text

Защита персональных данных медицинских информационных систем в облаке

  • 16 февраля 2018
  • 642
Технический писатель группы компаний "ИТ-ГРАД"

Современные частные клиники и медицинские компании (в том числе исследовательские лаборатории) охотно идут по пути автоматизации и внедрения информационных систем, выбирая при этом облачные решения. При этом особое внимание необходимо уделять информационной защите персональных данных пациентов. Разбираемся, какой должна быть эта защита и какие требования необходимо соблюдать.

Защита персональных данных и хостинг медицинских информационных систем в облаке

Современные частные клиники и медицинские компании (в том числе исследовательские лаборатории) охотно идут по пути автоматизации и внедрения информационных систем. Многие медцентры предлагают бесплатную услугу «личный кабинет». По сути, он выступает аналогом медицинской карты, доступ к которой возможен в любое время с домашнего компьютера и мобильного телефона. Такая электронная карта хранит детализацию посещений пациента, фамилии лечащих врачей, историю заболевания, схемы лечения, результаты обследований и прочую информацию. Исследовательские лаборатории тоже предлагают возможность онлайн-доступа к результатам исследований, включая опцию хранения и анализа данных, предоставления заключения врачей по результатам и прочим показателям.


В обоих случаях мы имеем дело с персональными данными (ПДн), информационная защита которых должна обеспечиваться в соответствии с установленными требованиями законодательства. Причем доступность сервиса имеет не менее важное значение, ведь от этого зависит, сможет ли человек записаться к врачу или получить необходимую информацию. При правильном подходе к организации процесса и применении современных технологий можно избавиться от перечисленных проблем. И в этом вопросе сегодня помогают облачные технологии.

Медицинская информационная система в облаке

Облачные технологии в силу быстрого развития за последние годы становятся настолько общеиспользуемыми, что их можно сопоставить с потреблением газа, воды или отопления, без чего трудно представить жизнь современного человека. При этом облака укрепились и в жизни компаний. Поэтому трудно не согласиться с утверждением Gartner о том, что в скором времени корпоративная политика «никаких облаков» станет такой же редкостью, как сегодняшнее заявление «никакого интернета». Это вполне объяснимо, поскольку мир находится на пике волны глобального облакопотребления и этот процесс трудно остановить. Несмотря на то что некоторые категории бизнеса, в том числе медицинского, все еще не являются стопроцентными потребителями облака, тенденция к освоению и постепенной адаптации все же наблюдается.


Топ-5 важных статей для директора клиники



Как облако может помочь медицинским организациям, гарантируя информационную защиту персональных данных пациента?
Для ответа на этот вопрос достаточно вспомнить, что сервис, предоставляемый медицинскими учреждениями, как мы отмечали выше, должен быть доступен в любой момент. Это достигается путем использования облачных технологий.

Размещение веб-сайта компании или любой медицинской информационной системы на стороне облачного провайдера обеспечивает информационную защиту персональных данных и гарантирует бесперебойную работу сервиса с возможностью масштабирования. Для этого достаточно обратиться к надежному поставщику услуг, попробовать бесплатное тестирование и впоследствии разместить ресурс на проверенной площадке. Но не стоит совершать поспешных действий, поскольку до перевода сайта или системы в облако следует проанализировать все возможные варианты.

Принцип работы "личного кабинета" пациента поликлиники

А теперь, когда стало понятно, для чего необходимо облако, предлагаем рассмотреть, как устроен «личный кабинет» пациента частной поликлиники. Медицинская информационная система, выполняющая роль личного кабинета, развернутая в облаке, вряд ли чем-то отличается от любого другого сервиса, доступного через веб-интерфейс. При этом облако обеспечивает непрерывную работу сервиса. Это означает, что пациент, где бы он ни находился, в любой момент сможет обратиться к своей электронной карте и получить всю необходимую информацию.

Чтобы воспользоваться сервисом, пользователю не нужно устанавливать какое-либо дополнительное ПО. Достаточно запустить браузер, перейти на сайт клиники, ввести логин, пароль и получить доступ к персональной информации в личном кабинете пациента поликлиники. Для доступа можно воспользоваться любым устройством, начиная от ноутбука, смартфона, планшета, заканчивая стационарным компьютером.

Защита персональных данных медицинских информационных систем в облаке

Пример ИС, развернутой в облаке провайдера. Иллюстрация предоставлена автором.

Обратившись к ресурсу, пользователь формирует запрос, который впоследствии перенаправляется на веб-сервер, расположенный в облаке провайдера. Как видно на схеме, облачная инфраструктура может состоять из набора виртуальных машин, каждая из которых отвечает за выполнение определеных задач. Сервер баз данных, к примеру, хранит информацию пацентов и содержит огромное количество записей по каждому пользователю, а сервер логов хранит журналы, связанные с выполняемыми операциями.

Сколько времени занимает внедрение медицинской информационной системы в облаке

Вариант 1

Время, затрачиваемое на внедрение продукта в облаке, напрямую зависит от сложности реализуемого проекта. Если речь идет о небольшой медицинской информационной системе, способной разместиться на небольшом сервере, и компания располагает собственными вычислительными ресурсами, вариант локальной инсталляции может оказаться оптимальным. Но если сервис критичен к нагрузке и требует доступности 24x7, важно понимать, сможет ли клиника обеспечить это требование собственными силами. В большинстве случаев, даже несмотря на простоту развертывания решения, компании охотнее устанавливают такие приложения в облачной инфраструктуре провайдера, поскольку поставщик гарантирует доступность сервиса, действует в рамках установленного SLA и несет перед клиентом ответственность.

Вариант 2

Если же внедрение продукта не обходится одним сервером, а требует развертывания целого набора сервисов и, как следствие, приводит к значительному расширению или наращиванию имеющейся инфраструктуры, стоит обратить внимание в сторону облака.

Почему облако оказывается наиболее выгодным вариантом?

Рассмотрим пример, в котором клиника решила развернуть медицинскую информационную систему, для реализации которой необходимо:

Наименование ресурса

Количество

Веб-сервер (Intel Xeon 2.6 GHz, 4C, RAM 24 GB, HDD 2TB SAS)           

2

Сервер БД (Intel Xeon 2.6 GHz, 16C, RAM 48 GB, HDD 2TB SAS)

2

Сервер кэша и логов (Intel Xeon 2.6 GHz, 2C, RAM 16 GB, HDD 4TB SAS)

1

Сервер приложений (Intel Xeon 2.6 GHz, 16C, RAM 128 GB, HDD 2TB SAS)

2

Сервер интеграции (Intel Xeon 2.6 GHz, 16C, RAM 48 GB, HDD 2TB SAS)

1

Для развертывания рассматриваемых сервисов внутри компании, придется расширять имеющуюся инфраструктуру, а значит, покупать с нуля или докупать оборудование. В дальнейшем затраты на серверы, СХД, сетевое оборудование и соединительные кабели инсталляционные работы, включая затраты на настройку оборудования, установку и настройку инфраструктурного ПО, окажутся практически неизбежными. Не стоит забывать, что с расширением инфраструктуры компания также столкнётся с эксплуатационными затратами и затратами на персонал, занимающейся поддержкой ИТ-инфраструктуры.

ВАЖНО!
В случае с облаком о многих вопросах можно забыть, поскольку компания арендует выделенную виртуальную площадку, а капитальные затраты на приобретение оборудования и развертывание ИТ-инфраструктуры берет на себя поставщик. В среднем используя облако для медицинской информационной системы, клиника заплатит примерно в три раза меньше, чем при покупке оборудования и развертывания решения своими силами, причем сроки запуска проекта будут существенно меньше.

В случае покупки оборудования и построения/ расширения собственной инфраструктуры, компания тратит время на поиск поставщика, заказ оборудования и доставку. Доставка может занимать порядка двух-трех недель. Кроме того, требуется время на инсталляцию и настройку оборудования, инсталляцию сервисов и тестирование. На решение озвученных задач может уйти около трех-четырех месяцев.

Защита персональных данных медицинских информационных систем в облаке

Сравнение вариантов использования облака и On-Premise. Иллюстрация предоставлена автором.

Используя облачную площадку провайдера на подготовку инфраструктуры и инсталляцию сервиса уходит до двух недель. Помимо выигрыша в цене и коротких сроках запуска проекта, компания получает преимущества в виде надежности и безопасности.

Обработка персональных данных в облаке

Любая клиника вправе выбирать, где разместить сайт. Но так было до тех пор, пока в 2006 году не вступил в силу 152-й Федеральный закон «О персональных данных», который обязал юридических лиц привести свои информационные системы и процессы, связанные с обработкой персональных данных, в соответствие с требованиями Законодательства. Надо сказать, что далеко не все хостинг-провайдеры соблюдают это требование. К тому же вышедший летом 2014 года 242-й Федеральный закон обязывает локализовать хранение и обработку персональных данных граждан РФ на территории России. В связи с чем услуги зарубежных хостеров для сайтов перестали быть востребованными.

ФЗ-152 касается любой компании, в частности медицинских учреждений, обрабатывающих персональные данные, полученные от работников, пациентов и иных физических и юридических лиц. Более того, компания расценивается как оператор ПДн и в ее обязанности входит:

  • Разработка внутренней документации
  • Отправка уведомлений в Роскомнадзор
  • Обеспечение законности обработки персональных данных
  • Проведение аттестационных испытаний или оценка соответствия
  • Построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России
  • Систематическая актуализация системы защиты персональных данных

Выполнить озвученные требования под силу далеко не каждой организации. Во-первых, это непросто и затратно; во-вторых, необходимо получить документ, подтверждающий эффективность принятых мер информационной защиты персональных данных в медицинской клинике.  

Справиться с озвученной задачей помогает провайдер, готовый предложить услугу по размещению информационных систем персональных данных в медицине в защищенной облачной инфраструктуре, прошедшей сертификацию и удовлетворяющей требованиями ФЗ. В таком сценарии сайт компании или любая информационная система переносится в защищенное облако, а клиент освобождается от затрат на создание и владение защищенной ИТ-инфраструктурой, в том числе от юридической ответственности за выполнение требований ФЗ-152, ФЗ-242. В дополнение к услуге заказчик получает комплект организационно-распорядительных документов, необходимых для выполнения требований законодательства. Иными словами, все просто, легко, прозрачно, а главное — удобно для клиента.

Заключение

Несмотря на то что некоторые компании по-прежнему настороженно относятся к использованию облака, успешные кейсы, которые с каждым годом лишь увеличиваются, подтверждают, что использование облачных сервисов облегчает жизнь предприятиям и избавляет от целого ряда проблем, в том числе законодательных. К тому же в облаке можно разместить любую информационную систему: от самой простой до самой сложной, получив взамен высокую работоспособность решения с гарантированной надежностью, доступностью и безопасностью.

Мы в соцсетях
Зарегистрируйтесь на сайте и ПРОДОЛЖИТЕ ЧТЕНИЕ!

Это бесплатно и займёт 30 секунд.

Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Не забудьте ПОДТВЕРДИТЬ регистрацию на почте
ХОЧУ ПРОДОЛЖИТЬ ЧТЕНИЕ
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.