«В терминологи Минздрава мы – оператор иной информационной системы. В законодательстве указано, что одним из документов, который нужно предоставлять вместе с заявкой на включение в реестр операторов иных информационных систем будет аттестат соответствия информационной системе и классу защиты, обеспечивающему соблюдение 152 ФЗ федерального законодательства. Мы в ЕМП попытались реализовать весь комплекс мер по защите и получили этот аттестат. Сколько стоило его получение, не скажу. Но расскажу, как мы его получали и к чему мы теперь идем.
Мероприятия по соблюдению всего комплекса мер по обеспечению безопасности данных делятся три больших блока. Это организационные мероприятия компании. Далее идет комплекс мер по созданию непосредственно защищенном контура, и обеспечению защиты каналов связи при взаимодействии с контрагентми.
Для защиты каналов связимы применяем уже ставшую классической схему с использованием сетей VipNet. Такая же система применяется в рамках Системы межведомственного электронного взаимодействия. Организации, подключающиеся к нам должны использовать или програмные VipNet клиенты на каждом рабочем месте или VipNet координаторы.
Мы ставили перед собой задачу максимально упростить подключение к контуру наших контрагентов. С помощью нашего партнера, компании «Инфотекс Интернет Траст», нам удалось снизить стоимость подключения к контуру до 10 тыс. рублей в год.
С одной стороны, комплекс внедряемых мер для того, чтобы компания могла оказывать телемедицинские услуги, усложняет жизнь. И для самой медицинской организации, и для врачей, и для клиента. Кроме мер по защите 242ФЗ требует от нас, идентифицировать пользователя. Это нужно делать с помощью ЕСИА (Единая система идентификации и аутентификации). Но операционная система может быть подключена к ЕСИА, только если она входит в реестр, которого пока не существует. И серая зона перекрывает и ряд подзаконных актов, и сам федеральный закон о телемедицине. Оперировать в этой ситуации довольно сложно.
242-ФЗ требует, чтобы документы, вносимые врачом, подписывались с использование квалифицированной электронной подписью (ЭП). При использвании ЭП важный аспект – это удобство. Совместно с ИИТ мы пытаемся создать инфраструктуру использования ЭП «с человечеким лицом» на основе решения ID Point, которое сейчас полностью согласовано с регулятором. Решение позволяет использовать для электронной цифровой подписи мобильное приложение. ID Point уже используется «ИИТ» для регистрации юридических лиц, например, при открытии банковских счетов. Оно значительно упрощает процесс получения электронной подписи и ее использования. То есть вы ставите мобильное приложение, в нем создаете заявку на получение электронной подписи и через мобильное же приложение вы получаете ключи шифрования. Для использования подписи на устройстве вам не нужен дополнительный носитель ЭП, сертификат хранится непосредственно на мобильном устройстве, документ приходит, вы говорите – подписать, и подписываете его на мобильном устройстве. И так мы пытаемся соблюсти требования регулятора, при этом сделав получение и использование подписи быстрым и легким. Чего мы ждем сейчас больше всего – формы заявки для вхождения в реестр иных информационных систем.
