Столбов А.П., РАМН Москва, 27 марта 2013 г НМО MedSoft MedSoft Нормативно-методическое обеспечение применения ИКТ в здравоохранении: состояние и перспективы

Электронный документ. Электронная подпись ( ЭП ) Об электронной подписи, Об электронной подписи, 63-ФЗ от (ред. от ) ( закон 1-ФЗ от действует до ) Весна 2013 г. -- проект закона о внесении изменений в 63-ФЗ ( по плану Правительства РФ ) Правила определения видов ЭП... при обращении за получением государственных и муниципальных услуг, 634 от Правила использования усиленной квалифицированной электронной подписи при обращении за получением государственных и муниципальных услуг, 852 от Об использовании простой электронной подписи при оказании государственных и муниципальных услуг, 33 от Постановление Правительства РФ 1404 от С действуют два новых ГОСТ Р ( процессы формирования и проверки ЭП ) [2001] ГОСТ Р ( функция хэширования ) [1994] Пока нет ни одного средства ЭП, сертифицированного ФСБ по новым требованиям приказов ФСБ 795, 796 от

Об электронной подписи (ЭП), используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств ЭП, 111 от [ единый сервис проверки ЭП ] Федеральная государственная ИС "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме", 977 от приказы Минкомсвязи РФ 107 от ( в ред. пр. 218 от ) О системе межведомственного электронного взаимодействия ( СМЭВ ), 697 от , 641 от , 705 от , 451 от Федеральная информационная адресная система, 1011-р от

Обработка персональных данных ( ПДн ) (1) Требования к защите персональных данных при их обработке в информационных системах персональных данных, !!! 1119 от !!! Требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИС ПДн, 512 от ( ред. от г. 1404, ЭП ) выполнение !? Перечень мер..., направленных на обеспечение выполнения обязанностей... операторами, являющимися государственными или муниципальными органами, 211 от выполнение !? * Приказ ФСТЭК от Состав и содержание организационных и технических мер по обеспечению безопасности ПДн... * * Приказ ФСТЭК от Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах * [ "новый СТР-К" ] Положение о государственном контроле и надзоре за соответствием обработки ПДн... ( проект постановления Правительства РФ ) Методические рекомендации по обезличиванию ПДн ( проект, РКН ) Законы "о штрафах" и поправках в 152-ФЗ ( новая Евроконвенция с 2014 ) 4

Обработка персональных данных ( ПДн ) (2) новый "отраслевой" комплект методических документов по организации обработки ПДн и защите информации отраслевая модель угроз безопасности ПДн ( вместе с ОМС ) ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) ( методики ) : а ) б) а ) субъекту ПДн ( пациент, работник ), б) оператору ГИС ЕГИСЗ = федеративная ИС с "облачными" подсистемами -> ответственность операторов и 'обработчиков' ( аутсорсеров ) классификация 'обработчиков' и операторов ( от кого, какие ПДн получает и кому предоставляет ) ( 149-ФЗ, 152-ФЗ, 323-ФЗ ) федеративная система идентификации, аутентификации и управления полномочиями ( + электронная подпись ) (ЕСИА) "безопасное" включение медицинской техники в состав МИС "кибербезопасность" медицинской техники обеспечение конфиденциальности при использовании Интернет ( "удаленная регистратура", "личный кабинет", заявления в СМО, медицинскую организацию, фонд ОМС и т.д. ) 5

Обработка персональных данных ( ПДн ) (3) включение в состав "публичных" ПДн врачей статистических данных о врачебных ошибках ( как в США ) формирование регистров неработающего населения (ст. 13) нормативное определение понятий "медицинская информационная система" ( 323-ФЗ, ст.13 ) "сведения о состоянии здоровья" ( "инвалид", "годен" etc ) "псевдонимизация", "обратная персонификация" * обязанность уведомлять субъекта ПДн о фактах утечки * процедуры псевдонимизации и обратной персонификации вторичных "медицинских" данных ( как SUS NHS UK ) ISO/TS 25237, рекомендации по обезличиванию РКН исчерпывающие перечни случаев, когда необходимо: оформлять согласие субъекта на обработку ПДн уведомлять его о получении ПДн от третьих лиц (ст.18) или предоставлении их третьим лицам ГОСТ Р Информатизация здоровья. Передача электронных медицинских карт. Часть 4 Безопасность 6

Об обязательном медицинском страховании в Российской Федерации, Об обязательном медицинском страховании в Российской Федерации, 326-ФЗ от г. ( ред. от г. ) Об основах охраны здоровья граждан в Российской Федерации, Об основах охраны здоровья граждан в Российской Федерации, 323-ФЗ от г. телемедицинских ( 76% на ) Статья 50 закона 326-ФЗ ( в ред. от г., ) - Программы модернизации /13 гг. -> внедрение современных ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем, систем ЭДО и ведение ЭМК пациента ( 76% на ) Госпрограмма "Развитие здравоохранения в Российской Федерации", распоряжение Правительства РФ от г p -> подпрограмма 11, мероприятия : Информатизация здравоохранения, включая развитие телемедицины дистанционный консилиум врачей дистанционный консилиум врачей ( ст. 48 закона 323-ФЗ ) Совершенстовование статистического наблюдения в сфере здравоохранения 7

Постановления Правительства РФ Правила ведения Федерального регистра лиц, страдающих жизнеугрожающими и хроническими прогрессирующими редкими (орфанными) заболеваниями... и его регионального сегмента, 403 от Правила ведения Федерального регистра лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше..., 404 от ( регистр "Семь нозологий" ) Правила гос. регистрации и ведения государственного реестра медицинских изделий, 615 от , 1416 от г. Номенклатурная классификация медицинских изделий ( приказ МЗ РФ от г. 4н -> Global Medical Device Nomenclature - GMDN ) Положение о государственном контроле за обращением медицинских изделий, 970 от О программе государственных гарантий бесплатного оказания гражданам медицинской помощи на 2013 год и на плановый период 2014 и 2015 годов, 1074 от Положение о государственном контроле качества и безопасности медицинской деятельности, 1152 от

С 1 января 2013 года внедрение единых порядков ( около 800 ) и стандартов медицинской помощи ( СМП, около 1000 ) информационное обеспечение внедрения СМП федеральные базы данных и сервисы ЕГИСЗ ( идентификация, классификаторы, справочники, форматы представления, правила контроля etc ) уточнить требования к ИС в медицинских организациях, ТФОМС, СМО, органах управления здравоохранением унификация и совместимость структур данных и правил кодирования ЭМК - ИЭМК - СМП переход на полный тариф по ОМС -> включение затрат на ИТ в состав тарифа -> нормативы затрат, методики расчета etc ?! включение расходов на приобретение оборудования стомостью до 100 тыс. руб за единицу в тариф -> закупка СВТ ?! оплата скорой помощи через ОМС -> "неидентифицированные" * Национальный фонд алгоритмов и программ для ЭВМ ( с ) * ( постановление Правительства РФ 62 от ) 9

!! с стандарты HL7 бесплатны !! СПАСИБО ! Всем удачи !!! Столбов Андрей Павлович +7(495)

Внедрение универсальной электронной карты гражданина ( УЭК ) [гл. 6 закона 210-ФЗ] федеральные ( 613 от ), региональные и муниципальные электронные приложения как средство аутентификации и носитель закрытого ключа электронной подписи -> юридически значимые действия ( нет "стандарта" !? ) как полис ОМС ( нет "стандарта" !? ) и носитель СНИЛС !? как носитель витальных данных ( ГОСТ Р ИСО ) !? !? как носитель электронного рецепта ( ГОСТ Р ИСО ) !? !? как универсальная "профессиональная" карта [врача] !? !? инфраструктура обращения УЭК, пункты персонализации, инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !? как банковская карта -> национальная платежная система ( закон 161-ФЗ от ) ( платежи только внутри РФ ) переход на электронный паспорт гражданина с 2015 г. !? -> прекращение (добровольность) выдачи УЭК !? = = "Единая платежно-сервисная система УЭК" ( Сбербанк+УЭК ) ФУО = ОАО "Универсальная электронная карта" 11

Проблемы использования свободного программного обеспечения ( СПО, Open Source ) План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на СПО на гг. ( 2299-р от ) Методические рекомендации по ЕГИСЗ -> использовать СПО ГОСТ Р Информационные технологии. Свободное программное обеспечение. Общие положения ? Эталонные дистрибутивы СПО -- кто будет сопровождать ? Высокие требования к квалификации ИТ-персонала !? Отсутствие документации и техподдержки ( она "дорогая" ) !? Проблемы с драйверами для подключения внешних устройств, в том числе медицинской техники Проблемы с установкой сертифицированных средств защиты информации и средств квалифицированной электронной подписи ( их нет или очень мало для СПО-среды ) !? Какова реальная совокупная стоимость владения ИС на СПО !? 12

Проблемы использования "облачных" технологий Необходимость согласия пациента на обработку персональных данных в "облаке" ( ст. 6 закона 152-ФЗ ) Отсутствие нормативных документов по измерению и оценке уровня защищенности в "облаке" Проблемы разделения ответственности между оператором ЦОДа и провайдером канала -> сложность определения SLA Отсутствие стандартов по измерению качества предоставления услуг ( измерению трафика, скорости передачи данных, скорости обработки данных и т.д. ) [ NIST -> стандарты 2012 ] !? Качество каналов передачи данных ( скорость передачи, надежность ) -> обеспечение доступности критичных данных !? Высокие тарифы на передачу данных ( трафик ) !!! Невозможность подключения медицинских приборов !!! Пока -> применение "облаков" для решения некритичных задач + удаленное сопровождение ПО и администирование ИС 13

Реализация "электронного правительства" [ 210-ФЗ] базовые государственные информационные ресурсы документы "личного хранения" ( ст. 7, ред. от ) реестры государственных и муниципальных услуг, предоставляемых в электронном виде ( ст. 11, распоряжение Правительства РФ от р ) система межведомственного электронного взаимодействия ФГИС ЕС идентификации и аутентификации -- юридических и физических лиц, информационных систем ведение технологических карт межведомственного взаимодействия ( ТКМВ ) стандарты предоставления государственных и муниципальных услуг ( ст. 14 ), в том числе администартивные регламенты ( гл. 3 ), форматы обмена данными и требования к безопасности ( ) Оператор = ОАО "Ростелеком" СМЭВ

Указ Президента Российской Федерации от 7 мая 2012 года 601 "Об основных направлениях совершенствования системы государственного управления" = Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети Интернет к открытым данным, содержащимся в информационных системах органов государственной власти РФ Открытые данные -- это машиночитаемые данные доступные для широкого круга лиц ( общественности ), пригодные к повторному автоматическому использованию и не имеющие лицензионных, технологических, правовых и иных ограничений на их использование -> данные как общественное достояние Открытый контент -- open content + Открытый доступ -- open access -- портал открытых данных Реестры открытых данных Минэкономразвития России -- Минобрнауки России Великобритания 15

Номенклатура работ и услуг в здравоохранении, 2004 D 04 – Работы по медицинской информатике D – Телемедицина -> нет перечня конкретных работ и услуг – собственно телемедицинских консультаций, консилиумов и пр. Определить методику расчета нормативов затрат на оказание телемедицинских услуг Включить ТМ-услуги в тарифное соглашение в системе ОМС Разработать методические рекомендации по оказанию телемедицинских услуг ( организационные процедуры ), в том числе юридически значимый документооборот ( с КЭП ) В новой Номенклатуре медицинских услуг ( приказ МЗСР от г. 1664н ) телемедицинских услуг нет !!! ГОСТ Р ИСО/ТО Информатизация здоровья. Взаимная приемлемость [ интероперабельность ] систем и сетей телемедицины. Часть 1. Введение и определения. ГОСТ Р ИСО Информатизация здоровья. Унифицированный стандарт для передачи и хранения медицинских изображений ( DICOM ) включая рабочий процесс и управление данными. ГОСТ Р ИСО Информатизация здоровья. Сообщения передачи информации. Web-доступ к файловым объектам системы DICOM. 16

Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения... ( г., согласованы с ФСТЭК ) Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости ( г., согласованы с ФСТЭК ) !? Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения ( согласована с ФСТЭК, письмо от г. 240/2/4009 ) !? от г. !!! Методические рекомендации по проведению в гг. работ по информационной безопасности для регионального уровня единой государственной информационной системы в сфере здравоохранения ( включая ЛПУ ) ( от г. ) !!! Информационное сообщение ФСТЭК от г. 240/22/2222 не обязательно !!! -> получение лицензии на деятельность по технической защите конфиденциальной информации не обязательно !!! 17

Методические рекомендации по применению облачных технологий при создании регионального уровня Единой государственной информационной системы ( ЕГИС ) в сфере здравоохранения, в рамках реализации региональных программ модернизации здравоохранения в годах ( проект, , ) Методические рекомендации медицинским организациям по организации криптографической защиты каналов при взаимодействии в рамках ЕГИС в сфере здравоохранения ( , ) Рекомендации по установке оборудования ViPNet для учреждений здравоохранения при подключении к VPN сети ЕГИСЗ ( , ) Методические рекомендации по оснащению центральных станций СМП и машин СМП компьютерным, телекоммуникационным оборудованием и ПО для регионального уровня ИС "Центр обслуживания вызовов экстренных оперативных служб по единому номеру "103"", а также функциональные требования к ним ( , ) 18

ГОСТ Р Электронная история болезни. Общие положения ГОСТ Р ИСО/ТС Информатизация здоровья. Требования к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ] ГОСТ Р ИСО/ТС , Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1 Общие сведения и управление политикой, Часть 2 Формальные модели ГОСТ Р Информатизация здоровья. Передача электронных медицинских карт. Часть 4 Безопасность ISO/TS : 2008 Health informatics. Pseudonymization. ISO/TS : 2009 Health informatics. Identification of subject of health care. Health Insurance Portability and Accountability Act ( HIPAA ), США, 1996 Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act ( HIPAA ) Privacy Rule ( , ) 19

Методические рекомендации по... ( г. -> г. ) оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением... и функциональные требования к ним составу, создаваемых в гг. в рамках реализации региональных программ модернизации здравоохранения, прикладных компонентов регионального уровня ЕГИСЗ и функциональные требования к ним ( по типам МО ) порядку организации работ по созданию субъектом РФ в годах регионального фрагмента ЕГИСЗ составу и техническим требованиям к сетевому телекоммуникационному оборудованию учреждений системы здравоохранения... и функциональные требования к ним по оснащению центральных станций СМП и машин СМП компьютерным, телекоммуникационным оборудованием и ПО для регионального уровня ИС "Центр обслуживания вызовов экстренных оперативных служб по единому номеру "103"", а также функциональные требования к ним ( ) [ 20

* Методические рекомендации по составу прикладных компонентов регионального уровня информационной системы в сфере здравоохранения для лечебно-профилактических учреждений, находящихся в ведении ФМБА России ( утверждены г., см. )* Требования к МИС, передаваемым в фонд алгоритмов и программ Министерства здравоохранения и социального развития Российской Федерации, применяемым в Государственной информационной системе персонифицированного учета в здравоохранении Российской Федерации" ( проект, опубликован г. на сайте ) Методические рекомендации по применению облачных технологий при создании регионального уровня единой государственной информационной системы в сфере здравоохранения, в рамках реализации региональных программ модернизации здравоохранения в годах ( проект, опубликован г. на сайте ) Методические рекомендации по составу и требованиям к медицинским информационным системам лечебно-профилактического учреждения ( проект, АРМИТ, апрель 2012 г. ), 21

Увеличение объема собираемой статистической информации 1992 год тысяч графоклеток !!! 2010 год тысяч графоклеток -> рост в 4 раза !!! Почти 48.6 % от общего объема отчетных форм ( графоклеток ) содержат 4 формы: ф % ( рост в 2 раза количества графоклеток ) ф % ( рост в 8.8 раза ) ф % ( рост в 7.3 раза ) ф % ( рост в 2 раза ) !! Учетные и отчетные формы перегружены невостребованной информацией при отсутствии необходимых данных !! Показатели Программы модернизации здравоохранения: пятилетняя выживаемость лиц после инфаркта миокарда увеличение средней продолжительности жизни больных с хронической патологией !!? -> этих данных нет ни в учетной ни в отчетной документации !!? 22 [Какорина Е.П., Огрызко Е.В., ВИТ, 2012, 2]