Столбов А.П., РАМН

Москва, 27 марта 2013 г. 26.3.3.НМО

MedSoft - 20MedSoft - 201313Нормативно-методическое обеспечение применения ИКТ в здравоохранении:состояние и перспективы

Электронный документ. Электронная подпись (ЭП)Об электронной подписи,Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)

(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по

плану Правительства РФ)Правила определения видов ЭП ... при обращении за получением

государственных и муниципальных услуг, № 634 от 25.06.2012 Правила использования усиленной квалифицированной электронной

подписи при обращении за получением государственных и муниципальных услуг, № 852 от 25.08.2012

Об использовании простой электронной подписи при оказании государственных и муниципальных услуг, № 33 от 25.01.2013

№ 1404 ПостановлениеПравительства РФ от27.12.2012

С 01.01.2013 действуют два новыхГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]ГОСТ Р 34.11-2012 (функция хэширования) [1994]

Пока нет ни одного средства ЭП, сертифицированного ФСБ по новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011 2

Об электронной подписи (ЭП), используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств ЭП, № 111 от 09.02.2012 [единый сервис проверки ЭП]

Федеральная государственная ИС "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)

О системе межведомственного электронного взаимодействия (СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от 19.08.2011, № 451 от 08.06.2011

Федеральная информационная адресная система, № 1011-р от 10.06.2011

3

Обработка персональных данных (ПДн) (1)Требования к защите персональных данных при их обработке в

информационных системах персональных данных, № 1119 от 01.11.2012 !!!!!!

Требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИС ПДн,

№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП) Перечень мер ... , направленных на обеспечение выполнения

обязанностей ... операторами, являющимися государственными или муниципальными органами, № 211 от 21.03.2012 - выполнениевыполнение !?!?

Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных и технических мер по обеспечению безопасности ПДн ... **

Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах ** ["новый СТР-К"]

Положение о государственном контроле и надзоре за соответствием обработки ПДн ... (проект постановления Правительства РФ)

Методические рекомендации по обезличиванию ПДн (проект, РКН)Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014) 4

Обработка персональных данных (ПДн) (2) новый "отраслевой" комплект методических документов по

организации обработки ПДн и защите информации отраслевая модель угроз безопасности ПДн (вместе с ОМС) ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):

аа)) субъекту ПДн (пациент, работник), б)б) оператору ГИС ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->

ответственность операторов и 'обработчиков' (аутсорсеров) классификация 'обработчиков' и операторов (от кого, какие

ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ) федеративная система идентификации, аутентификации и

управления полномочиями (+ электронная подпись) (ЕСИА)

"безопасное" включение медицинской техники в состав МИС "кибербезопасность" медицинской техники обеспечение конфиденциальности при использовании

Интернет ("удаленная регистратура", "личный кабинет", заявления в СМО, медицинскую организацию, фонд ОМС и т.д.)

5

Обработка персональных данных (ПДн) (3) включение в состав "публичных" ПДн врачей статистических

данных о врачебных ошибках (как в США) формирование регистров неработающего населения (ст. 13) нормативное определение понятий

"медицинская информационная система" (№ 323-ФЗ, ст.13) "сведения о состоянии здоровья" ("инвалид", "годен" etc) "псевдонимизация", "обратная персонификация"

обязанность уведомлять субъекта ПДн о фактах утечки ** процедуры псевдонимизации и обратной персонификации

вторичных "медицинских" данных (как SUS NHS UK)ISO/TS 25237, рекомендации по обезличиванию РКН

исчерпывающие перечни случаев, когда необходимо: оформлять согласие субъекта на обработку ПДн уведомлять его о получении ПДн от третьих лиц (ст.18) или

предоставлении их третьим лицам

ГОСТ Р 54472-2011 Информатизация здоровья. Передача электронных медицинских карт. Часть 4 Безопасность

6

Об обязательном медицинском страховании в Российской Об обязательном медицинском страховании в Российской Федерации, Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)

Об основах охраны здоровья граждан в Российской Федерации, Об основах охраны здоровья граждан в Российской Федерации, № 323-ФЗ от 21.11.2011 г.

Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) - Программы модернизации ... 2011/13 гг. -> внедрение современных ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы ОМС, в т.ч. в составе УЭК, внедрение телемедицинскихтелемедицинских систем, систем ЭДО и ведение ЭМК пациента ((76% 76% 1.1.13на 1.1.13на ))

Госпрограмма "Развитие здравоохранения в Российской Федерации", распоряжение Правительства РФ от 24.12.2012 г. № 2511-p -> подпрограмма 11, мероприятия:

11.211.2 Информатизация здравоохранения, включая развитие телемедицины

дистанционный консилиум врачейдистанционный консилиум врачей (ст. 48 закона № 323-ФЗ) 11.411.4 Совершенстовование статистического наблюдения в сфере

здравоохранения

7

Постановления Правительства РФПравила ведения Федерального регистра лиц, страдающих

жизнеугрожающими и хроническими прогрессирующими редкими (орфанными) заболеваниями ... и его регионального сегмента, № 403 от 26.04.2012

Правила ведения Федерального регистра лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше ..., № 404 от 26.04.2012 (регистр "Семь нозологий")

Правила гос. регистрации и ведения государственного реестра медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.

Номенклатурная классификация медицинских изделий (приказ МЗ РФ от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)

Положение о государственном контроле за обращением медицинских изделий, № 970 от 25.09.2012

О программе государственных гарантий бесплатного оказания гражданам медицинской помощи на 2013 год и на плановый период 2014 и 2015 годов, № 1074 от 22.10.2012

Положение о государственном контроле качества и безопасности медицинской деятельности, № 1152 от 12.11.2012

8

С 1 января 2013 года внедрение единых порядков (около 800) и стандартов

медицинской помощи (СМП, около 1000) информационное обеспечение внедрения СМП

федеральные базы данных и сервисы ЕГИСЗ (идентификация, классификаторы, справочники, форматы представления, правила контроля etc)

уточнить требования к ИС в медицинских организациях, ТФОМС, СМО, органах управления здравоохранением

унификация и совместимость структур данных и правил кодирования ЭМК - ИЭМК - СМП

переход на полный тариф по ОМС -> включение затрат на ИТ в состав тарифа -> нормативы затрат, методики расчета etc

включение расходов на приобретение оборудования стомостью до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!?!

оплата скорой помощи через ОМС -> "неидентифицированные"

Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)** (постановление Правительства РФ № 62 от 30.01.2013)

9

с 1.1.2013 стандарты HL7

бесплатны !!!!

СПАСИБО !Всем удачи !!!

Столбов Андрей ПавловичAP100Lbov@mail.ru+7(495) 724-70-46

10

Внедрение универсальной электронной карты гражданина (УЭК) [гл. 6 закона № 210-ФЗ] федеральные (№ 613 от 22.07.2011), региональные и

муниципальные электронные приложения как средство аутентификации и носитель закрытого ключа

электронной подписи -> юридически значимые действия как полис ОМС ((нетнет "стандарта" "стандарта" !?!?)) и носитель СНИЛС как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?!? как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?!? как универсальная "профессиональная" карта [врача] !?!? инфраструктура обращения УЭК, пункты персонализации,

инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?!? как банковская карта -> национальная платежная система (закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)

переход на электронный паспорт гражданина с 2015 г. -> прекращение (добровольность) выдачи УЭК !?!?

== "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)

ФУО = ОАО "Универсальная электронная карта" www.uecard.ru 11

Проблемы использования свободного программного обеспечения (СПО, Open Source)

План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на СПО на 2011-2015 гг. (№ 2299-р от 17.12. 2010)

Методические рекомендации по ЕГИСЗ -> использовать СПО ГОСТ Р 54593-2011 Информационные технологии. Свободное

программное обеспечение. Общие положения

Эталонные дистрибутивы СПО -- кто будет сопровождать ?? Высокие требования к квалификации ИТ-персонала Отсутствие документации и техподдержки (она "дорогая") !?!? Проблемы с драйверами для подключения внешних устройств,

в том числе медицинской техники Проблемы с установкой сертифицированных средств защиты

информации и средств квалифицированной электронной подписи (их нет или очень мало для СПО-среды)

Какова реальная совокупная стоимость владения ИС на СПО !?!? 12

Проблемы использования "облачных" технологий

Необходимость согласия пациента на обработку персональных данных в "облаке" (ст. 6 закона № 152-ФЗ)

Отсутствие нормативных документов по измерению и оценке уровня защищенности в "облаке"

Проблемы разделения ответственности между оператором ЦОДа и провайдером канала -> сложность определения SLA

Отсутствие стандартов по измерению качества предоставления услуг (измерению трафика, скорости передачи данных, скорости обработки данных и т.д.) [NIST -> стандарты 2012]

Качество каналов передачи данных (скорость передачи, надежность) -> обеспечение доступности критичных данных !?!?

Высокие тарифы на передачу данных (трафик) Невозможность подключения медицинских приборов !!!!!!Пока -> применение "облаков" для решения некритичных задач +

удаленное сопровождение ПО и администирование ИС13

Реализация "электронного правительства" [№ 210-ФЗ] базовые государственные информационные ресурсы документы "личного хранения" (ст. 7, ред. от 01.07.2011) реестры государственных и муниципальных услуг,

предоставляемых в электронном виде (ст. 11, распоряжение Правительства РФ от 25.04.2011 № 729-р)

система межведомственного электронного взаимодействия ФГИС ЕС идентификации и аутентификации -- юридических и

физических лиц, информационных систем ведение технологических карт межведомственного

взаимодействия (ТКМВ) стандарты предоставления государственных и

муниципальных услуг (ст. 14), в том числе администартивные регламенты (гл. 3), форматы обмена данными и требования к безопасности (www.egov-std.ru)

Оператор = ОАО "Ростелеком"www.210fz.ru, www.gosbook.ru

14

СМЭВ

Указ Президента Российской Федерации от 7 мая 2012 года № 601 "Об основных направлениях совершенствования системы

государственного управления" =Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети

Интернет к открытым данным, содержащимся в информационных системах органов государственной власти РФ

Открытые данные -- это машиночитаемые данные доступные для широкого круга лиц (общественности), пригодные к повторному автоматическому использованию и не имеющие лицензионных, технологических, правовых и иных ограничений на их использование -> данные как общественное достояние

Открытый контент -- open content + Открытый доступ -- open access www.OpenGovData.ru -- портал открытых данных

Реестры открытых данныхМинэкономразвития России -- www.economy.gov.ruМинобрнауки России -- www.mon.gov.ru

http://data.gov.uk -- Великобритания

15

Номенклатура работ и услуг в здравоохранении, 2004 D 04 – Работы по медицинской информатикеD 04.01 – Телемедицина -> нет перечня конкретных работ и услуг – собственно телемедицинских консультаций, консилиумов и пр.

Определить методику расчета нормативов затрат на оказание телемедицинских услуг

Включить ТМ-услуги в тарифное соглашение в системе ОМС Разработать методические рекомендации по оказанию

телемедицинских услуг (организационные процедуры), в том числе юридически значимый документооборот (с КЭП)

В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г. № 1664н) телемедицинских услуг нет !!!

ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная приемлемость [интероперабельность] систем и сетей телемедицины. Часть 1. Введение и определения.

ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный стандарт для передачи и хранения медицинских изображений (DICOM) включая рабочий процесс и управление данными.

ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи информации. Web-доступ к файловым объектам системы DICOM.

16

Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)

Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК)

Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?!?

Методические рекомендации по проведению в 2011-2012 гг. работ по информационной безопасности для регионального уровня единой государственной информационной системы в сфере здравоохранения (включая ЛПУ ) (от 14.11.2011 г.от 14.11.2011 г.) !!!!!!

Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222 -> получение лицензии на деятельность по технической защите конфиденциальной информации не обязательноне обязательно !!!!!!

17

Методические рекомендации по применению облачных технологий при создании регионального уровня Единой государственной информационной системы (ЕГИС) в сфере здравоохранения, в рамках реализации региональных программ модернизации здравоохранения в 2011-2012 годах (проект, 30.01.2012, www.minzdravsoc.ru)

Методические рекомендации медицинским организациям по организации криптографической защиты каналов при взаимодействии в рамках ЕГИС в сфере здравоохранения (18.09.2012, www.egisz.rosminzdrav.ru)

Рекомендации по установке оборудования ViPNet для учреждений здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012, www.egisz.rosminzdrav.ru)

Методические рекомендации по оснащению центральных станций СМП и машин СМП компьютерным, телекоммуникационным оборудованием и ПО для регионального уровня ИС "Центр обслуживания вызовов экстренных оперативных служб по единому номеру "103"", а также функциональные требования к ним (19.05.2012, www.minzdravsoc.ru)

18

ГОСТ Р 52636-2006 Электронная история болезни. Общие положения

ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]

ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1 Общие сведения и управление политикой, Часть 2 Формальные модели

ГОСТ Р 54472-2011 Информатизация здоровья. Передача электронных медицинских карт. Часть 4 Безопасность

ISO/TS 25237:2008 Health informatics. Pseudonymization.ISO/TS 22220:2009 Health informatics. Identification of subject of

health care. Health Insurance Portability and Accountability Act (HIPAA), США, 1996Guidance Regarding Methods for De-identification of Protected Health Information in

Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule (26.11.2012, www.hhs.gov)

19

Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.) оснащению медицинских учреждений компьютерным

оборудованием и программным обеспечением ... и функциональные требования к ним

составу, создаваемых в 2011-2012 гг. в рамках реализации региональных программ модернизации здравоохранения, прикладных компонентов регионального уровня ЕГИСЗ и функциональные требования к ним (по типам МО)

порядку организации работ по созданию субъектом РФ в 2011-2012 годах регионального фрагмента ЕГИСЗ

составу и техническим требованиям к сетевому телекоммуникационному оборудованию учреждений системы здравоохранения ... и функциональные требования к ним

по оснащению центральных станций СМП и машин СМП компьютерным, телекоммуникационным оборудованием и ПО для регионального уровня ИС "Центр обслуживания вызовов экстренных оперативных служб по единому номеру "103"", а также функциональные требования к ним (19.05.2012)

[www.egisz.rosminzdrav.ru]20

Методические рекомендации по составу прикладных компонентов регионального уровня информационной системы в сфере здравоохранения для лечебно-профилактических учреждений, находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см. www.gosbook.ru/node/45494)**

Требования к МИС, передаваемым в фонд алгоритмов и программ Министерства здравоохранения и социального развития Российской Федерации, применяемым в Государственной информационной системе персонифицированного учета в здравоохранении Российской Федерации" (проект, опубликован 25.11.2010 г. на сайте www.minzdravsoc.ru)

Методические рекомендации по применению облачных технологий при создании регионального уровня единой государственной информационной системы в сфере здравоохранения, в рамках реализации региональных программ модернизации здравоохранения в 2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте www.minzdravsoc.ru)

Методические рекомендации по составу и требованиям к медицинским информационным системам лечебно-профилактического учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419

21

Увеличение объема собираемой статистической информации1992 год -- 12.9 тысяч графоклеток 2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!!!!

Почти 48.6 % от общего объема отчетных форм (графоклеток) содержат 4 формы:ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)ф. № 14 -- 13.7 % (рост в 8.8 раза)ф. № 12 -- 11.8 % (рост в 7.3 раза) ф. № 30 -- 9.0 % (рост в 2 раза)

Учетные и отчетные формы перегружены невостребованной информацией при отсутствии необходимых данных !!!!

Показатели Программы модернизации здравоохранения: пятилетняя выживаемость лиц после инфаркта миокарда увеличение средней продолжительности жизни больных с

хронической патологией

-> этих данных нет ни в учетной ни в отчетной документации !!!!??

22[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]