Информационная безопасность МИС: как не допустить утечки данных пациентов

Илья Анфиногенов
директор Archimed+

... 21.02.2020 10:00:00

Информационная безопасность работы медицинской информационной системы достигается с помощью комплексного применения организационных мер, программных и технических средств защиты.

Существуют три направления информационной безопасности:

1. Поддержание конфиденциальности информации.
2. Сохранение целостности данных.
3. Обеспечение доступности.

Весь процесс поддержания ИБ строится на обеспечении равновесия между тремя перечисленными векторами.

Специфика медицинской информации

Особенности работы с информацией медицинского плана определяют объем работ по части обеспечения информационной безопасности.

1. Медицинская информация находится в полном распоряжении пациента.
2. Медицинские документы нуждаются в оперативной обработке.
3. Фрагментация медицинской информации на персональные данные, информация о состоянии здоровья пациента, информация о ходе лечения и статистические данные.
4. Разные фрагменты медицинской информации обрабатываются разными людьми (регистратором, врачом, медицинской сестрой, лаборантом и т.п.).
5. Работа с такой информацией влечет возникновение угроз несанкционированного получения доступа к данным, утраты информации и искажения информации.
6. Нет юридически закрепленного регламента общения медицинских работников, пациентов и родственников / доверенных лиц.

Вероятные нарушения информационной безопасности МИС

Итак, мы понимаем, какие есть пути вероятных нарушений ИБ:

• утечка данных (нарушение конфиденциальности);
• полное или частичное получение доступа к базе данных;
• получение злоумышленниками доступа к информации);
• утрата данных (физическое разрушение носителей информации и / или стирание информации при непосредственном доступе к данным или через интерфейс системы);
• несанкционированная внесение изменений в данные (через интерфейс системы или при прямом доступе к БД);
• отказ функционала МИС (из-за повреждения целостности системы);
• некорректное функционирование МИС (как результат несанкционированного изменения ее модулей.

Меры обеспечения информационной безопасности МИС

Объекты защиты МИС

Инфраструктура любой медицинской информационной системы включает в себя критически важные объекты:

• вычислительная мощность файлового сервера;
• информация в базе данных СУБД;
• резервные копии из базы данных СУБД + архивные копии файлового сервера;
• целевые данные ОС, СУБД, АРМ администратора МИС и начальника ИБ;
• сбор, обработка, хранение и передача информации в медицинской информации;
• программные и аппаратные средства обеспечения функционирования МИС.

Программные меры защиты данных пациентов

Используются программные компоненты и механизмы, включающие в себя ряд мер.

Защита от несанкционированного доступа

1. Развертывание средств авторизации.
2. Использование систем мониторинга сетей:
3. Применение систем обнаружения и предотвращения вторжений (IDS/IPS).
4. Внедрение систем предотвращения утечек конфиденциальной информации (DLP).
5. Установка антивирусного ПО и развертывание межсетевых экранов (файерволов).

Криптографические средства защиты

1. Использование алгоритмов шифрования данных.
2. Внедрение ЭЦП.

Системы аутентификации

1. Внедрение парольной защиты.
2. Подписывание сертификатами.
3. Доступ по биометрическим данным.

Инструментальные средства анализа систем защиты

Включают в себя внедрение ПО для мониторинга.

Технические меры защиты данных пациентов

Здесь подразумевается комплексное внедрение технических средств защиты.

Системы бесперебойного питания:

1. Установка и обслуживание источников бесперебойного питания.
2. Резервирование нагрузки.
3. Установка генераторов напряжения.

Средства предотвращения взлома корпусов и краж оборудования

Используются в качестве дополнения к системе парольной защиты и включают в себя электронные ключи или смарт-карты. Это позволяет повысить уровень защищенности информационной системы на этапе аутентификации.

Средства контроля доступа в помещения

1. Исполнительные устройства: турникеты, кабины, э/м замки, шлагбаумы и т.п.
2. Средства идентификации: карты, брелоки, биометрия и т.п.
3. Считыватели (кардридеры).
4. Панели для ввода кода с клавиатуры.
5. Устройства биометрической аутентификации;
6. Контроллеры и концентраторы.
7. Индивидуальное ПО.

Организационные меры защиты данных пациентов

Такие меры реализуются за счет выполнения персоналом МИС ряда регламентов по работе с системой. Сюда входят:

Организация охраны зданий, режима труда, работы с кадрами и документацией.
Применение технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз.

Организационные мероприятия включают в себя:

1. Исключение злоумышленного проникновения на территорию и в помещения посторонних лиц.
2. Организация работы с сотрудниками в плане доступа к информации.
3. Организация работы с документами и документированной информацией.
4. Организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
5. Организация работ по анализу внутренних и внешних угроз конфиденциальной информации.
6. Организация работы по проведению контроля за работой персонала с конфиденциальной информацией.

Подведем итоги

Информационная безопасность осуществляется на всех уровнях работы МИС:

• данные о пациентах;
• данные о медицинском персонале;
• данные о медицинском учреждении;
• данные о системе здравоохранения в частных и государственных учреждениях.

Когда система ИБ построена и нормально функционирует, можно говорить о том, что медицинская информационная система в полной мере выполняет все свои функции.