MedSoft - 2013 Нормативно-методическое обеспечение применения ИКТ в здравоохранении: состояние и перспективы Столбов А.П., РАМН Москва, 27 марта 2013 г. 26.3.3.НМО Электронный документ.
Download ReportTranscript MedSoft - 2013 Нормативно-методическое обеспечение применения ИКТ в здравоохранении: состояние и перспективы Столбов А.П., РАМН Москва, 27 марта 2013 г. 26.3.3.НМО Электронный документ.
Slide 1
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 2
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 3
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 4
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 5
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 6
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 7
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 8
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 9
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 10
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 11
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 12
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 13
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 14
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 15
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 16
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 17
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 18
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 19
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 20
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 21
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 22
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 2
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 3
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 4
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 5
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 6
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 7
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 8
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 9
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 10
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 11
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 12
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 13
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 14
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 15
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 16
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 17
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 18
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 19
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 20
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 21
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22
Slide 22
MedSoft - 2013
Нормативно-методическое
обеспечение применения
ИКТ в здравоохранении:
состояние и перспективы
Столбов А.П., РАМН
Москва, 27 марта 2013 г.
26.3.3.НМО
Электронный документ. Электронная подпись (ЭП)
Об электронной подписи, № 63-ФЗ от 06.04.2011 (ред. от 01.07.2011)
(закон № 1-ФЗ от 10.01.2002 действует до 01.07.2013)
Весна 2013 г. -- проект закона о внесении изменений в № 63-ФЗ (по
плану Правительства РФ)
Правила определения видов ЭП ... при обращении за получением
государственных и муниципальных услуг, № 634 от 25.06.2012
Правила использования усиленной квалифицированной электронной
подписи при обращении за получением государственных и
муниципальных услуг, № 852 от 25.08.2012
Об использовании простой электронной подписи при оказании
государственных и муниципальных услуг, № 33 от 25.01.2013
Постановление Правительства РФ № 1404 от 27.12.2012
С 01.01.2013 действуют два новых
ГОСТ Р 34.10-2012 (процессы формирования и проверки ЭП) [2001]
ГОСТ Р 34.11-2012 (функция хэширования) [1994]
Пока нет ни одного средства ЭП, сертифицированного ФСБ по
новым требованиям приказов ФСБ № 795, № 796 от 27.12.2011
2
Об электронной подписи (ЭП), используемой органами
исполнительной власти и органами местного самоуправления
при организации электронного взаимодействия между собой, о
порядке ее использования, а также об установлении
требований к обеспечению совместимости средств ЭП,
№ 111 от 09.02.2012
[единый сервис проверки ЭП]
Федеральная государственная ИС "Единая система
идентификации и аутентификации в инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной
форме", № 977 от 28.11.2011 + приказы Минкомсвязи РФ
№ 107 от 13.04.2012 (в ред. пр. № 218 от 31.08.2012)
О системе межведомственного электронного взаимодействия
(СМЭВ), № 697 от 08.09.2010, № 641 от 01.08.2011, № 705 от
19.08.2011, № 451 от 08.06.2011
Федеральная информационная адресная система, № 1011-р от
10.06.2011
3
Обработка персональных данных (ПДн)
(1)
Требования к защите персональных данных при их обработке в
информационных системах персональных данных,
№ 1119 от 01.11.2012 !!!
Требования к материальным носителям биометрических ПДн и
технологиям хранения таких данных вне ИС ПДн,
№ 512 от 06.07.2008 (ред. от 27.12.2012 г. № 1404, ЭП)
Перечень мер ... , направленных на обеспечение выполнения
обязанностей ... операторами, являющимися государственными или
муниципальными органами, № 211 от 21.03.2012 - выполнение !?
Приказ ФСТЭК от 18.02.2013 № 21 - Состав и содержание организационных
и технических мер по обеспечению безопасности ПДн ... *
Приказ ФСТЭК от 12.02.2013 № 17 - Требования о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах * ["новый СТР-К"]
Положение о государственном контроле и надзоре за соответствием
обработки ПДн ... (проект постановления Правительства РФ)
Методические рекомендации по обезличиванию ПДн (проект, РКН)
Законы "о штрафах" и поправках в 152-ФЗ (новая Евроконвенция с 2014)
4
Обработка персональных данных (ПДн)
(2)
новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
отраслевая модель угроз безопасности ПДн (вместе с ОМС)
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и 'обработчиков' (аутсорсеров)
классификация 'обработчиков' и операторов (от кого, какие
ПДн получает и кому предоставляет) (№ 149-ФЗ, 152-ФЗ, 323-ФЗ)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
"безопасное" включение медицинской техники в состав МИС
"кибербезопасность" медицинской техники
обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
Обработка персональных данных (ПДн)
(3)
включение в состав "публичных" ПДн врачей статистических
данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
"медицинская информационная система" (№ 323-ФЗ, ст.13)
"сведения о состоянии здоровья" ("инвалид", "годен" etc)
"псевдонимизация", "обратная персонификация"
обязанность уведомлять субъекта ПДн о фактах утечки *
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
оформлять согласие субъекта на обработку ПДн
уведомлять его о получении ПДн от третьих лиц (ст.18) или
предоставлении их третьим лицам
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
6
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации, №
323-ФЗ от 21.11.2011 г.
Статья 50 закона № 326-ФЗ (в ред. от 01.12.2012 г., 11.02.2013) Программы модернизации ... 2011/13 гг. -> внедрение современных
ИС в здравоохранение в целях создания ЕГИСЗ, переход на полисы
ОМС, в т.ч. в составе УЭК, внедрение телемедицинских систем,
систем ЭДО и ведение ЭМК пациента (76% на 1.1.13)
Госпрограмма "Развитие здравоохранения в Российской
Федерации", распоряжение Правительства РФ от 24.12.2012 г.
№ 2511-p -> подпрограмма 11, мероприятия:
11.2 Информатизация здравоохранения, включая развитие
телемедицины
дистанционный консилиум врачей (ст. 48 закона № 323-ФЗ)
11.4 Совершенстовование статистического наблюдения в сфере
здравоохранения
7
Постановления Правительства РФ
Правила ведения Федерального регистра лиц, страдающих
жизнеугрожающими и хроническими прогрессирующими редкими
(орфанными) заболеваниями ... и его регионального сегмента,
№ 403 от 26.04.2012
Правила ведения Федерального регистра лиц, больных гемофилией,
муковисцидозом, гипофизарным нанизмом, болезнью Гоше ...,
№ 404 от 26.04.2012
(регистр "Семь нозологий")
Правила гос. регистрации и ведения государственного реестра
медицинских изделий, № 615 от 19.06.2012, № 1416 от 27.12.2012 г.
Номенклатурная классификация медицинских изделий (приказ МЗ РФ
от 06.06.2012 г. № 4н -> Global Medical Device Nomenclature - GMDN)
Положение о государственном контроле за обращением медицинских
изделий, № 970 от 25.09.2012
О программе государственных гарантий бесплатного оказания
гражданам медицинской помощи на 2013 год и на плановый период
2014 и 2015 годов, № 1074 от 22.10.2012
Положение о государственном контроле качества и безопасности
медицинской деятельности, № 1152 от 12.11.2012
8
С 1 января 2013 года
внедрение единых порядков (около 800) и стандартов
медицинской помощи (СМП, около 1000)
информационное обеспечение внедрения СМП
федеральные базы данных и сервисы ЕГИСЗ
(идентификация, классификаторы, справочники, форматы
представления, правила контроля etc)
уточнить требования к ИС в медицинских организациях,
ТФОМС, СМО, органах управления здравоохранением
унификация и совместимость структур данных и правил
кодирования ЭМК - ИЭМК - СМП
переход на полный тариф по ОМС -> включение затрат на ИТ в
состав тарифа -> нормативы затрат, методики расчета etc
включение расходов на приобретение оборудования стомостью
до 100 тыс. руб за единицу в тариф -> закупка СВТ ?!
оплата скорой помощи через ОМС -> "неидентифицированные"
Национальный фонд алгоритмов и программ для ЭВМ (с 1.7.2013)*
(постановление Правительства РФ № 62 от 30.01.2013)
9
с 1.1.2013 стандарты HL7 бесплатны !!
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
[email protected]
+7(495) 724-70-46
10
Внедрение универсальной электронной карты
гражданина (УЭК)
[гл. 6 закона № 210-ФЗ]
федеральные (№ 613 от 22.07.2011), региональные и
муниципальные электронные приложения
как средство аутентификации и носитель закрытого ключа
электронной подписи -> юридически значимые действия
как полис ОМС (нет "стандарта" !?) и носитель СНИЛС
как носитель витальных данных (ГОСТ Р ИСО 21549-3) !?
как носитель электронного рецепта (ГОСТ Р ИСО 21549-7) !?
как универсальная "профессиональная" карта [врача] !?
инфраструктура обращения УЭК, пункты персонализации,
инфоматы, карт-ридеры \ райтеры в МО, ТФ, СМО etc !?
как банковская карта -> национальная платежная система
(закон № 161-ФЗ от 27.06.2011) (платежи только внутри РФ)
переход на электронный паспорт гражданина с 2015 г.
-> прекращение (добровольность) выдачи УЭК !?
= "Единая платежно-сервисная система УЭК" (Сбербанк+УЭК)
ФУО = ОАО "Универсальная электронная карта" www.uecard.ru
11
Проблемы использования свободного
программного обеспечения (СПО, Open Source)
План перехода федеральных органов исполнительной власти и
федеральных бюджетных учреждений на СПО на 2011-2015 гг.
(№ 2299-р от 17.12. 2010)
Методические рекомендации по ЕГИСЗ -> использовать СПО
ГОСТ Р 54593-2011 Информационные технологии. Свободное
программное обеспечение. Общие положения
Эталонные дистрибутивы СПО -- кто будет сопровождать ?
Высокие требования к квалификации ИТ-персонала
Отсутствие документации и техподдержки (она "дорогая") !?
Проблемы с драйверами для подключения внешних устройств,
в том числе медицинской техники
Проблемы с установкой сертифицированных средств защиты
информации и средств квалифицированной электронной
подписи (их нет или очень мало для СПО-среды)
Какова реальная совокупная стоимость владения ИС на СПО !?
12
Проблемы использования "облачных"
технологий
Необходимость согласия пациента на обработку персональных
данных в "облаке" (ст. 6 закона № 152-ФЗ)
Отсутствие нормативных документов по измерению и оценке
уровня защищенности в "облаке"
Проблемы разделения ответственности между оператором
ЦОДа и провайдером канала -> сложность определения SLA
Отсутствие стандартов по измерению качества предоставления
услуг (измерению трафика, скорости передачи данных,
скорости обработки данных и т.д.) [NIST -> стандарты 2012]
Качество каналов передачи данных (скорость передачи,
надежность) -> обеспечение доступности критичных данных !?
Высокие тарифы на передачу данных (трафик)
Невозможность подключения медицинских приборов !!!
Пока -> применение "облаков" для решения некритичных задач +
удаленное сопровождение ПО и администирование ИС
13
Реализация "электронного правительства" [№ 210-ФЗ]
базовые государственные информационные ресурсы
документы "личного хранения" (ст. 7, ред. от 01.07.2011)
реестры государственных и муниципальных услуг,
СМЭВ
предоставляемых в электронном виде (ст. 11, распоряжение
Правительства РФ от 25.04.2011 № 729-р)
система межведомственного электронного взаимодействия
ФГИС ЕС идентификации и аутентификации -- юридических и
физических лиц, информационных систем
ведение технологических карт межведомственного
взаимодействия (ТКМВ)
стандарты предоставления государственных и
муниципальных услуг (ст. 14), в том числе
администартивные регламенты (гл. 3), форматы обмена
данными и требования к безопасности (www.egov-std.ru)
Оператор = ОАО "Ростелеком"
www.210fz.ru, www.gosbook.ru
14
Указ Президента Российской Федерации от 7 мая 2012 года № 601
"Об основных направлениях совершенствования системы
государственного управления" =
Правительству РФ до 15 июля 2013 г. обеспечить доступ в сети
Интернет к открытым данным, содержащимся в
информационных системах органов государственной власти РФ
Открытые данные -- это машиночитаемые данные доступные для
широкого круга лиц (общественности), пригодные к повторному
автоматическому использованию и не имеющие лицензионных,
технологических, правовых и иных ограничений на их
использование -> данные как общественное достояние
Открытый контент -- open content + Открытый доступ -- open access
www.OpenGovData.ru -- портал открытых данных
Реестры открытых данных
Минэкономразвития России -- www.economy.gov.ru
Минобрнауки России -- www.mon.gov.ru
http://data.gov.uk -- Великобритания
15
Номенклатура работ и услуг в здравоохранении, 2004
D 04 – Работы по медицинской информатике
D 04.01 – Телемедицина -> нет перечня конкретных работ и услуг
– собственно телемедицинских консультаций, консилиумов и пр.
Определить методику расчета нормативов затрат на оказание
телемедицинских услуг
Включить ТМ-услуги в тарифное соглашение в системе ОМС
Разработать методические рекомендации по оказанию
телемедицинских услуг (организационные процедуры), в том
числе юридически значимый документооборот (с КЭП)
В новой Номенклатуре медицинских услуг (приказ МЗСР от 27.12.2011 г.
№ 1664н) телемедицинских услуг нет !!!
ГОСТ Р ИСО/ТО 16056-1-2009 Информатизация здоровья. Взаимная
приемлемость [интероперабельность] систем и сетей телемедицины.
Часть 1. Введение и определения.
ГОСТ Р ИСО 12052-2009 Информатизация здоровья. Унифицированный
стандарт для передачи и хранения медицинских изображений (DICOM)
включая рабочий процесс и управление данными.
ГОСТ Р ИСО 17432-2009 Информатизация здоровья. Сообщения передачи
информации. Web-доступ к файловым объектам системы DICOM.
16
Методические рекомендации по организации защиты информации
при обработке персональных данных в учреждениях
здравоохранения ... (23.12.2009 г. , согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных учреждений
и организаций здравоохранения, социальной сферы, труда и
занятости (23.12.2009 г., согласованы с ФСТЭК)
Модель угроз типовой медицинской информационной системы
типового лечебно-профилактического учреждения (согласована
с ФСТЭК, письмо от 27.11.2009 г. № 240/2/4009) !?
Методические рекомендации по проведению в 2011-2012 гг. работ
по информационной безопасности для регионального уровня
единой государственной информационной системы в сфере
здравоохранения (включая ЛПУ ) (от 14.11.2011 г.) !!!
Информационное сообщение ФСТЭК от 30.05.2012 г. № 240/22/2222
-> получение лицензии на деятельность по технической защите
конфиденциальной информации не обязательно !!!
17
Методические рекомендации по применению облачных технологий
при создании регионального уровня Единой государственной
информационной системы (ЕГИС) в сфере здравоохранения, в
рамках реализации региональных программ модернизации
здравоохранения в 2011-2012 годах (проект, 30.01.2012,
www.minzdravsoc.ru)
Методические рекомендации медицинским организациям по
организации криптографической защиты каналов при
взаимодействии в рамках ЕГИС в сфере здравоохранения
(18.09.2012, www.egisz.rosminzdrav.ru)
Рекомендации по установке оборудования ViPNet для учреждений
здравоохранения при подключении к VPN сети ЕГИСЗ (18.09.2012,
www.egisz.rosminzdrav.ru)
Методические рекомендации по оснащению центральных станций
СМП и машин СМП компьютерным, телекоммуникационным
оборудованием и ПО для регионального уровня ИС "Центр
обслуживания вызовов экстренных оперативных служб по
единому номеру "103"", а также функциональные требования к ним
(19.05.2012, www.minzdravsoc.ru)
18
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
19
Методические рекомендации по ... (31.08.2011 г. -> 03.05.2012 г.)
оснащению медицинских учреждений компьютерным
оборудованием и программным обеспечением ... и
функциональные требования к ним
составу, создаваемых в 2011-2012 гг. в рамках реализации
региональных программ модернизации здравоохранения,
прикладных компонентов регионального уровня ЕГИСЗ и
функциональные требования к ним (по типам МО)
порядку организации работ по созданию субъектом РФ в 2011-2012
годах регионального фрагмента ЕГИСЗ
составу и техническим требованиям к сетевому
телекоммуникационному оборудованию учреждений системы
здравоохранения ... и функциональные требования к ним
по оснащению центральных станций СМП и машин СМП
компьютерным, телекоммуникационным оборудованием и ПО для
регионального уровня ИС "Центр обслуживания вызовов
экстренных оперативных служб по единому номеру "103"", а также
функциональные требования к ним (19.05.2012)
[www.egisz.rosminzdrav.ru]
20
Методические рекомендации по составу прикладных компонентов
регионального уровня информационной системы в сфере
здравоохранения для лечебно-профилактических учреждений,
находящихся в ведении ФМБА России (утверждены 04.10.2011 г., см.
www.gosbook.ru/node/45494)*
Требования к МИС, передаваемым в фонд алгоритмов и программ
Министерства здравоохранения и социального развития Российской
Федерации, применяемым в Государственной информационной
системе персонифицированного учета в здравоохранении Российской
Федерации" (проект, опубликован 25.11.2010 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по применению облачных технологий при
создании регионального уровня единой государственной
информационной системы в сфере здравоохранения, в рамках
реализации региональных программ модернизации здравоохранения в
2011-2012 годах (проект, опубликован 30.01.2012 г. на сайте
www.minzdravsoc.ru)
Методические рекомендации по составу и требованиям к медицинским
информационным системам лечебно-профилактического
учреждения (проект, АРМИТ, апрель 2012 г.), www.gosbook.ru/node/50419
21
Увеличение объема собираемой статистической информации
1992 год -- 12.9 тысяч графоклеток
2010 год -- 48.9 тысяч графоклеток -> рост в 4 раза !!!
Почти 48.6 % от общего объема отчетных форм (графоклеток)
содержат 4 формы:
ф. № 47 -- 14.1 % (рост в 2 раза количества графоклеток)
ф. № 14 -- 13.7 % (рост в 8.8 раза)
ф. № 12 -- 11.8 % (рост в 7.3 раза)
ф. № 30 -- 9.0 % (рост в 2 раза)
Учетные и отчетные формы перегружены невостребованной
информацией при отсутствии необходимых данных !!
Показатели Программы модернизации здравоохранения:
пятилетняя выживаемость лиц после инфаркта миокарда
увеличение средней продолжительности жизни больных с
хронической патологией
-> этих данных нет ни в учетной ни в отчетной документации !!?
[Какорина Е.П., Огрызко Е.В., ВИТ, 2012, № 2]
22