Медицинский Вестник №32 (501) / 2009
Сколько стоят персональные данные?
Необходимость соответствовать вступающим в следующем году в силу требованиям закона «О персональных данных» вызывает у руководителей ЛПУ и других учреждений сферы здравоохранения массу вопросов. И прежде всего — что делать и где взять деньги? О проблемах защиты информации и вариантах их решения корреспонденту «МВ» рассказал заместитель директора МИАЦ РАМН, профессор Андрей СТОЛБОВ.
Необходимость соответствовать вступающим в следующем году в силу требованиям закона «О персональных данных» вызывает у руководителей ЛПУ и других учреждений сферы здравоохранения массу вопросов. И прежде всего — что делать и где взять деньги? О проблемах защиты информации и вариантах их решения корреспонденту «МВ» рассказал заместитель директора МИАЦ РАМН, профессор Андрей СТОЛБОВ.
— Андрей Павлович, с 1 января следующего года в полном объеме вступает в силу ФЗ №152, в котором прописаны требования, касающиеся защиты персональных данных. Что это будет означать для ЛПУ?
— Начну с того, что в требованиях конфиденциальности информации о состоянии здоровья и необходимости согласия пациента на ее передачу кому-либо, в том числе и другому медработнику, нет ничего нового. В статье «Основ законодательства об охране здоровья...», определяющей понятие врачебной тайны, об этом явно сказано. Закон «О персональных данных» лишь расширил и конкретизировал права граждан — субъектов персональных данных, а также обязанности учреждений — операторов персональных данных. Подзаконными актами, изданными во исполнение требований этого закона, конкретизированы требования к мерам защиты ПД при автоматизированной обработке. Эти меры лишь немногим «не дотягивают» до защиты гостайны. То есть организация защиты ПД в медучреждениях требует привлечения профессионалов и использования специальных программно-технических средств, что очень и очень затратно. В ряде регионов уже прошли проверки соответствия медицинских информационных систем (МИС) этим требованиям, выписаны предписания на устранение выявленных недостатков. Но дело в том, что методические документы по защите конфиденциальной информации в медучреждениях, которые разрабатываются по заказу Минздравсоцразвития РФ, будут готовы только в первой половине декабря, и выполнить их к началу 2010 года практически невозможно, в том числе и потому, что средства на это в бюджетах учреждений предусмотрены не были.
— Каков может быть порядок затрат?
— Сказать, сколько нужно лечебному учреждению в целом, достаточно сложно, но можно говорить о затратах на оборудование одного компьютеризированного рабочего места, на котором обрабатываются персональные данные. С учетом затрат на покупку и установку сертифицированных программных средств защиты информации (они могут устанавливаться только организациями-лицензиатами ФСТЭК и ФСБ, лицензированными специалистами), консалтинговые услуги, обучение персонала понадобится порядка 20 тыс. рублей. Это не считая общих затрат по медучреждению, например, на межсетевые экраны, если локальная сеть подключена к Интернету. Стоимость такого экрана с установкой и техподдержкой в течение года около 200 тыс. рублей. Что касается консалтинговых услуг и стоимости проведения сертификационных испытаний локальной сети из 30—50 компьютеров, компактно размещенной в одном здании, то она составляет от 400 до 600 тыс. рублей. Надо также учесть затраты, н...
