w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Вопросы юридической значимости электронных медицинских документов и защиты медицинских данных Сабанов А.Г., ЗАО «Аладдин Р.Д.» Москва, г.

w w w. a l a d d i n – r d. r u Вопросы к обсуждению 1. Юридическая сила электронного документа 2. Что вносит трансграничность? 3. Каким медицинским электронным документам действительно нужно придавать юридическую силу? 2

w w w. a l a d d i n – r d. r u Модель Единого пространства доверия 3 Технологии обращения с электронными записями, документами и сообщениями, позволяющие обеспечивать их юридическую силу Создание правового поля для юридически - значимого электронного документооборота Организация документирования, передачи, хранения и обработки информации для участников информационного взаимодействия и операторов

w w w. a l a d d i n – r d. r u Некоторые нерешенные вопросы Архитектура и сроки начала действия единой системы аккредитованных удостоверяющих центров во главе с корневым Выбор единого идентификатора гос.служащего, подтверждающего его полномочия (OID или что?); Кто и как будет отвечать за правильность построения инфраструктур доверия: полномочий, правомочий, юридически-значимых записей, подписей, времени, идентификационных и др. параметров доверия? Кто и когда правильно напишет и быстро утвердит регламенты и правила? Какова все же должна быть единая универсальная карта? 4

w w w. a l a d d i n – r d. r u Юридические факты 5 "Священникам о приходских людях и о духовных детях иметь записныя книги, кто, у кого в приходе, когда родился, и кто молитву давал, где который младенец крещен и кем, и кто восприемник и восприемница были, и от которых лет кто у кого исповедывался; аще кто, кем, где и при ком обручен; аще кто умреть, при смерти - онаго кто исповедовали приобщал, и кто тому, аще и отвне, свидетелем был»

w w w. a l a d d i n – r d. r u Бумажные документы, фиксирующие юридические факты 6

w w w. a l a d d i n – r d. r u 7 Нотариат Нотариат (от лат. notarius писец, секретарь), система органов, в функции которых входит удостоверение сделок, оформление наследств. прав, засвидетельствование документов для придания им юридической достоверности и т.д. В СССР организация и деятельность. (БСЭ) Нотариат - правовой институт, носители которого - нотариусы - уполномочены государством совершать и свидетельствовать юридические акты, придавая тем последним значение актов публичных.(Брокгауз, Ефрон) Нотариат представляет собой систему государственных органов и должностных лиц, на которых возложено удостоверение бесспорных прав и фактов, свидетельствование документов, выписок из них, придание документам исполнительной силы (wikipedia.org) Записи, имеющие юрид.силу выписки (документы)

w w w. a l a d d i n – r d. r u Компоненты инфраструктуры юридической значимости бумажного документооборота 8 Технико-криминалистическая экспертиза документов Законодательные и нормативно-правовые акты Нотариат Защитные элементы Удостоверение бесспорных прав Свидетельствование документов Апостиль Текст документа и собственноручная подпись Защитные элементы печатей и штампов Защитные элементы бланка документа Придание документам исполнительной силы

w w w. a l a d d i n – r d. r u 9 Защита печатей для бумажных документов Старинные печати Современные печати

w w w. a l a d d i n – r d. r u 10 Защита бланков бумажных документов Защита бланков документов

w w w. a l a d d i n – r d. r u 11 Экспертиза документов в конфликтны ситуациях Задачи технико-криминалистической экспертизы документов –установление способа изготовления документа и его частей; –установление факта и способа внесения изменений в документ либо его части; –определение рода, вида документа; –установления первоначального содержания документа (выявление невидимых и слабовидимых текстов, выцветших, залитых, зачеркнутых, замазанных, вытравленных, подчищенных записей, текстов на сгоревших документах, текстов по вдавленным штрихам и др.); –определение возраста документа и последовательности выполнения его реквизитов. Методики решения отдельных задач экспертизы документов –Экспертиза документов с измененным содержанием –Установление технических приемов воспроизведения подписи –Установление последовательности выполнения реквизитов документа –Экспертиза бланков документов –Экспертиза денежных билетов и ценных бумаг –Экспертиза оттисков печатей и штампов –Экспертиза машинописных текстов

w w w. a l a d d i n – r d. r u Система реквизитов очно-бумажного документооборота 12 Бланк документа Реквизиты ведомства г.Москва16-00 ДиректорИванов И.И УПЛАЧЕНО пошлина 1 руб. Текст документа В соответствии с Федеральным законом ……… Постановление Правительства РФ 477 от г. «Об утверждении Правил делопроизводства в федеральных органах исполнительной власти» (24 реквизита)

w w w. a l a d d i n – r d. r u Соответствие реквизитов очно-бумажного и электронного документов 13 Бланк документа Реквизиты ведомства г.Москва16-00 ДиректорИванов И.И. Правовой статус МестоВремя Полномочие Подпись Правомочие Нотариальное заверение Апостиль Квитанция об оплате 678 УПЛАЧЕНО пошлина 1 руб. Текст документа В соответствии с Федеральным законом ………

w w w. a l a d d i n – r d. r u Система реквизитов электронного документа 14 Бланк документа Правовой статус МестоВремя Полномочие Подпись Правомочие Нотариальное заверение Апостиль Квитанция об оплате 678 Текст документа В соответствии с Федеральным законом ……… Служба документирования (ГОСТ 15489) Служба атрибутирования е-архив

w w w. a l a d d i n – r d. r u 15 Доверенная третья сторона ITU-T X.842

w w w. a l a d d i n – r d. r u Организационный уровень Операторы: Регламенты деятельности Договора Аудит Участники информационного взаимодействия (клиентский уровень): Правила документирования информации в электронном виде Безопасные, но удобные условия применения электронной подписи

w w w. a l a d d i n – r d. r u Правовой уровень Международные соглашения Законодательные и подзаконные акты Торговые обычаи Страховые механизмы Судебные процедуры

w w w. a l a d d i n – r d. r u 18 Иерархия нормативной базы Международные документы Конвенция о защите физических лиц при автоматизированной обработке ПДн европейская спецификация MoReq (Model Requirements for the Management of Electronic Records), Законы РФ 63-ФЗ, 128-ФЗ, 184-ФЗ, 149-ФЗ, 210-ФЗ, … Подзаконные акты (Госпрограмма «Информационное общество») ГОСТ Р Системы ЭДО, нормативная база ФСБ, ФСТЭК, РКН) Отраслевая нормативная база Нормативная база предприятия (приказы, регламенты, распоряжения)

w w w. a l a d d i n – r d. r u Элементы технологического уровня Доверенная третья сторона Учетные системы Инфраструктура документирования информации Инфраструктура мониторинга правовых статусов Инфраструктура актуальности правомочий юридических и физических лиц Инфраструктура мониторинга полномочий Инфраструктура валидации Служба определения места события Служба доверенного времени Инфраструктура управления ключами и сертификатами 19

w w w. a l a d d i n – r d. r u Основные компоненты ЮЗЭДО 20

w w w. a l a d d i n – r d. r u 21 Назначение – персонально - адресное взаимодействие и запуск приложений для работы с различными устройствами обслуживание Доверенный процесс – аппаратно программное окружение обеспечивает безопасную загрузку, инсталляцию и запуск любого из востребованных приложений, а виртуальная Java-машина, - безопасное исполнение этих приложений во взаимодействии с различными устройствами обслуживания Персональное средство электронной идентификации

w w w. a l a d d i n – r d. r u Отличительные качества Решение позволяет объединить весь спектр оказываемых услуг с возможностями безопасного комплексного использования и интеграции. Исполняемое в различных форм-факторах (USB-ключ, смарт-карта, микро SD или SIM), такое устройство обладает огромным инновационным потенциалом. Ее отличительная особенность - мультиаппликативность. Архитектура используемой аппаратно программной среды обеспечивает простое и надежное исполнение различных механизмов безопасности: многофакторная аутентификация клиента на основе криптографии с открытым ключом и цифровых сертификатов; электронная подпись в соответствии с ГОСТ Р ; хранение ключей пользователя в неизвлекаемом виде; возможность установления защищенного логического соединения с сохранением сессии и шифрованием информации. Является средством криптографической защиты информации (СКЗИ), сертифицированным ФСБ России 22

w w w. a l a d d i n – r d. r u Эксплуатационные качества С точки зрения пользователя: работает крайне просто и одинаково во всех приложениях С точки зрения оператора - надежное исполнение всех ключевых операций, а именно: распознавание субъекта (идентификация); проверки подлинности субъекта (аутентификация); адресный контроль (мониторинг), включая протоколирование всех действий субъектов при их доступе к ресурсам информационной системы (аудит); предоставления субъекту определенных прав (авторизация); адресное управление доступом субъектов к ресурсам системы (администрирование). 23

w w w. a l a d d i n – r d. r u Защищенное рабочее место пользователя 24 Является ключевым элементом концепции доверенного электронного взаимодействия. Его основу должен составлять интегрированный модуль безопасности (embedded Trusted Security Module). С его помощью осуществляется контроль доступа и целостности ресурсов вычислительной платформы. Загрузка операционной системы и доступ к ресурсам компьютера выполняется только после осуществления процедур аутентификации.

w w w. a l a d d i n – r d. r u 25 TSM - работа на этапе загрузки взаимодействует с идентифицирующими устройствами располагается в SPI Flash на материнской плате компьютера вызывается на исполнение BIOS после прохождения процедуры Power On Self-Test (POST).

w w w. a l a d d i n – r d. r u Функциональные качества 26 TSM невозможно обойти при любых режимах загрузки компьютера, в том числе и при загрузке с отчуждаемых носителей его невозможно извлечь без нарушения физической целостности материнской платы, вне заводских условий извлечь TSM из компьютера невозможно в режиме «Пользователь» ПО модуля исчезает из адресного пространства и не может быть атаковано ++

w w w. a l a d d i n – r d. r u Эксплуатационные преимущества 27 нет необходимости в осуществлении организационных мероприятий по контролю его физической целостности без средства аутентификации пользователя компьютер просто не работает

w w w. a l a d d i n – r d. r u Аутентификация при доступе к зашифрованным данным Персональная система шифрования данных на дисках (Secret Disk) Шифрование данных на серверах (Secret Disk Server) –Управление доступом –Для файл-серверов и серверов приложений Защита конфиденциальной информации и персональных данных: –защита системного раздела; –защита пользовательской информации от несанкционированного доступа; –соответствие закону по защите персональных данных (152-ФЗ) –прозрачная работа для пользователя 28

w w w. a l a d d i n – r d. r u Как это работает Для доступа к защищённым дискам каждый пользователь использует свое идентифицирующее устройство С его помощью пользователь может создавать так называемые защищённые (секретные) диски с зашифрованным содержимым Поддерживается три типа защищённых дисков: разделы жёсткого диска, съёмные диски ( USB-диск, ZIP и др. ) и виртуальные диски. Виртуальные диски представляют собой логическое устройство, воспринимаемое операционной системой как обычный диск. Всё содержимое виртуального диска хранится в файле на одном из доступных дисков ( раздел жёсткого диска или съёмный диск ). 29

w w w. a l a d d i n – r d. r u Главная задача – администрирование Главная задача – создание надежного связующего элемента (звена) между пользователями, их средствами идентификации и многочисленными приложениями Постановлением Правительства РФ от 28 ноября 2011 г. 977 предполагается создать федеральную государственную информационную систему «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА). Ввод в эксплуатацию указанной системы запланирован в апреле 2012 г. Построение такой системы в масштабах государства - архи сложная задача. Организация правильной работы в масштабах страны и в масштабах отрасли (здравоохранение) – весьма серьезная технологическая задача. Нерешенный вопрос: взаимодействие доверительных сервисов, транслирование доверия, надежное разделение доступа, аутентификация 30

w w w. a l a d d i n – r d. r u Что надо заверять подписью История болезни в электронном виде – общая задача Эпикриз (врачебной комиссии, выписной, посмертный) Результаты обследования Анализы Назначения Операции Ежедневные дневники (после тяжелой операции, 1 раз в 10 дней- этапный?, 1 раз в 15 дней – ВК (лечащий врач, зав.отделением, зам.гл.врача по экспертизе)) … 31

w w w. a l a d d i n – r d. r u Назначения Лист назначений подписывает лечащий врач и мед.сестра, исполняющая назначения Если более 5 препаратов или наркотические препараты – подписывает лечащий врач, мед.сестра и заведующий отделением 32

w w w. a l a d d i n – r d. r u Спасибо за внимание! 33