Введение
В настоящее время мы наблюдаем тенденцию развития систем поддержки принятия врачебных решений (СППВР) как отдельных цифровых сервисов, способных встраиваться и использоваться в любых медицинских информационных системах, платформах для пациентов и клиник и т.д.
Создание таких СППВР как сервисов обусловлено сразу несколькими основными причинами:
- Если аналитическая обработка медицинских данных, включая формирование рекомендаций врачу по тактике ведения пациента, его обследования и лечения, будет реализована отдельно от МИС – то такую МИС можно не регистрировать как медицинское изделие, т.к. риски потенциального причинения вреда здоровью будут возникать не в ходе применения этой системы, а в результате эксплуатации соответствующего сервиса СППВР.
- Создание экспертных систем – дело чрезвычайно затратное и поэтому рискованное с точки зрения инвестиций. А потребность в самых разнообразных функциональных возможностях достаточно широка – начиная от анализа результатов лабораторной и инструментальной диагностики и заканчивая подбором лекарственной терапии и удаленным мониторингом пациентов. В этой связи вряд ли разумно каждому разработчику МИС вкладываться в собственное создание всего перечня таких систем. Гораздо перспективнее создавать их как отдельные универсальные решения, которые могут использоваться любым разработчиком любой информационной системы.
В этой связи мы считаем, что развитие СППВР именно по пути вендор-независимых решений будет доминировать на рынке в ближайшие несколько лет.
Применение таких сервисов будет сопряжено с двумя особенностями:
- Разработчикам МИС необходимо будет интегрировать свои продукты с соответствующими СППВР
- Разработчикам СППВР необходимо учесть ряд специфичных законодательных требований, чтобы их продукты можно было применять на законных основаниях.
В этом материале мы проанализировали эти требования и описали их.
Условно мы раздели их на несколько групп:
- Требования к процессу подготовки данных в МИС перед их отправкой в СППВР.
- Требования к каналу связи между рабочим местом врача/сервером МИС и сервером СППВР.
- Требования к ЦОД, в котором развернута СППВР.
- Требования к самой СППВР.
При выработке требований мы исходили из следующих принципов взаимодействия МИС и СППВР:
- Под СППВР понимаем только внешний, независимый относительно МИС сервис, который не может считаться частью (функциональным модулем) МИС.
- СППВР не является часть федеральных сервисов ЕГИСЗ.
- МИС всегда является клиентом сервиса СППВР, т.е. МИС формирует некий запрос в СППВР и получает готовый ответ – экспертное решение.
- СППВР занимается только обработкой переданных из МИС данных и не является хранилищем этих данных. Соответственно, СППВР не может рассматриваться как резервная копия электронной медицинской карты и иных сведений из МИС.
- СППВР не обрабатывает и не хранит персональные данные. Она ничего не знает о фамилии, имени и отчестве пациента, а также не принимает и не хранит его идентификаторы (СНИЛС, номер полиса и т.д.)
- После передачи из МИС данных для их обработки в СППВР результаты обработки (любая производная информация) автоматически становятся нематериальным активом сервиса СППВР. Например, в случае необходимости можно удалить из СППВР всю информацию о преданных из МИС данных, включая сами данные, но при этом нельзя требовать у искусственного интеллекта сервиса «забыть» что он эти данные обрабатывал или скорректировать свое поведение без учета этих данных.
Обзор требований к работе СППВР, как к сервису
СППВР – это, как правило, частный (не государственный) сервис. Не являясь подсистемой (встроенным компонентом) ЕГИСЗ, государственных информационных систем в сфере здравоохранения или медицинских информационных систем, СППВР тем самым попадает под определение «Иные информационные системы», предусмотренное 242-ФЗ. Соответственно, основным нормативно-правовым актом, регламентирующим взаимодействие МИС и СППВР, является Постановление Правительства РФ от 12.04.2018 N 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями» (http://rulaws.ru/goverment/Postanovlenie-Pravitelstva-RF-ot-12.04.2018-N-447/).
Т.к. любая СППВР предназначена для информационного взаимодействия с МИС, она обязана подчиняться правилам, утвержденным данным постановлением, т.к. реализует функции, определенные в п. 4 правил:
е) предоставление сервисов доступа медицинских работников к информации по вопросам осуществления медицинской деятельности, в том числе к нормативным правовым актам и справочной информации в сфере охраны здоровья;
к) предоставление сервисов, позволяющих гражданам получать агрегированную информацию о состоянии здоровья, а также рекомендации по ведению здорового образа жизни;
о) предоставление сервисов и услуг, сопутствующих оказанию медицинской помощи.
Таким образом, СППВР явно относится к «Иным информационным системам». Соответственно, Постановление Правительства №447 предъявляет к ней следующие требования:
- Система должна предоставлять результаты своей работы (ответы, рекомендации и т.д.) на русском языке (п. 6б), в том числе обеспечивать доступ пользователей СППВР к содержащейся в ней информации на русском языке (п. 6м). Иными словами, и интерфейс системы, и результаты ее работы должны быть представлены русским языком.
- Обеспечивать защиту информации, полученной СППВР из МИС, в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в соответствии с частью 5 статьи 16 Федерального закона "Об информации, информационных технологиях и о защите информации" (п. 6г).
- Обеспечивать контроль за доступом к документам путем протоколирования и сохранения в составе контрольной информации сведений о предоставлении доступа к документам и о других операциях с документами и метаданными (п. 6д).
- Если СППВР осуществляет хранение медицинской документации, то она должна гарантировать соблюдение установленных нормативными правовыми актами Российской Федерации сроков хранения медицинской документации в форме электронных документов путем резервного копирования медицинской документации в форме электронных документов и метаданных, восстановления медицинской документации в форме электронных документов и метаданных из резервных копий, а также путем своевременного удаления документов с истекшим сроком хранения (п. 6е).
- Обеспечивать автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений, а также информации об участниках (поставщиках, пользователях) иных информационных систем, осуществивших указанные действия (п. 6ж).
- Обеспечивать возможность тестирование информационного взаимодействия для МИС (п. 6и). Это требование означает, что разработчик СППВР обязан организовать работу тестовой среды, функционально идентичной промышленному сервису. При этом для тестовой среды по умолчанию должны выполняться все требования что и для промышленной среды, т.к. явно не определены: уровень тестирования, критерии успешности прохождения тестов, происхождение и состав передаваемых для тестирования данных.
Если в СППВР обрабатываются персональные данные или сведения, составляющие врачебную тайну, то выдвигаются дополнительные требования. В этом случае СППВР должна:
- Предотвращать несанкционированный доступ к информации и (или) передачу ее лицам, не имеющим права на доступ к информации (п. 7а);
- Обеспечивать своевременное обнаружение фактов несанкционированного доступа к информации (п. 7б);
- Обеспечивать предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации (п. 7в);
- Обеспечивать недопущение воздействия на технические и программные средства обработки информации, в результате которых нарушается их функционирование (п. 7г);
- Обеспечено незамедлительное восстановление информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней (п. 7д);
- Обеспечивать применение сертифицированных по требованиям безопасности информации средств защиты информации (п. 7з);
- Обеспечивать постоянный контроль за обеспечением уровня защищенности информации (п. 7е);
- Обеспечивать защиту информации при ее передаче по информационно-телекоммуникационным сетям (п. 7.ж)
- Обеспечивать обязательность учета и регистрации действий и идентификации участников, связанных с обработкой персональных данных (п. 7к);
- Соответствовать требованиям по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования, утвержденным Министерством связи и массовых коммуникаций Российской Федерации, и требованиям к защите информации, содержащейся в информационных системах общего пользования, утвержденным Федеральной службой безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю (п. 7м).
- Обеспечивать соблюдение следующих организационных мер (п. 7л):
- формирование требований к защите информации, содержащейся в системе;
- разработка и внедрение системы (подсистемы) защиты информации;
В п.6и Постановления указаны требования к информационному взаимодействию СППВР с МИС, среди которых есть следующие:
- СППВР должна обеспечивать взаимодействие с МИС путем обмена информационными сообщениями в синхронном и асинхронном режимах посредством формирования, отправки, получения, обработки запросов и ответов, форматы которых определяются операторами информационных систем в сфере здравоохранения с использованием языка описания схем данных XML Schema Definition на основе справочников и классификаторов, содержащихся в федеральном реестре нормативно-справочной информации ЕГИСЗ (п. 6и).
- СППВР должна обеспечивать взаимодействие с МИС в соответствии с форматами, которые определяются операторами ЕГИСЗ, ГИС СЗ или МИС МО (п. 6и).
- СППВР должна обеспечивать настройку интерфейсов в целях информационного взаимодействия (п. 6и).
Можно сказать, что эти требования в совокупности закрепляют приоритет в определении порядка информационного взаимодействия (протокол обмена и формат передачи данных) на стороне МИС. Если некая МИС определила свой формат передачи данных в СППВР, то может потребоваться поддержка этого формата со стороны СППВР, вместо реализации поддержки формата СППВР в МИС.
Дополнительно необходимо учесть, что помимо Постановления №447, к СППВР предъявляются требования, предусмотренные и другими нормативно-правовыми актами, важнейшими из которых являются требования импортозамещения.
Реализация СППВР как сервиса может создавать ложную иллюзию о том, что раз раз непосредственная продажа ПО не осуществляется – то значит на такую систему и не накладываются ограничения на наличие такого сервиса в «Реестре отечественного ПО». Но это не так. Так как СППВР – это, как правило, коммерческий сервис, клиентами которого являются государственные МО, то государство закупает некоторую услугу у оператора сервиса СППВР. Согласно Постановлению Правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» установлен «запрет на допуск программ для электронных вычислительных машин и баз данных… происходящих из иностранных государств…, а также исключительных прав на такое программное обеспечение и прав использования такого программного обеспечения …, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». Согласно п. 2.1.а данного постановления СППВР относится к такому ПО, как облачный сервис. Т.к. этим же постановлением единственным признаком того, что ПО является российским, определяется его нахождение в реестре российского программного обеспечения, то отсюда делаем вывод, что СППВР должна быть в реестре российского ПО.
Нахождение в реестре является необходимым условием для существования ПО на российском рынке коммерческих облачных СППВР. Иными словами, СППВР которой нет в реестре просто не сможет продать свои услуги государственным МО из-за ограничений законодательства.
Еще одним нормативно-правовым актом, которую должна отвечать СППВР, предназначенная для применения в государственной и муниципальной системах здравоохранения, является Постановление Правительства Российской Федерации от 23.03.2017 г. № 325 «Об утверждении дополнительных требований к программам для электронных вычислительных машин и базам данных, сведения о которых включены в реестр российского программного обеспечения, и внесении изменений в Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных» (http://government.ru/docs/all/110847/). Постановление описывает дополнительные требования составу, функциональным характеристикам и среде функционирования офисного программного обеспечения. Согласно п.3 Постановления СППВР можно отнести к офисному ПО, если сервисы СВППР применяются в работе «программного обеспечения систем электронного документооборота», к которым однозначно можно отнести медицинские информационные системы, в особенности программные продукты для ведения электронных медицинских карт.
К примеру, если некий сотрудник МО напрямую работает в облачной СППВР (не использует какие-то другие МИС или ИС), сам вводит данные для анализа, сохранят результаты запросов в СППВР в виде электронных документов, имеет возможность передать их другому лицу или другой ИС (или предоставить к ним доступ), а другое лицо или ИС использовать полученные документы, то можно считать, что такая система обладает признаками системы электронного документооборота и должна соответствовать дополнительным требованиям Постановления № 335. В частности, в нем есть требования к среде функционирования: «… программное обеспечение должно работать под управлением следующих операционных систем для серверного оборудования - под управлением не менее 2 операционных систем, сведения о которых включены в единый реестр российского программного обеспечения».
В итоге, если некая коммерческая СППВР должна предоставлять услуги государственным МО, то она должна быть включена в реестр российского ПО. В свою очередь, СППВР, включённая в реестр российского ПО и обладающая признаками офисного ПО должна соответствовать требованиям Постановления № 325.
Требования к процессу подготовки данных
Мы считаем, что подавляющему большинству СППВР не нужно обрабатывать персональные данные, т.к. такие системы должны быть способны выполнять свои функции обладая только деперсонифицированной информацией, т.к., например, ИНН, СНИЛС или фамилия пациента не относятся к параметрам или факторам характеризующим или влияющим на здоровье пациента и, соответственно, их оценка не требуется для формирования экспертного решения. Т.к. п. 7л Постановления 447 требует минимизации состава обрабатываемых персональных данных, то можно говорить о том, что СППВР и не должна их использовать вообще.
На самом деле требование не использовать персональные данные в СППВР можно считать достаточно жестким опять же в силу особенностей СППВР. Законодательство РФ в области защиты персональных данных накладывает ряд обязательств на оператора персональных данных, которые в СППВР невозможно исполнить из-за технических особенностей. Например, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" в статье 21 обязывает оператора уничтожать, или блокировать обработку персональные данные в некоторых случаях. СППВР как правило использует в работе все полученные из МИС данные, но при этом хранит их уже в обработанном или в не явном виде. Если в СППВР используется искусственный интеллект на основе нейронных сетей, который работает в режиме постоянного обучения, то любая предоставленная ему информация становится неотъемлемой частью системы. Выборочно прекратить обработку или удалить какие-то определённые данные, включая персональные, в такой системе просто невозможно.
Требования к каналу связи
Согласно Постановления Правительства №447, при взаимодействии между СППВР и МИС необходимо использовать защищенный канал связи (защищенную сеть передачи данных, п. 6и).
Требования к ЦОД
Согласно Постановления Правительства №447, ЦОД, в котором размещена СППВР, должен соответствовать следующим требованиям:
- Располагаться на территории Российской Федерации (п. 6а).
- В нем должна быть обеспечена защита информации, содержащейся в СППВР, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией системы (п. 6в).
- Должно быть обеспечено бесперебойное ведение баз данных и защита содержащейся в СППВР информации от несанкционированного доступа. Суммарная длительность перерывов в работе не должна превышать 4 часов в месяц, за исключением перерывов, связанных с обстоятельствами непреодолимой силы (при необходимости проведения плановых технических работ, в ходе которых доступ пользователей к информации, размещенной в системе, будет невозможен, а также уведомление об этом должно быть размещено не менее чем за одни сутки до начала работ) (п. 6з).
Мы рекомендуем, чтобы ЦОД соответствовал общепринятым стандартам, регламентирующим построение ЦОД. Наиболее популярным является стандарт TIA-942 (текст на русском языке: https://www.ups-info.ru/etc/tia_russkii.pdf). Он описывает следующие аспекты построения ЦОД:
- Требования к месту расположения дата-центра и его структуре;
- Требования к кабельной инфраструктуре;
- Требования к инженерным системам;
- Требования к надежности;
Данный стандарт по совокупности характеристик определяет уровень надежности ЦОД (всего их 4: 1 - минимальный, 4 - высший), учитывающий и время бесперебойной работы. Все коммерческие ЦОД, как правило заявляют какому уровню надежности они соответствуют по стандарту TIA-942, подтверждая его добровольной сертификацией. Задачам сервиса СППРВ отвечают только ЦОД у которых уровень надежности 3 (Tier 3) или 4 (Tier 4) по стандарту TIA-942, т.к. только они гарантируют выполнение требования по длительности бесперебойной работы (п. 6з Постановления 447).
В РФ пока нет специального ГОСТ для ЦОД (в настоящее время он на стадии разработки) и в нормативной документации отсутствуют требования по соответствию каким-либо международным стандартам для ЦОД. Но, оператор сервиса СППВР размещая сервис в ЦОД, сертифицированном по уровню надежности 3 или 4 стандарта TIA-942, с одной стороны подтверждает клиентам сервиса, пусть и частично, соответствие требованиям по надежности Постановления, с другой минимизирует свои риски и издержки, связанные с аппаратными проблемами.
Постановление обязывает обеспечивать «защиту информации посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией системы». Понятно, что это включает в себя и физическую охрану, и организацию работы персонала, и своевременное выполнение регламентных работ по обслуживанию систем и многое другое, помимо непосредственной защиты с помощью программных средств. Хотя в требованиях и не указывается на необходимость ЦОД соответствовать каким-то специальным документам в данной области или проходить какие-то сертификации, оператор СППВР, размещающий сервис в ЦОД, а также его клиенты заинтересованы в том, чтобы было какое-то документальное подтверждение, что организационно-технические мероприятия по защите информации в ЦОД выполняются должны образом для соблюдения правил Постановления.
Подтверждением того, что в ЦОД должным образом организована защита информации может служить добровольная сертификация по следующим стандартам:
- ГОСТ Р ИСО/МЭК 20000-1-2013 «Информационная технология. Управление услугами. Требования к системе управления услугами» (идентичен международному ISO/IEC 20000-1:2011).
- ГОСТ Р ИСО 9001-2015 «Системы менеджмента качества. Требования» (идентичен международному ISO 9001:2015).
Наличие у ЦОД сертификатов на соответствие данным стандартам не подтверждает автоматически безопасность размещенной в нем информации, но как минимум гарантирует, что процессы управления ЦОД организованы так, чтобы максимально обеспечить потребности его клиентов, включая требования по безопасности информации.
Требования к МИС
Т.к. при работе с СППВР инициатором взаимодействия и источником входным данных является МИС, то именно на стороне МИС должны выполняться следующие операции по обработке данных перед передачей их в СППВР:
- Деперсонификация (обезличивание) данных. Т.к. СППРВ не использует персональные данные, то МИС, как оператор персональных данных не должна их обрабатывать (в данном случае передавать в СППВР) согласно ст. 5 Федерального закон от 27.07.2006 N 152-ФЗ "О персональных данных", а именно:
- Обработке подлежат только персональные данные, которые отвечают целям их обработки (ч. 4).
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.5).
- Приведение данных к установленному формату информационного обмена, включая контроль корректности и полноты передаваемых сведений.