под "формируемым по правилам" ключом лично я имел ввиду диапазоны чисел, отводимые, например, отдельным диспансерам, входящим в одну службу.

Совершенно верно, но не обычные пользователи.

Скопировать целиком базу данных, а именно такие проблемы и случаются время от времени, может только ее администратор. Стандартные организационные и программно-технические средства (применявшиеся до принятия закона и применяемые сейчас) обеспечивают достаточную защиту персональных данных. Законодательство, существовавшее до принятия означенного закона, обеспечивает полную правовую защиту. Было бы желание - можно и вычислить, и наказать, в соответствии с действующим законодательством, администратора, поставившего на рынок базу данных ГИБДД или налоговой службы.

Если администраторы упомянутых баз данных имели возможность безнаказанной кражи этих самых данных данных до принятия обсуждаемого пакета законов, точно также они будут иметь такую возможность и после принятия и вступления в действия данного пакета законов, независимо от того, имеет Windows рабочей станции сертификат ФСТЭК или нет, сертифицирован файервол или нет.

Речь идет о том, можно ли идентифицировать пациента по записи в базе данных, из которой (из записи) удалены поля ИМЯ, ФАМИЛИЯ, АДРЕС, НОМЕР ПОЛИСА и т.д. Причем идентифицировать БЕЗ ПРИВЛЕЧЕНИЯ дополнительной информации. Естественно, если в бумажной ИБ имеется паспортная часть, содержащая номер записи в электронной ИБ (этим номером может быть хоть номер истории болезни, хоть некое случайное число, записанное хоть числами, хоть штрих-кодом - который на самом деле является просто особым шрифтом, хоть и тем, и другим одновременно - неважно), то понятно, что эта запись относится к данному пациенту (иначе вообще зачем нужна эта МИС).

Запись в ЭИБ без паспортной части как раз и будет обезличенной. И этот подход считаю единственным, позволяющим формально выполнить закон (ценой некоторого снижения функциональности) без привлечения финансовых средств, которых, собственно, и так нет.


Сообщение отредактировал Игорь - 5.06.2009 - 12:50

Вообще-то разговор идет не о правилах формирования БД, а о том, как можно работать в условиях существующей нормативной базы. Поскольку в законе идет речь о деперсонализированных данных, любые методы, которые могут быть использованы для сопоставления открытой и закрытой информации достаточно легко не могут являться приемлимыми. Альтернативой "неоправданной назгрузки на систему" является сертификация эхокардиографа во ФСТЭК.
И просьба, не надо предполагать, что люди, пишущие в форум не имеют представления о базах данных, и повторять поэтому очевидные вещи. Если кто чего не понимает, спросит - иначе это - флуд.

Есть еще идея, может, дикая.

Пусть есть обезличенная база данных. С ней можно работать, не привлекая особых ресурсов на защиту, кроме стандартных средств.

Есть также база данных, содержащая только номер, имя, фамилию и отчество. Такая база не является персональными данными.

Под действие закона ни та, ни другая базы не подпадают. Подпадает только их совокупность. Т.е. каждая в отдельности база сертификации не подлежит.

Сообщение отредактировал Игорь - 5.06.2009 - 12:58

Есть технологии, позволяющие исключить подобное со стороны БДА, -- у Oracle -- DB Vault, у MS -- управление на основе политик (SQLServer 2008). Правда не знаю, сертифицировано ли это. Но стоимость подобных решений высока.

Не знаю, как с точки зрения закона, но мне эта идея нравится.
...
В нашей ЭИБ как раз реализован принцип двух баз, объединенных оболочкой. Первая база - база ТФОМСа, вторая - собственно больничная.
Не знаю, как ТФОМС будет свою базу регистрировать.. У нас привязка на номер страхового полиса. По сути - это и есть искомый идентификационный номер. Так, что осоо придумыввать не надо будет.
Видимо, прдется на бумажнею ИБ выносить крупным шрифтом номер полиса и на табличку рядом с пациентом, где сейчас его ФИО и диагноз добавить номер полиса. Так врачи быстрее запоминать будут. Плюс, при прочтении заметок я могу почти на 98% угадать, о каком моём пациенте идет речь.
Проблема деперсонализации данных, действительно, очень серезная и пока даже толком не осмыслена.
...
Здесь на форуме уже обсуждались ЭИБы. Не увидел, про Ирис упоминали? Демо-версия концептуально мне понравилась.

Совсем свежая информация о положении дел с персональными данными: http://www.kommersant.ru/doc.aspx?DocsID=1176806 Защитники персональных данных хотят 100 млрд. рублей в ближайшие 2 года.

Шокирующие данные приводятся в следующей информации http://www.aksimed.ru/company/news_1/iz.php?ELEMENT_ID=290 Мы склонны по своему менталитету не учиться на опыте других, а это следовало бы делать.

Поэтому рискну подвести промежуточный вывод в обсуждении темы: внедрение компьютерных информационных систем в Российское практическое здравоохранение на уровне отдельных учреждений, несмотря на всю привлекательность современных информационных технологий, в силу комплекса причин законодательного, финансового и технического характера нерационально и преждевременно. Хотя научные исследования в данном направлении желательны.

P.S.
Работая в медицинской науке и практическом здравоохранении много лет, никогда не переставал удивляться поразительной способности руководителей и ученых в данной области (при всех их заслугах и великолепном профессионализме) не разделять одну большую научную или техническую проблему, принципиально не решаемую по финансовым и техническим причинам, на множество мелких проблем (как учат в технических университетах), каждую из которых реально решить, а совсем наоборот. Неоднократно был свидетелем, когда при обсуждении конкретных проектов данные лица пытались к обсуждаемой проблеме добавить еще несколько сопутствующих, равных или превосходящих ее по трудоемкости, чтобы в конце концов завязать все, образно говоря, в тугой нерешаемый финансово-технический узел.

В русле рассматриваемой темы это приводит к тому, что решая проблему персональных данных, в кучу дополнительно валят проблему конфиденциальных данных и проблему коммерческой информации. Уважаемые, не делайте так. Обращение конфиденциальных данных регулируется отдельным законодательством (в поликлинике их практически нет, а там, где есть, все уже давно организовано). А проблема коммерчески важной информации (которой в поликлинике нет вообще) вообще решается внутренней политикой учреждения, при соблюдении действующего законодательства, естественно. Какой там уровень конфиденциальности 1Б и т.п. в МИСе, как пишут некоторые горе-авторы? Нет в законе "О персональных данных" такого понятия! В подзаконных актах есть только 4 класса для персональных данных: К1...4. И всё! Берем класс для обезличенных данных - и по закону можно даже уведомления о намерении стать оператором не делать!

Сообщение отредактировал Игорь - 8.06.2009 - 14:09