В последнее время, тема защиты данных активно обсуждается в сфере здравоохранения по той причине, что активно внедряются системы E-Health. Пациенты и амбулаторные больные регистрируются в электронных базах медучреждений, соответственно их данные хранятся там. Но, как оказалось, – далеко не все медучреждения создают КСЗИ (комплексная система защиты информации) и получают сертификаты соответствия. Мы пообщались на эту тему с главным врачом Киевского городского детского диагностического центра Андреем Семиволосом.
Насколько важно построение КСЗИ в контексте внедрения МИС в медучреждении?
Во-первых, это выполнение требований действующего законодательства, соответственно могут быть определенные последствия за его невыполнение, но, на самом деле, защита персональных данных является одним из самых приоритетных направлений. КСЗИ, не только в медучреждениях, а вообще в местах, где используются системы оперативного управления – должны быть защищены, особенно те, которые постоянно работают с публичными данными.
Расскажите о процедуре построения КСЗИ?
Процедура получения и построения КСЗИ – достаточно сложный и длительный процесс. Комплексная система, я подчеркиваю слово «комплексная», включает не только технические средства, но и политику конфиденциальности, инструкции относительно того, как хранить данные, протоколы – несколько «томов» информации, регламентирующей ту или иную программу. Длительным процессом также является получение сертификата защиты информации, который идет параллельно с внедрением самой медицинской информационной системы. Учитывая это, мы должны понимать, что очень важно выполнить все требования, которые есть на бумаге – файрвол, настройка компьютеров, безопасность выхода в интернет и тому подобное.
Сколько времени было потрачено на построение КСЗИ?
Около двух лет. Одной из проблем этой процедуры были разного рода комиссии, которые рассматривают эти вопросы, ведь процесс их сбора и проведения заседаний не был быстрым. Тем не менее, я считаю, что, если процедура получения таких документов станет быстрой, – это поставит определенные коррупционные риски.
Способствовали ли разработчики внедренной у вас МИС-системы созданию КСЗИ?
Да, конечно. Кстати, большим облегчением в данной ситуации было то, что у внедренная у нас система имеет сертификат ТЗУ, а это является основой для создания КСЗИ и облегчает процесс его внедрения. К сожалению, он есть далеко не у всех.
МИСов, но в нашем случае с EMCImed, буквально за полгода до того, как мы запустили весь процесс – разработчики этой системы получили ТЗУ.
Система установлена у вас два года, а сертификат вы получаете только сейчас. Причем это, возможно, один из первых сертификатов КСЗИ в Киеве, за исключением нескольких случаев. Почему есть некоторая не первоочередность в получении КСЗИ?
Я тоже в самом начале думал, что это не является первоочередной задачей. Но потом, когда я уже стал углубляться в эту тему, я понял, что получение сертификата соответствия – это такая «вишенка на пирожном», потому что процесс, который следует завершить до нее, в частности, обучение персонала, обеспечение оборудованием и т. д., – является сложным и требует времени. Но, должно быть так – как только начали внедрять МИС-систему, за этим должно следовать получение сертификата соответствия и построения КСЗИ.
Говоря о финансовой составляющей, в какую сумму вам обошлось получение и построение КСЗИ?
Точная сумма… Не скажу, но около 160 тысяч гривен.
Андрей, выделите главные этапы построения комплексной системы защиты информации?
Ну первое – это, конечно, правильное техническое задание. После этого компания, специализирующаяся на производстве таких систем, в нашем случае – это «УкрСпецСистеми», исследуют учреждение, изучают технические возможности медицинской системы, дают свои рекомендации. Третьим этапом является уже непосредственно получение сертификата соответствия.
Чтобы вы посоветовали главному врачу, который только начинает внедрять МИС?
Я хотел бы ему посоветовать внедрять КСЗИ одновременно с внедрением МИСа, это облегчит ему жизнь. Главным аспектом также является инициативность и готовность к таким проектам, ведь именно это способствует успешному внедрению МИСа и получения сертификата соответствия КСЗИ.