Пт 11 Авг 2017 | 13749
Так, в «Концепцией региональной информатизации», утвержденной распоряжением Председателя Правительства РФ Д.А. Медведевым №2769-р от 29.12.2014, предусмотрено, что субъекты РФ при внедрении информационно-коммуникационных технологий должны руководствоваться принципом «…обеспечения юридической значимости документов и сведений, представленных в электронной форме, что позволит отказаться от дублирующего ведения государственных и муниципальных информационных ресурсов в электронной форме и на бумажном носителе и сократить расходы на эту деятельность, увеличить оперативность доступа к информационным ресурсам, одновременно повысив достоверность и актуальность размещаемых в них сведений», раздел II, стр. 4.
Там же сказано, что должен быть обеспечен «…юридически значимый документооборот в электронной форме, в том числе при межведомственных и межуровневых взаимодействиях, с отказом от дублирования документооборота на бумажном носителе, что позволяет сократить издержки, снизить сроки подготовки, исполнения и доставки документов», раздел II, стр. 5.
Что касается медицинских организаций, то в них «…целесообразно обеспечить комплексную автоматизацию процессов управления медицинским учреждением и предоставления медицинских услуг … в том числе обеспечить медицинский персонал сертификатами ключей проверки электронных подписей, необходимыми для ведения медицинской документации в электронной форме», раздел II, стр. 9.
Приоритетный проект «Совершенствование процессов организации медицинской помощи на основе внедрения информационных технологий» («Электронное здравоохранение»), утвержденный Председателем Правительства РФ Д.А. Медведевым по результатам заседания президиума Совета при Президенте РФ по стратегическому развитию и приоритетным проектам, протокол №9 от 25.10.2016, также требует ведение электронного документооборота и применение электронных подписей.
Так, в этом проекте предусмотрено, что:
Прежде чем начать обсуждение деталей ЮЗДО, давайте напомним базовые понятия.
Согласно п. 11.1 ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
«Электронный документ – это документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах»
В п. 3.1 «ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения» (утв. Приказом Росстандарта от 17.10.2013 № 1185-ст) сказано, что «электронный документ - это документ, информация которого представлена в электронной форме».
Для электронного документа характерны:
До недавнего времени большая часть всех медицинских документов создавалась в бумажном виде: регистраторы оформляли или распечатывали обложки медицинских карт, диагносты вели и вклеивали в них протоколы обследования, врачи вели или опять же распечатывали на бумагу свои осмотры, медсестры от руки вписывали данные в бумажные бланки листков нетрудоспособности, оформляли и распечатывали рецепты и т.д.
Постепенно в повсеместную практику работы медицинских работников вошли МИС и их главный компонент – ЭМК пациентов. Появилась возможность вносить данные в ЭМК и распечатывать готовые документы из нее. По сути для медработников это мало что меняет: история болезни в стационаре или амбулаторная карта поликлиники по-прежнему повсеместно остаются бумажными. Просто записи в них теперь делаются не руками на листочках, а ведутся в МИС и распечатываются. Да, такие истории болезни удобнее читать, в них отсутствует проблема неразборчивого почерка и, коме того, внесенные в МИС данные можно ретроспективно обрабатывать и использовать повторно. Но отказаться от бумаг совсем сейчас рискнут лишь отчаянные смельчаки. Во-первых, на сегодняшний день работа врача и медсестры с МИС требует больше времени и усилий, чем привычное и все еще более быстрое заполнение бланков авторучкой. Во-вторых, нет пока полной уверенности в том, что ЭМК защитит медицинское учреждение от претензий в случае проверок и судебных споров и поэтому многие руководители МО перестраховываются и по-прежнему требуют распечатывать все электронные медицинские записи. И есть еще ряд причин и предпосылок, которые все вместе взятые создают ситуацию, которую в одной из своих публикаций Наталья Храмцовская назвала «смешанным документооборотом».
Идея юридически-значимого электронного документооборота состоит в том, чтобы избавится от этой проблемы и перевести всю медицинскую документацию или хотя бы ее значимую часть в исключительно электронный вид.
Юридическая база под это заложена в принятым недавно федеральном законе от 29.07.2017 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья», http://www.kmis.ru/site.nsf/apages/fz323_07.htm. Надеемся, эти изменения послужат реальным толчком к активному развитию и внедрению электронного документооборота.
По сути, внедрение юридически-значимого электронного документооборота — это следующий шаг в развитии и внедрении электронной медицинской карты, который означает не просто замену бумажного документа на его аналог в базе данных МИС, а с особый способ организации работы медицинских работников без использования бумажных носителей: регистрацию и ввод документов, поиск документов, совместный одновременный доступ к документам, автоматическое создание отчетов, контроль исполнения, доступ к архивам и т.д.
Для того, чтобы обеспечить юридическую значимость ведения электронной медицинской карты (т.е. информации) и работы с ней, такая информация должна быть обеспечена соответствующей защитой. Для этого, помимо разработки соответствующих внутренних нормативных документов и организационных мер, применяются две технологии:
При создании и проверке электронных подписей используется пары ключей и электронные «сертификаты ключа». Пара ключей формируется для использования в алгоритмах специальной «асимметричной» криптографии, и особенность их заключается в том, что то, что зашифровано одним из ключей, может расшифровать второй ключ пары – и только он. Один из ключей пары (т.н. закрытый ключ) используется для создания подписи, а второй, открытый, для проверки её действительности.
Закрытый ключ используется для подписания документов и должен находиться под полным и исключительным контролем своего владельца. Такой ключ должен быть надежно защищен от копирования или подделки. Как правило, его хранят на специальном, предпочтительно - защищённом носителе – флеш-накопителе или «токене». Достаточно пользователю проявить малейшую небрежность, например, передать флешку с закрытым ключом в чужие руки или заразить свой компьютер вирусом, и это сразу же создает высокие риски дискредитации электронной подписи данного пользователя и появления подложных документов, от которых крайне трудно отказаться. К сожалению, таких случаев на практике очень много.
Открытый ключ используется для проверки корректности подписи и должен быть доступен всем, кто будет работать с подписанным документом. То, что открытый ключ принадлежит определенному лицу, удостоверяет сертификат открытого ключа, выдаваемый специально авторизованным удостоверяющим центром. Электронный сертификат аналогичен бумажной доверенности при подписании традиционных документов лицом, не имеющим права действовать без доверенности.
Для того, чтобы подписать электронный медицинский документ, используется специальное ПО, которое на основе содержания документа с помощью специальной стандартной хеш-функции создает уникальную символьную последовательность – хеш. Это, по сути дела, контрольная сумма фиксированной длины, которая обладает важным особым свойством – она уникальна для каждого документа, который отличается от других пусть даже на один символ. Зашифрованный с помощью закрытого ключа хеш, по сути, и есть электронная подпись, которая всегда уникальна для данного пользователя и данного документа.
УКЭП содержит информацию о дате подписания документа, подписанте, зашифрованный хеш подписанного документа и ссылку (или сам файл) открытого ключа. Подпись может быть добавлена (интегрирована) в подписываемый электронный документ (файл) или сохранена в виде отдельного файла.
Проверка подписи заключается в том, что пользователь документа, опять же с помощью стандартной хеш-функции, вычисляет его хеш. Затем он извлекает зашифрованный хеш из УКЭП и расшифровывает его с помощью открытого ключа, взятого из соответствующего сертификата ключа подписи. Если оба хеша совпадают, то можно сделать вывод о том, что документ не изменился с момента подписания, и что подпись была сформирована лицом, обладавшим закрытым ключом, парным открытому ключу в сертификате.
УКЭП получают только в специальном аккредитованном удостоверяющем центре (УЦ), а программное обеспечение, необходимое для работы с ней, сертифицирует ФСБ.
УКЭП - это действительно удобный инструмент для оперативной работы, поскольку он имеют твердую правовую базу, применим почти во всех правоотношениях, и при наличии правильной проверяемой УКЭП каких-то иных требований к оформлению документа (ну, кроме обычных обязательных реквизитов), сбору дополнительных метаданных, хранению уже не выдвигается. Другие виды подписей (простая ЭП, неквалифицированная ЭП) не имеют презумпции подлинности, могут применяться по договоренности сторон, и требуют разработки и утверждения целого ряда нормативных документов, определяющих порядок проверки подписей и урегулирования конфликтов, а также о сборе и сохранении дополнительных доказательств.
Основная сложность использования УКЭП заключается в том, что со временем криптоалгоритмы могут устареть и быть взломаны, а удостоверяющие центры, предоставляющие доступ и подтверждающие действительность сертификатов, могут не сохранить необходимую документацию. Со временем возникают риски подделки документов и проблемы проверки действительности подписей.
Такие образом, УКЭП хороши для оперативного использования, но создают проблемы в случае длительного хранения документов без ущерба для их юридической значимости и доказательной силы, в том числе с учетом того, что срок хранения документов может превышать срок службы той информационной системы, в которой они были созданы или получены. Это не очень серьёзный вопрос для налоговиков и банкиров, где типичные сроки хранения 4-5 лет, но он является очень болезненным в здравоохранении, где сроки хранения достигают 15-25 лет и даже более.
Кроме этого, есть еще несколько проблем, которые в ряде ситуаций создают серьезные сложности при внедрении ЮЗДО:
Для того, чтобы медицинская организация могла внедрить у себя юридически-значимый электронный документооборот, необходимо выполнять ряд организационных мероприятий.
Во-первых, применяемая МИС должна обеспечивать поддержку усиленной квалифицированной электронной подписи. Для того, чтобы МО не оказалось заложником в этом вопросе со стороны разработчика МИС, система должна поддерживать один из общепринятых и доверенных криптопровайдеров – например, «КриптоПро» (https://www.cryptopro.ru/products/csp) или VipNet (https://infotecs.ru/product/). Следует всячески избегать самопальных или редко-используемых решений, чтобы не оказаться потом в ситуации, когда подписанные УКЭП документы вдруг утратят свою юридическую силу из-за закрытия соответствующей компании-разработчика.
Во-вторых, медицинская организация должна быть подключена к надежному и официально аккредитованному Минздравом удостоверяющему центру. Теоретически, МО может конечно развернуть свой собственный удостоверяющий центр и создать необходимую инфраструктуру выпуска и проверки электронных подписей – но тогда такая подпись перестает быть усиленной квалифицированной. По этому вопросу мы рекомендуем придерживаться положений «Концепции региональной информатизации», которая предусматривает следующее: «Органами государственной власти субъектов РФ могут создаваться ведомственные удостоверяющие центры или использоваться услуги коммерческих удостоверяющих центров с учетом необходимости сокращения бюджетных расходов на получение и обслуживание сертификатов ключей проверки электронных подписей. Вновь создаваемые удостоверяющие центры … целесообразно создавать с учетом требований к оказанию удостоверяющими центрами типовых услуг, утверждаемых Минкомсвязью. Заказчикам услуг удостоверяющих центров не рекомендуется устанавливать к ним требования, влекущие за собой сегментацию единого пространства доверия электронных подписей, в том числе ограничивающие применимость создаваемых и выдаваемых ими сертификатов ключей проверки электронной подписи в государственных и муниципальных информационных системах», раздел 4, стр.30.
Иными словами, региональный орган управления здравоохранением (Минздрав) должен создать собственный ведомственный аккредитованный удостоверяющий центр или закупить услуги уже развернутого коммерческого УД. Только привлечение профессионалов и соответствующих решений и методик позволит обеспечить ту самую доверенную среду и условия для ведения ЮЗДО.
В идеале, конечно, вопрос ведения ЮЗДО должен быть детально рассмотрен и отрегулирован на федеральном уровне, путем издания соответствующего нормативно-правового акта или хотя бы каких-то конкретных «методических рекомендаций», которые бы давали ответы на многочисленные сложные вопросы при развертывании и внедрении ЮЗДО. Такой подход со стороны регулятора позволил бы заметно упростить и ускорить внедрение ЮЗДО в здравоохранении.