Средства обеспечения информационной безопасности медицинской организации

Размещено на http://www.Allbest.Ru/

Министерство здравоохранения Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Северо-Западный государственный медицинский университет им. И.И. Мечникова»

РЕФЕРАТ

на тему:

Средства обеспечения информационной безопасности медицинской организации

Санкт-Петербург - 2023



Содержание

Введение

1. Нормативные требования по защите информации в здравоохранении

2. Единая государственная информационная система в сфере здравоохранения

2.1 Понятие ЕГИСЗ

2.2 Способы реализации ЕГИСЗ

3. Электронная подпись

3.1 Понятие ЭП

3.2 Принципы работы с ЭП

4. Усиления защиты сведений в информационных системах медицинских организаций

4.1 Вероятные угрозы

4.2 Перечень технических мер защиты

Заключение

Библиографический список



Введение

Клиники, медицинские центры, другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны. Поэтому информационная безопасность в медицине переходит на новый уровень.

Медучреждения переходят на электронный документооборот, автоматизируется ведение электронного учета или медицинских карт пациентов. Нельзя сказать, что вопросом оптимизации регистратур или безопасности баз данных заинтересовались в системе здравоохранения только сейчас. Впервые хранить документацию, используя компьютер, предложил Николай Амосов (знаменитый советский хирург). С развитием информационных технологий ускорился и переход медучреждений на новый уровень обработки и хранения персональных данных.

Из-за особенностей медицинских данных кибербезопасность в здравоохранении стала уникальной проблемой. Создание единого подхода к защите информации усложняется тем, что в поликлиниках, больницах и лабораториях используется множество сетей и цифровых комплексов. Кроме того, учреждения имеют территориально распределенную сеть и неоднородную инфраструктуру.

На информационную безопасность здравоохранения также влияют недостаточные организационные меры защиты информации, отсутствие подтверждения соответствия требованиям ИБ и недостаток специалистов по защите информации в медучреждениях.

Между тем, на медицинскую инфраструктуру совершается все больше хакерских атак. Привлекательность медучреждений для киберпреступников объясняется содержанием в информационных системах различной конфиденциальной информации, включая личные данные пациентов, номера банковских карт, медицинские сведения. В 2021 году здравоохранение стало самой атакуемой сферой, доля медицинских учреждений в статистике жертв киберпреступников постоянно росла: с 8% в 1 квартале до 12% в конце года. По данным исследования Positive Technologies, киберпреступники чаще всего похищали персональные данные и медицинскую информацию (39% и 36% от общей доли похищенных данных).

Хакерские атаки представляют большой риск для безопасности здравоохранения. Потеря доступа к медицинским устройствам и записям может привести к невозможности предоставления медицинских услуг и оказания медицинской помощи, а изменение или кража личных данных пациентов - к серьезному ущербу для их здоровья. Поэтому любая медицинская организация должна предпринимать эффективные меры для защиты данных и предотвращения потенциальных утечек.

Важно не только построить комплексную систему информационной безопасности в соответствии с требованиями регуляторов, но обучить персонал навыкам ИТ-безопасности, контролировать использование данных, разработать регламенты реагирования на инциденты с четкими ролями и обязанностями и регулярно оценивать риски киберугроз.

Без информационной трансформации повысить эффективность оказания медицинских услуг невозможно. Как и любая отрасль, здравоохранение имеет свои особенности.

В сфере информационного обеспечения эти особенности проявляются в следующем:

Наличие четких требований к информационной безопасности баз данных. Это обусловлено тем, что обрабатываемая данные принадлежат к первому классу информационных систем. Сведения о состоянии здоровья - одна из самых личных категорий информации. В этот класс входят данные, разглашение которых может привести к чувствительным негативным результатам для лица и безопасность которых не была обеспечена должным образом.

Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым располагают указанные учреждения, несовременное и разнородное.

Необходимость обеспечения доступа к системам информации. Это позволит проконтролировать эксплуатацию систем диагностики, клинического оснащения, закупку и расход медикаментов, соблюдение протоколов лечения.

Обеспечение безопасности медицинских сведений регламентировано законодательно на федеральном уровне.



1. Нормативные требования по защите информации в здравоохранении

Прежде всего, медицинские учреждения обязаны охранять врачебную тайну. Ее определение впервые было дано в законе "Основы законодательства Российской Федерации об охране здоровья граждан" от 1993 года. В этом акте устанавливались гарантии конфиденциальности и наложен запрет на разглашение конфиденциальных данных о пациентах. В настоящее время действует закон 223-ФЗ "Об основах охраны здоровья граждан в Российской Федерации". В нем медучреждения обязали соблюдать законодательство о персональных данных при обработке врачебной тайны. При этом в профильном законе 152-ФЗ "О персональных данных" особо отмечается, что сведения о состоянии здоровья могут обрабатываться исключительно в определённых случаях. А сами медицинские данные отнесены к тем, оборот которых регламентируется наиболее жестко.

Требования по информационной безопасности к медицинским учреждениям можно разделить на три группы:

1) Законодательство о персональных данных.

Постановление Правительства №1119 регламентирует правила категорирования информационных систем, в которых обрабатываются данные о здоровье субъекта персональных данных. При этом медицинская информация относится к уровню не ниже 3. Приказ №21 ФСТЭК России определяет перечень технических и организационных мер защиты.

2) Медицинские и государственные информационные системы.

Приказ Министерства здравоохранения РФ №911н и Постановление Правительства РФ №1236 определяют специальные требования к медицинским информационным системам медицинской организации (МИС МО). Они, в частности, прямо запрещают использование иностранной продукции и размещения данных за рубежом. Если медучреждение взаимодействует с государственной информационной системой (ГИС), для защиты этого взаимодействия будут применяться меры согласно Приказа ФСТЭК России №17.

Эти же меры должны использоваться для интегрированных с МИС МО информационных систем (Постановление Правительства РФ №447 от 12.04.2018).

3) Критическая информационная инфраструктура (КИИ).

После введения в действия в 2017 г. Закона 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", если медицинская организация является субъектом критической информационной инфраструктуры, и одной из её информационных систем присвоена категория значимости объекта КИИ (ЗОКИИ) - необходимо выполнять дополнительные требования информационной безопасности, которые установлены приказом ФСТЭК России №239.

Система защиты информации медучреждения должна соответствовать требованиям по информационной безопасности, установленным ФСТЭК России. Используемые средства защиты информации (СЗИ) должны быть сертифицированы ФСТЭК России. Если же используются средства криптозащиты информации (СКЗИ), то необходима сертификация еще и от ФСБ. ПО или программно-аппаратные средства защиты должны находиться в реестре отечественного ПО Минкомсвязи.

Защита информации в российских медицинских учреждениях регулируется федеральным законодательством, указами Президента РФ, руководящими документами Гостехкомиссии, Мининформсвязи, ФСТЭК и ФСБ России, а также отраслевыми рекомендациями Министерства здравоохранения России. Основными документами являются:

Федеральный закон №152-ФЗ «О защите персональных данных».

Постановление Правительства №1119

Приказы ФСТЭК России №№17, 21, 239

Приказ Министерства здравоохранения РФ №911н

Постановление Правительства РФ № 447

Постановление Правительства РФ №1236

Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Указ Президента РФ №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».



2. Единая государственная информационная система в сфере здравоохранения

2.1 Понятие ЕГИСЗ

По уровню информатизации медицинские организации в России сегодня не уступают технологическим компаниям (а иногда и превосходят их). Больницы, лаборатории и другие медицинские учреждения оперативно передают друг другу истории болезней, результаты анализов, протоколы лечения и прочую информацию ограниченного доступа. При этом используются различные региональные или федеральные информационные системы, например Единая государственная информационная система в сфере здравоохранения.

Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ) - национальная информационная система, создаваемая для обеспечения эффективной информационной поддержки органов и организаций системы здравоохранения, а также граждан в рамках процессов управления медицинской помощью и ее непосредственного получения. Разработка системы регулируется Концепцией создания единой государственной информационной системы в сфере здравоохранения, утвержденной приказом Министерства здравоохранения и социального развития Российской Федерации от 28 апреля 2011 №364, а также рядом методических рекомендаций и функциональных требований к отдельным составляющим системы, являющихся приложениями к приказу.

Принципы построения информационной системы обусловлены спецификой финансирования лечебно-профилактических учреждений. Больницы, поликлиники и прочие медицинские организации, работающие в системе обязательного медицинского страхования, получают основное финансирование из бюджета ФФОМС, который, в свою очередь, наполняется из страховых взносов, отчисляемых работодателями. Для того чтобы иметь возможность оперативно контролировать деятельность и отчетность ЛПУ из центра с целью эффективного расходования средств ФОМС, ИТ-систему решено было централизовать.

Общая архитектура ЕГИСЗ состоит из сегмента централизованных общесистемных компонентов и сегмента прикладных компонентов.

К первым, согласно концепции, относятся подсистемы интеграции прикладных систем, ведения каталога пользователей системы, ведения реестра нормативно-справочной информации, словарей медицинских терминологий и регистра электронных документов, подсистема управления удостоверяющим центром, управления эксплуатацией, ведения электронной почты и т.д. Созданием и эксплуатацией компонентов занимается Минздрав.

Сегмент прикладных компонентов включает транзакционные (формирование первичной информации о деятельности медучреждений, автоматизация обмена информацией), управленческие (интегрированная электронная медицинская карта (ИЭМК), персонифицированный учет оказанных услуг) и справочные (информационная поддержка населения, медперсонала, студентов) подсистемы.

По уровням прикладные информационные системы подразделяются на федеральные (создаются Минздравом) и региональные. Субъекты, согласно концепции, должны создать и эксплуатировать региональные прикладные системы, интегрировать их с федеральными прикладными системами и централизованными сервисами. Лечебно-профилактические учреждения, в свою очередь, с помощью внедренных у себя медицинских информационных систем должны отчитываться о собственной деятельности перед органами управления здравоохранением.

Основным инфраструктурным элементом ЕГИСЗ, согласно концепции, должен стать федеральный центр обработки данных. Он будет базироваться на основе как минимум трех разных (удаленных друг от друга) площадок - основной ЦОД, ЦОД «горячего» резерва (без остановки системы) и ЦОД «холодного» резерва (с возможностью остановки системы). По словам директора ИТ-департамента Минздрава Романа Ивакина, министерство отказалось от идеи строить собственные дата-центры и решило арендовать мощности, выбрав их поставщика в ходе аукциона (в 2013 году запланировано потратить на эти цели около 1,9 млрд руб.).

В федеральном ЦОДе будут размещаться федеральные прикладные компоненты ЕГИСЗ, централизованные на федеральном уровне компоненты, обеспечивающие интеграцию региональных и учрежденческих прикладных систем в здравоохранении, а также интеграцию с инфраструктурой «Электронного правительства», и, наконец, централизованные общесистемные компоненты единого информационного пространства в здравоохранении.

Регионы могут воспользоваться инфраструктурой федерального ЦОДа и размещать на ней свои компоненты либо использовать собственные (самостоятельно арендованные) дата-центры. Конечные пользователи (сотрудники ЛПУ, региональные чиновники и т. д.) будут получать доступ к прикладным сервисам через «тонкие клиенты» по интернету (без локального хранения информации).

2.2 Способы реализации ЕГИСЗ

Обмен данными между медицинскими организациями частного здравоохранения и единой государственной системой (ЕГИСЗ) года является одним из насущных вопросов, волнующих медицинское сообщество. Постановление Правительства РФ №555 от 05.05.2018 устанавливает порядок по предоставлению данных в ЕГИСЗ. Требования начинают действовать для всех негосударственных медицинских организаций, в том числе частных клиник и медицинских центров, с 1 января 2019 года. Однако по факту обмен данными не осуществляется.

Постановление №555 предписывает передавать в ЕГИСЗ массу видов сведений. В первую очередь, среди них информация о самой медицинской организации и врачах, а также данные о случаях медицинского обслуживания, в том числе амбулаторные и стационарные эпикризы. По словам эксперта, далеко не все частные организации готовы предоставлять все необходимые данные.

Проблема в одинаковой степени затрагивает и мелкие, и крупные территориально распределенные медицинские организации. Но чем крупнее клиника, тем труднее выполнять требования. Это связано с необходимостью подключить каждую клинику, защитить сети, обучить персонал, в некоторых случаях адаптировать процессы.

Один из способов выполнить требования законодательства - использование разработчиками медицинских и лабораторных информационных систем интеграционной шины с открытым API. Такой подход позволяет частной медицинской организации выполнить требования Постановления №555 без существенных инвестиций в изменение ИТ-инфраструктуры.

В рамках регионального проекта «Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)» была создана вертикальная интегрированная медицинская информационная система (ВИМИС). Она призвана осуществлять взаимосвязь между региональным здравоохранением и национальными медицинскими исследовательскими центрами (НМИЦ).

В целом ВИМИС представляет собой платформенное решение, которое формулирует требования, обеспечивает информационное взаимодействие с подсистемой ЕГИСЗ, иными системами, межведомственное взаимодействие с Минцифры, с системами федеральных органов исполнительной власти. Если обобщить, то ВИМИС - это клиническая часть ЕГИСЗ, она агрегирует информацию и о пациенте, и о враче, подсказывает, где в маршруте больного произошел сбой, чтобы ему своевременно была оказана медицинская помощь.

Компоненты «Платформы ВИМИС» (на апрель 2023 г.):

ВИМИС Онкология

ВИМИС Сердечно-сосудистые заболевания

ВИМИС «Инфекционные заболевания»

ВИМИС «Профилактическая медицина»

ВИМИС «Акушерство и гинекология» и «Неонатология»

информационный защита медицинский электронный подпись



3. Электронная подпись

3.1 Понятие ЭП

Электронная цифровая подпись врача - это электронный аналог обыкновенной подписи медицинского сотрудника, который позволяет заверять рецепты, больничные листы, отчеты и другие документы в цифровом формате. Данный термин был введен еще в 2002 году, однако сегодня также используется и другое название - электронная подпись или просто “ЭП”.

Начиная с 1 февраля 2021 года почти каждый медицинский работник обязывается иметь личную цифровую подпись, то можно выделить несколько причин, которые раскрывают для чего она нужна, а именно:

Использование электронных документов избавляет врачей от необходимости вручную заполнять одни и те же данные в разные бланки.

В цифровом формате невозможно потерять или подделать какую-либо информацию. Медицинские карты, выписки, больничные и прочие документы не занимают места и их очень легко хранить.

Врачам не нужно следить за множеством нюансов при заполнении документов (расположение штампа, цвет чернил, нехватка места на бумаге), что ведет к облегчению и ускорению их работы.

Заверенные электронной подписью больничные в автоматическом режиме проверяются перед отправкой в ФСС. По этой причине медицинские учреждения не получат штрафов за неверное оформление бланков или их порчу.

3.2 Принципы работы с ЭП.

Непрерывное заполнение однотипных бумаг - это огромная проблема для современных врачей. Вместо лечения пациентов они вынуждены тратить огромное количество времени на бюрократию. Электронная цифровая подпись позволит значительно упростить работу с бумагами и подарит врачу больше времени на работу с пациентами.

Кому из медицинских сотрудников нужна ЭЦП?

Главному врачу. Подписание отчетов и договоров от лица всей медицинской организации.

Специалисту статотдела. Для заверения и передачи информации о выписке больничных в ФСС.

Фельдшеру. Заверение назначения рецептов и выдача больничных сроком не более чем на 10 дней.

Лечащему врачу. Заверение документов, продление электронных больничных листов, подписание карт, выписка рецептов и многое другое - для всего этого потребуется электронная подпись. Также нельзя не отметить, что личную ЭЦП можно использовать в разных медицинских учреждениях.

Работодателю. Однако, для него это необходимо только в том случае, если организация будет согласна обрабатывать цифровые больничные листы медицинских сотрудников и передавать данные в ФСС. Это связано с тем, что оформлять электронные бланки врачи смогут тогда, когда организация зарегистрирована в “Соцстрахе”.

Какие документы подписываются электронно?

Основной перечень документов, который подписывается усиленной электронной подписью:

Медицинская карта пациента

Медицинская карта стационарного больного

Индивидуальная карта беременной и родильницы

История развития новорожденного

История развития ребенка

История родов

Также к вышеперечисленным можно прибавить абсолютно все документы, по отношению к пациенту, которые содержат в себе данные и сведения о его состоянии здоровья.

Еще существует документы, которые оформляется с использованием электронной подписи любого вида. Они должны соответствовать одному из следующих условий:

Формируются в ходе оказания медицинской помощи без оформления медицинского документа

Предназначены для организации взаимодействия с другими информационными системами

Содержатся в журналах, формируемых за счет электронных медицинских документов

Порядок ведения их аналогов на бумаге не требует подписи или печати медицинского работника

Также нельзя не отметить, что те записи, которые были получены автоматически в результате применения изделий, допущенных к обращению, не требуют подписи работника.

Как происходит подписание электронных документов?

В постановлении Министерства здравоохранения были выделены следующие правила, которые необходимо соблюдать при подписании электронных документов, а именно:

При формировании документа несколькими работниками, каждый участник обязывается поставить свою цифровую подпись.

В том случае если медицинский документ на бумажном носителе требует подписи или заверения печатью руководителя организации, то электронный вариант документа также должен быть подписан начальством (или уполномоченным).

Если медицинская организация осуществляет документооборот в цифровом варианте, то она должна быть зарегистрирована в Федеральном реестре медицинских организаций Единой системы, а также ей необходимо указать данные об электронной подписи сотрудника.

Также нельзя не отметить, что цифровая подпись должна быть выполнена в CMS-формате, так как именно этот стандарт используется всеми российскими службами.

Каковы правила регистрации электронных документов в реестре?

Согласно постановлению Министерства здравоохранения, регистрация цифровых документов в федеральном реестре, должна проходить с соблюдением следующих правил:

Вся документация подлежит регистрации в РЭМД (реестре электронных медицинских документов) в течение одного рабочего дня с момента ее формирования.

В случае внесения изменений или исправлений в цифровой документ, создается и подписывается его новая версия, которая также подлежит регистрации в РЭМД.

Также важно сказать, что процесс регистрации осуществляется исключительно с помощью государственных информационных систем и никаких других.

Как выглядит электронный медицинский документ?

Для начала, важно отметить, что электронный медицинский документ должен содержать следующее:

Наименование медицинской организации, а также ее адрес в пределах места расположения.

Персональные данные гражданина, который является непосредственным получателем медицинской помощи или услуги, включая фамилию, имя, отчество, дату рождения, пол и местожительства.

Наименование должности лица (или нескольких лиц), сформировавшего (или сформировавших) электронный медицинский документ.

Сведения о цифровой подписи (отметка об электронной подписи).

Дату составления цифрового документа.

Текст цифрового документа.

Также в постановлении указано, что электронный документ должен содержать текст “Документ подписан электронной подписью”. Его необходимо расположить в верхней части отметки и выровнять горизонтально прямо по центру области. Также очень важно написать все слова с большой буквы.

Сведения о сертификате ключа проверки должны быть установлены в нижней части отметки и содержать такие элементы, как:

Номер сертификата

Данные владельца

Срок действия сертификата

Наименование медицинской организации

Все элементы, раскрывающие данные о сертификате располагаются на отдельных строках, исключительно друг под другом.

Элемент “Номер сертификата ключа проверки электронной подписи” должен содержать текст “Сертификат” и номер сертификата подписи.

Элемент “Владелец сертификата ключа проверки электронной подписи” должен содержать текст «Владелец», где указывается фамилия, имя, отчество, место нахождения и основной государственный регистрационный номер юридического лица (если владельцем сертификата выступает юридическое лицо).

Элемент “Срок действия сертификата ключа проверки электронной подписи” должен содержать текст “Действителен с”, после чего необходимо ввести дату начала действия сертификата и дополнить надписью “по” и ввести дату окончания действия.

Где можно приобрести ЭЦП?

Подводя итог, можно прийти к выводу, что формирование электронной подписи - это непростая процедура, которая требует много сил, терпения, а главное специальных знаний. Безусловно, можно самостоятельно изучить вопрос и все сделать вручную, однако эта процедура потребует чрезвычайно большого количества времени у неопытного пользователя. В таком случае, имеет смысл доверить подобную работу профессионалам, которыми являются сотрудники нашей компании. Мы предоставляем возможность получить квалифицированную электронную подпись, с полным соответствием всем необходимым стандартам, правилам и форматам.



4. Способы усиления защиты сведений в информационных системах медицинских организаций

Медицинские государственные структуры и коммерческие организации ежедневно имеют доступ к большому объему персональных данных, включая дату рождения, имя и фамилию пациентов и персонала, семейное положение. Вопрос информационной безопасности стоит особенно остро в текущих условиях, когда важно обеспечить хранение данных на территории РФ, а значит выбирать российские программные решения, независимые от зарубежных поставщиков.

Внедрение новых технологий в области здравоохранения повышает вероятность утечки и кражи информации. Как защитить данные, перспективы информационной безопасности и методы ее усиления будут рассмотрены далее.

Количество инструментов, позволяющих отслеживать данные о состоянии пациентов, резко увеличилось за последние несколько лет. Это стало возможным благодаря развитию облачных технологий, мобильных устройств и возможности хранения массивов данных онлайн.

Существенно повысили качество обслуживания пациентов и мобильные медицинские технологии. Пользователи получили возможность узнавать больше информации о своем организме, и, соответственно, лучше заботиться о здоровье. При этом затраты со стороны медицинских организаций сокращаются. Но в медучреждениях должны понимать, как и где хранится информация, генерируемая гаджетами.

Развитие перечисленных технологий стимулирует также обмен медицинскими данными для проведения клинических исследований. Пациенты могут дать согласие на отправку информации для последующих анализов, врачи - обмениваться данными, например, генетическими исследованиями. Но отрасли здравоохранении еще предстоит заслужить доверие пациентов.

Врачи констатируют необходимость интеграции медицинского оборудования в единую компьютеризированную сеть. Существует несколько запатентованных систем от разных поставщиков, но они не могут взаимодействовать друг с другом, а это создает сложности в уходе за пациентами. Если медицинские приборы не обмениваются измерениями, персонал медучреждения не может оценить состояние пациента комплексно, что создает значительные неудобства.

Интеграция и поддержка локальной сети дадут возможность скоординировать работу медицинских приборов и информационных систем, в особенности, при взаимодействии с электронной медицинской карточкой.

4.1 Вероятные угрозы

Если произойдет утечка медицинских данных, то клиника, как оператор, обязана возместить нанесенный пациенту ущерб и оплатить штраф от 60 тыс. руб. до 100 тыс. руб. согласно ст.13.11 КоАП РФ. Наказание за повторную утечку достигает 300 тыс. руб. Сотрудника ждет выговор или увольнение за разглашение персональной информации, а в серьезных случаях - запрет на занятие профессиональной деятельностью до 5 лет или лишение свободы на срок до 4 лет.

Уязвимость информационных систем в медучреждениях

Существует вероятность возникновения следующих нарушений информационной безопасности:

- получение неправомерного доступа к информации, другими словами, нарушение конфиденциальности;

- утрата сведений, вызванная разрушением носителя информации или стиранием данных;

- внесение изменений при прямом доступе к базе данных или через интерфейс системы;

- отказ функционала, связанный с получением доступа к информации;

- получение доступа к базе данных - полное или частичное;

- некорректное функционирование информационной системы вследствие несанкционированного изменения модулей.

Построение системы защиты может выполняться в несколько этапов:

- собираются сведения о существующих информационных системах персональных сведений;

- моделируются угрозы безопасности;

- разрабатываются технические задания;

- проектируется система защиты информации;

- разрабатывается организационно-распорядительная документация, которая регламентирует процессы обработки и защиты сведений;

- поставляются, устанавливаются и настраиваются средства защиты информации;

- проводится аттестация информационных систем сведений, согласно требованиям безопасности.

К объектам защиты медицинской информационной системы относят:

- сведения в базе данных;

- резервные и архивные копии сервера;

- целевые данные администратора и начальника;

- средства обеспечения функционирования медицинской информационной системы;

- обработка информации в медучреждении - сбор, хранение, передача;

- производительность файлового сервера.

С целью защиты данных пациента применяются несколько программных компонентов и механизмов. Для предотвращения несанкционированного доступа развертываются средства авторизации, внедряются системы обнаружения и предотвращения вторжений, а также утечек информации. Может устанавливаться антивирусное программное обеспечение. Существует успешная практика использования файерволов.

К криптографическим средствам защиты относят алгоритмы шифрования данных и внедрение электронной цифровой подписи. Системы аутентификации предполагают внедрение защиты с паролем, подпись сертификатами и открытие доступа по биометрическим данным.

Инструментальные средства анализа предполагают внедрение программного обеспечения для проведения мониторинга. К техническим относят комплексное внедрение технических средств защиты. Система бесперебойного питания предполагает установку, обслуживание источников бесперебойного питания, установку генераторов напряжения и резервирование нагрузки.

С целью предотвращения взлома и краж используются специальные средства, включая электронные ключи и смарт-карты. Эти технологии позволяют повысить уровень защиты информационной системы на этапе аутентификации.

4.2 Перечень технических мер защиты

Есть и другие способы обеспечения безопасности, которые не относятся к медицинской информационной системе напрямую. Такие меры предполагают выполнение персоналом некоторых регламентов по работе с системой:

- организация охраны помещения, работы с документацией, сотрудниками. Использование технических средств и информационно-аналитической деятельности с целью выявления угроз - внутренних и внешних;

- исключение проникновения на территорию и в здание злоумышленников;

- организация работы с сотрудниками в части доступа к информации;

- обеспечение правильной работы с документами и документированными сведениями;

- задействование технических средств по сбору, накоплению, обработке и хранению конфиденциальных данных;

- организация работы по анализу угроз конфиденциальных сведений - внутренних и внешних;

- организация работы по выполнению контроля над работой сотрудников с информацией.

Также внедряются и специализированные средства контроля доступа в помещение, такие как:

- исполнительные устройства, включая кабины, турникеты, шлагбаумы;

- кардридеры, считывающие информацию;

- панели для введения кода с помощью клавиатуры;

- концентраторы и контроллеры;

- средства идентификации, включая брелоки, карты и биометрию;

- индивидуальное программное обеспечение.

Специфика информационной защиты в медицинских учреждениях

Этапы создания системы защиты персональных данных:

Предпроектное обследование информационной системы персональных данных

Проектирование системы защиты персональных данных

Внедрение системы защиты

Аттестация и эксплуатация информационной системы персональных данных

К объектам защиты медицинской информационной системы относят:

- сведения в базе данных;

- резервные и архивные копии сервера;

- целевые данные администратора и начальника;

- средства обеспечения функционирования медицинской информационной системы;

- обработка информации в медучреждении - сбор, хранение, передача;

- производительность файлового сервера.

С целью защиты данных пациента применяются несколько программных компонентов и механизмов. Для предотвращения несанкционированного доступа развертываются средства авторизации, внедряются системы обнаружения и предотвращения вторжений, а также утечек информации. Может устанавливаться антивирусное программное обеспечение. Существует успешная практика использования файерволов.

К криптографическим средствам защиты относят алгоритмы шифрования данных и внедрение электронной цифровой подписи. Системы аутентификации предполагают внедрение защиты с паролем, подпись сертификатами и открытие доступа по биометрическим данным.

Инструментальные средства анализа предполагают внедрение программного обеспечения для проведения мониторинга. К техническим относят комплексное внедрение технических средств защиты. Система бесперебойного питания предполагает установку, обслуживание источников бесперебойного питания, установку генераторов напряжения и резервирование нагрузки.

С целью предотвращения взлома и краж используются специальные средства, включая электронные ключи и смарт-карты. Эти технологии позволяют повысить уровень защиты информационной системы на этапе аутентификации.



Заключение

Безопасность данных должны быть реализована на всех уровнях работы медицинской информационной системы:

- сведения о пациентах

- данные о персонале

- информация о медучреждении

- сведения о системе здравоохранения, как в государственных, так и в частных организациях

Привлекательность медицинских центров для киберпреступников объясняется тем, что их информационные системы содержат различную конфиденциальную информацию, включая личные данные пациентов, номера банковских карт (кредитных, дебетовых), медицинские сведения.

Если система безопасности функционирует правильно, можно говорить о выполнении в полной мере всех ее функций. Медицинские учреждения выступают операторами персональных данных, а это означает, что обеспечение безопасности входит в зону их ответственности. Процесс перехода от бумажных носителей к электронным показывает, что далеко не все организации могут уделять должное внимание информационной безопасности, так как требуется увеличение расходов. Денежные средства должны быть направлены на установку и обслуживание систем защиты информации, обучение персонала, наем квалифицированных специалистов.

Организация безопасной обработки и хранения медицинских данных пациентов всегда стоит перед главным врачом и входит в его зону ответственности. Для этого он обязан:

Выбрать единую медицинскую информационную систему. Обеспечить контроль уровня защиты персональных данных. Регулярно знакомить сотрудников клиник с положениями законодательства РФ о сохранении врачебной тайны. Проводить обучающие мероприятия для сотрудников по работе клиентами и их персональными данными.

Библиографический список

1. Федеральный закон №152-ФЗ «О защите персональных данных».

2. Постановление Правительства №1119

3. Приказы ФСТЭК России №№17, 21, 239

4. Приказ Министерства здравоохранения РФ №911н

5. Постановление Правительства РФ №447

6. Постановление Правительства РФ №1236

7. Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

8. Указ Президента РФ №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Размещено на Allbest.Ru

...