Илья Анфиногенов
директор Archimed+
...
21.02.2020 10:00:00
Информационная безопасность работы медицинской информационной системы достигается с помощью комплексного применения организационных мер, программных и технических средств защиты.
Существуют три направления информационной безопасности:
- Поддержание конфиденциальности информации.
-
Сохранение целостности данных.
-
Обеспечение доступности.
Весь процесс поддержания ИБ строится на обеспечении равновесия между тремя перечисленными векторами.
Специфика медицинской информации
Особенности работы с информацией медицинского плана определяют объем работ по части обеспечения информационной безопасности.
- Медицинская информация находится в полном распоряжении пациента.
-
Медицинские документы нуждаются в оперативной обработке.
-
Фрагментация медицинской информации на персональные данные, информация о состоянии здоровья пациента, информация о ходе лечения и статистические данные.
-
Разные фрагменты медицинской информации обрабатываются разными людьми (регистратором, врачом, медицинской сестрой, лаборантом и т.п.).
-
Работа с такой информацией влечет возникновение угроз несанкционированного получения доступа к данным, утраты информации и искажения информации.
-
Нет юридически закрепленного регламента общения медицинских работников, пациентов и родственников / доверенных лиц.
Вероятные нарушения информационной безопасности МИС
Итак, мы понимаем, какие есть пути вероятных нарушений ИБ:
- утечка данных (нарушение конфиденциальности);
-
полное или частичное получение доступа к базе данных;
-
получение злоумышленниками доступа к информации);
-
утрата данных (физическое разрушение носителей информации и / или стирание информации при непосредственном доступе к данным или через интерфейс системы);
-
несанкционированная внесение изменений в данные (через интерфейс системы или при прямом доступе к БД);
-
отказ функционала МИС (из-за повреждения целостности системы);
-
некорректное функционирование МИС (как результат несанкционированного изменения ее модулей.
Меры обеспечения информационной безопасности МИС
Объекты защиты МИС
Инфраструктура любой медицинской информационной системы включает в себя критически важные объекты:
- вычислительная мощность файлового сервера;
-
информация в базе данных СУБД;
-
резервные копии из базы данных СУБД + архивные копии файлового сервера;
-
целевые данные ОС, СУБД, АРМ администратора МИС и начальника ИБ;
-
сбор, обработка, хранение и передача информации в медицинской информации;
-
программные и аппаратные средства обеспечения функционирования МИС.
Программные меры защиты данных пациентов
Используются программные компоненты и механизмы, включающие в себя ряд мер.
Защита от несанкционированного доступа
- Развертывание средств авторизации.
-
Использование систем мониторинга сетей:
-
Применение систем обнаружения и предотвращения вторжений (IDS/IPS).
-
Внедрение систем предотвращения утечек конфиденциальной информации (DLP).
-
Установка антивирусного ПО и развертывание межсетевых экранов (файерволов).
Криптографические средства защиты
- Использование алгоритмов шифрования данных.
-
Внедрение ЭЦП.
Системы аутентификации
- Внедрение парольной защиты.
-
Подписывание сертификатами.
-
Доступ по биометрическим данным.
Инструментальные средства анализа систем защиты
Включают в себя внедрение ПО для мониторинга.
Технические меры защиты данных пациентов
Здесь подразумевается комплексное внедрение технических средств защиты.
Системы бесперебойного питания:
- Установка и обслуживание источников бесперебойного питания.
-
Резервирование нагрузки.
-
Установка генераторов напряжения.
Средства предотвращения взлома корпусов и краж оборудования
Используются в качестве дополнения к системе парольной защиты и включают в себя электронные ключи или смарт-карты. Это позволяет повысить уровень защищенности информационной системы на этапе аутентификации.
Средства контроля доступа в помещения
- Исполнительные устройства: турникеты, кабины, э/м замки, шлагбаумы и т.п.
-
Средства идентификации: карты, брелоки, биометрия и т.п.
-
Считыватели (кардридеры).
-
Панели для ввода кода с клавиатуры.
-
Устройства биометрической аутентификации;
-
Контроллеры и концентраторы.
-
Индивидуальное ПО.
Организационные меры защиты данных пациентов
Такие меры реализуются за счет выполнения персоналом МИС ряда регламентов по работе с системой. Сюда входят:
Организация охраны зданий, режима труда, работы с кадрами и документацией.
Применение технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.
Организационные мероприятия включают в себя:
- Исключение злоумышленного проникновения на территорию и в помещения посторонних лиц.
-
Организация работы с сотрудниками в плане доступа к информации.
-
Организация работы с документами и документированной информацией.
-
Организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
-
Организация работ по анализу внутренних и внешних угроз конфиденциальной информации.
-
Организация работы по проведению контроля за работой персонала с конфиденциальной информацией.
Подведем итоги
Информационная безопасность осуществляется на всех уровнях работы МИС:
- данные о пациентах;
-
данные о медицинском персонале;
-
данные о медицинском учреждении;
-
данные о системе здравоохранения в частных и государственных учреждениях.
Когда система ИБ построена и нормально функционирует, можно говорить о том, что медицинская информационная система в полной мере выполняет все свои функции.
Понравилась статья? Поделитесь с друзьями!