По ГОСТ Р 50922-2006 система защиты информации - совокупность органов и (или) исполнителей, применяемой техники защиты информации, объектов защиты информации, организованная и функционирующая по правилам и нор-

мам, установленным соответствующими документами в области защиты информации.

Требования к обеспечению безопасности ПДн при их обработке в ИС определены в Положении об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденном Постановлением Правительства РФ от 17 ноября 2007 г. № 781. Согласно этому документу, информационная система ПДн — не только программное средство, работающее с ПДн, но и все компоненты ИС предприятия, в котором накапливаются и обрабатываются ПДн.

Безопасность ПДн при их обработке в ИС обеспечивается системой защиты ПДн, включающей:

•   организационные меры;

•   средства защиты информации (СЗИ), в том числе шифровальные (криптографические) средства;

•   средства предотвращения несанкционированного доступа;

•   средства предотвращения утечки информации по техническим каналам;

•   средства предотвращения программно-технических воздействий на технические средства обработки ПДн;

•   используемые в информационной системе информационные технологии.

Выпадение из этой системы любого звена недопустимо, так как ведет к ее уязвимости и разрушению. ИС, работающие с ПДн, необходимо размещать в специально оборудованных помещениях, исключающих возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц и обеспечивающих сохранность носителей ПДн и СЗИ. Сотрудников, доступ которых к ПДн необходим для выполнения служебных обязанностей, допускают к соответствующим ПДн на основании утвержденного списка. Используемые технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

В учреждениях для разработки и осуществления мероприятий обеспечения безопасности ПДн в ИС необходимо создавать структурное подразделение или назначать должностное лицо, ответственное за обеспечение безопасности ПДн — администратора информационной безопасности. Им должен быть специалист, разбирающийся как в вопросах безопасности, так и в информационных технологиях.

Информационная безопасность и защита ПДн медицинских учреждений -неотъемлемая часть создания или модернизации ИС, которая должна быть выделена в отдельный этап или контракт.

Информационные системы, в которых обрабатываются ПДн, классифицируют по обеспечению защиты от несанкционированного доступа на основе критериев в соответствии с Порядком проведения классификации ИС ПДн, Приказом Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. По структуре ИС различают:

•   автономные ИС, не подключенные к иным информационным системам, — комплексы технических и программных средств, предназначенные для обработки ПДн (АРМы);

•   локальные информационные системы — комплексы АРМов, объединенных в единую ИС средствами связи без использования технологии удаленного доступа;

•   распределенные ИС - комплексы АРМов и (или) локальных ИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа.

По Положению о методах и способах защиты информации в ИС ПДн (Приказ ФСТЭК от 5 февраля 2010 г. № 58) каждому классу систем ПДн соответствует набор требований их безопасности, в соответствии с которым выбирают СЗИ,

которые сертифицируют на 3 года. Списки сертифицированных СЗИ публикуют на официальных сайтах ФСТЭК и ФСБ. В АИС ЛПУ выделяют две разновидности подсистем обработки ПДн: подсистемы для обработки данных здоровья пациентов — класс К1. самый «защищаемый», и подсистемы для обработки ПДн сотрудников ЛПУ - класс КЗ.

В локальных и распределенных ИС в соответствии с тем же Приказом ФСТЭК системы (подсистемы) ПДн разных классов должны быть разделены межсетевым экраном. Для сокращения затрат на СЗИ рекомендуют:

•   по возможности обособлять сегменты АИС ПДн разных классов, чтобы не ставить межсетевые экраны (наиболее дорогостоящие элементы зашиты информации);

•   в случае использования рабочего места в разных подсистемах ПДн завести отдельные учетные записи для доступа к каждой из них, тогда межсетевой экран можно не ставить при использовании СЗИ, сертифицированных для К1;

•   при большом числе компьютеров в составе АИС установить серзер безопасности для управления всеми СЗИ с АРМа администратора.

По характеристикам безопасности ПДн, обрабатываемых в информационной системе. ИС подразделяются на:

•   типовые ИС, в которых необходимо обеспечение только конфиденциальности ПДн:

•   специальные ИС, в которых, кроме обеспечения конфиденциальности ПДн, необходимо обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения. блокирования и иных несанкционированных действий).

Класс ИС по обеспечению защиты информации от несанкционированного доступа присваивается самим оператором ПДн (медицинским учреждением), и он должен быть оформлен документально. Все МИС - специальные ИС, поскольку в них обрабатываются данные о здоровье пациентов.

Комплекс программно-технических средств и организационных решений для защиты информации от несанкционированного доступа можно сгруппировать в четыре подсистемы: управления доступом, регистрации и учета, криптографическую, обеспечения целостности. Определение лиц, которым разрешен доступ к данным. - составная часть политики обеспечения конфиденциальности и сохранности данных. Процессы распознавания и проверки подлинности пользователей. используемые для разрешения доступа к системным (информационным) ресурсам. — идентификация и аутентификация.

Идентификация (латин. identifico — отождествлять) в компьютерной безопасности — процесс сообщения субъектом своего имени или номера для получения определенных полномочий (прав доступа) на выполнение разрешенных ему действий в системах с ограниченным доступом.

Аутентификация (англ. authentication - удостоверение подлинности), или подтверждение подлинности. — процедура проверки соответствия субъекта тому, за кого он пытается себя выдать, с помощью некой уникальной информации.

Авторизация (англ. authorization - уполномочивание) — результат процесса проверки (через идентификацию или аутентификацию) некоторых обязательных параметров пользователя и при успешности предоставление ему определенных полномочий (прав доступа) на выполнение разрешенных ему действий в системах с ограниченным доступом.

Простейший способ идентификации в компьютерной системе — ввод идентификатора пользователя, часто называемого «логином» (англ. login — регистрационное имя пользователя), и пароля - некой конфиденциальной информации, знание которой обеспечивает владение определенным ресурсом. Получив введенный пользователем логик и пароль, компьютер сравнивает их со значением, которое

хранится в специальной базе данных, и при совпадении пропускает пользователя в систему.

Опознание пользователя на основе пароля - пример однофакторной идентификации. Современные методы идентификации основаны на двух- и даже трехфакторной идентификации. Например, двухфакторная аутентификация -пароль и персональный идентификатор. В качестве персонального идентификатора можно использовать аппаратный токен (англ. token - опознавательный знак) — USB-устройство с электронным чипом, обеспечивающим шифрование и формирование ЭЦП. смарт-карта (пластиковая карта с чипом для криптографических вычислений и встроенной защищенной памятью для хранения информации о пользователе), штрих-код. В медицине используют как аналог номера карты больного и др.

Более надежна аутентификация по биологическим параметрам, которые постоянны на протяжении жизни человека: по отпечатку пальца, ДНК. форме уха. геометрии лица, температуре кожи лица, отпечатку ладони, рисунку радужной оболочки глаза, аромату, голосу и др.

Средства шифрования данных при передаче по каналам связи - основные средства, обеспечивающие конфиденциальность информации, посылаемой по открытым каналам передачи данных, в том числе и по Интернету. Шифрование защищает информацию и при ее хранении, например в базах данных, находящихся в компьютере.

Для безопасной передачи данных по каналам Интернет используют защищенные виртуальные сети. Существует несколько вариантов создания таких сетей:

•   защищенные каналы - шифруют весь передаваемый и расшифровывают весь принимаемый трафик (используют для соединения географически разделенных сетей, принадлежащих одной организации, каждая из которых имеет свое собственное подключение к Интернету через провайдера):

•   частные каналы - трафик шифруют так же. как и защищенный канал, но соединение требует аутентификации отправителя трафика (часто используют для связи между организациями, которые не хотят предоставлять полный доступ к их сетям и требуют конфиденциальности трафика между ними):

•   промежуточные каналы — используют для промежуточной передачи зашифрованного трафика между двумя защищенными виртуальными сетями (пропускают определенные зашифрованные пакеты).

Аппаратные и программные средства шифрования данных при передаче по открытым каналам, применяемые в МИС, должны быть сертифицированы в соответствии с действующим законодательством. Пример развитой корпоративной системы защищенного обмена данными для обеспечения информационного взаимодействия десятков тысяч абонентов - обмен электронными данными между Федеральным фондом ОМС, Пенсионным фондом России, Фондом социального страхования. Росздравнадзором. ТФОМС, органами управления здравоохранением субъектов РФ. медицинскими учреждениями, аптеками, фармакологическими организациями (в соответствии с «Порядком организации системы информационной безопасности электронного документооборота в системе ОМС, включая программу дополнительного лекарственного обеспечения»).

Целостность и предотвращение уничтожения данных достигают четко определенными и контролируемыми организационными мерами. Ответственность за сохранность данных в компьютерах-рабочих станциях, в том числе в локальных информационных системах, несет конкретный пользователь. При этом он должен быть инструктирован о применении мер обеспечения сохранности локально накапливаемых и обрабатываемых данных, об ответственности в случае их потери вследствие своих неправомочных действий (нарушений правил эксплуатации средств вычислительной техники, неиспользования или неправильного исполь-

зования антивирусных программных продуктов и/или средств архивирования данных).

Администратор информационной безопасности или системный администратор отвечает за использование и работоспособность не только этих средств, но и за общую политику обеспечения сохранности всех данных. Сохранность данных на серверах информационных систем обеспечивают специальными программно-аппаратными средствами используемой системы управления базами данных либо средствами сетевых операционных систем, либо аппаратно-программными средствами сторонних производителей. Наиболее популярные среди них — RATD-массивы и устройства резервного копирования данных.

Для защиты целостности информации в информационных системах здравоохранения необходимо предусматривать средства защиты от вирусов для всех узлов локальной сети учреждения - серверов и рабочих станций пользователей. Антивирусные программы постоянно защищают программы и данные информационной системы в фоновом режиме, независимо от функционирования приложений, обеспечивая сканирование; онлайновый мониторинг: проверку целостности программ и файлов данных: обнаружение неизвестных вирусов и вирусов-невидимок: контроль подозрительного поведения узлов сети.

Итак, организация СЗИ требует значительных ресурсов. Необходимо искать пути их минимизации. Однако без создания и функционирования в ЛПУ системы комплексной защиты конфиденциальной информации обработка ПДн пациентов невозможна. Этим должны заниматься компетентные специалисты, имеющие соответствующую профессиональную подготовку и работающие в учреждении. Передача работ для защиты информации в ЛПУ на аутсорсинг возможна, но пока не разработана. Перспектива широкого использования технологий облачных вычислений делает целесообразным разработку унифицированного набора СЗИ.


 

 



 

 

 

Читайте также:

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Пред След

СТАНДАРТИЗАЦИЯ ПРОЦЕССОВ ОКАЗАНИЯ МЕДИЦИНСКОЙ ПОМОЩИ

СТАНДАРТИЗАЦИЯ ПРОЦЕССОВ ОКАЗАНИЯ МЕДИЦИНСКОЙ ПОМОЩИ

Один из основных путей повышения КМП - минимизация ошибок стандартизацией процессов оказания медицинской помощи. Анализ зарубежного опыта свидетельствует об эффективности использования стандартов медицинских услуг как нормативного обеспечения гарантий качества и...

Бамбуковые палочки

Японское online гадание на бамбуковых палочках Это предсказание описывает достаточно отдаленное будущее, и его ответы, возможно, будут более актуальны только спустя два, а то и три, месяца после...

СУСТАВНОЙ СИНДРОМ

▲ Характеристика артралгий. ▲ Диагностическое значение артралгий при различных заболеваниях. ▲ Дифференциально-диагностические признаки заболеваний, сопровождающихся артралгией. Термин «артралгия» происходит от двух греческих слов: arth-ros — сустав и algos — боль,...

РАСХОДЫ НАСЕЛЕНИЯ НА МЕДИЦИНСКУЮ ПОМОЩЬ (ЧАСТНЫЕ РАСХОДЫ)

РАСХОДЫ НАСЕЛЕНИЯ НА МЕДИЦИНСКУЮ ПОМОЩЬ (ЧАСТНЫЕ РАСХОДЫ)

Частные расходы на медицинскую помощь в РФ в 2011 г. составили 930,3 млрд руб. или 32% общих расходов на здравоохранение, в развитых странах ОЭСР — 28%. Эти расходы складываются из...

КРАТКИЙ ЛЕЧЕБНИК

Абсцессы (см. легкие, мозг). Авитаминоз, пеллагра (хроническая болезнь). Вызывается недостатком в организме витамина В2, выражается в виде поражений кожи (шелушения, дерматиты), нарушения работы желудочно-кишечного тракта (рвота, понос), психических расстройств, опухолей...

Информатизация в здравоохранении

ВВЕДЕНИЕ Информатизация — комплекс мероприятий для полного и своевременного обеспечения участников деятельности необходимой информацией, переработанной и при необходимости преобразованной. В здравоохранении информатизация необходима на этапах лечебно-диагностического процесса при сборе информации...

План-конспект профилактической противопаразитарной терапии травами и горечами

План-конспект профилактической противопаразитарной терапии травами и горечами

Примечание: представлен вариант для взрослого, относительно здорового человека, без хронических заболеваний печени и почек, не имеющего повышенной чувствительности к нижеперечисленным растительным препаратам. Вариант для ребенка требует индивидуальной корректировки! Вариант «бесприцельной»...

РАЗВИТИЕ НЕПРЕРЫВНОГО МЕДИЦИНСКОГО ОБРАЗОВАНИЯ

В Указе Президента РФ от 7 мая 2012 г. № 598 поставлена задача разработки современной программы повышения квалификации и оценки уровня знаний медицинских работников. В Федеральном законе «Об основах охраны...

Здоровые закуски и прохладительные напитки идеально подходит для жарких летних дней

Здоровые закуски и прохладительные напитки идеально подходит для жарких летних дней

Здоровые закуски и прохладительные напитки идеально подходит для жарких летних дней Чемпионат мира по футболу начался, а вместе с ним идеально  закуски и пиво. Если вы не хотите, чтобы в...

ЗАКОНОДАТЕЛЬНОЕ ОБЕСПЕЧЕНИЕ СФЕРЫ ОХРАНЫ ЗДОРОВЬЯ В РОССИЙСКОЙ ФЕДЕРАЦИИ В 1996-1999 гг

ЗАКОНОДАТЕЛЬНОЕ ОБЕСПЕЧЕНИЕ СФЕРЫ ОХРАНЫ ЗДОРОВЬЯ В РОССИЙСКОЙ ФЕДЕРАЦИИ В 1996-1999 гг

В период деятельности Государственной думы второго созыва приняты 9 федеральных законов в сфере охраны здоровья граждан (табл. 3.3). Федеральный закон «О выплате пенсий за выслугу лет работникам здравоохранения, занятым лечебной...

ПОДГОТОВКА К РОЖДЕНИЮ МАЛЫША

ПОДГОТОВКА К РОЖДЕНИЮ МАЛЫША

Еще до рождения ребенка вы должны тщательно продумать, какие принадлежности понадобятся вашему малышу. Желательно также выбрать имя для него. Посоветуйтесь с будущим папой и, если еще сомневаетесь, остановитесь на нескольких...

ЗАБОЛЕВАНИЯ, НАИБОЛЕЕ ЧАСТО СОПРОВОЖДАЮЩИЕСЯ УВЕЛИЧЕНИЕМ СОЭ

ЗАБОЛЕВАНИЯ, НАИБОЛЕЕ ЧАСТО СОПРОВОЖДАЮЩИЕСЯ УВЕЛИЧЕНИЕМ СОЭ

СОЭ — широко используемый в клинической практике, очень чувствительный, но неспецифический показатель. В диагностике заболеваний наряду с определением СОЭ почти всегда требуются дальнейшие клиническое, лабораторное, инструментальное исследования в зависимости от...

ВТОРОЙ МЕСЯЦ БЕРЕМЕННОСТИ

ВТОРОЙ МЕСЯЦ БЕРЕМЕННОСТИ

БУДУЩИЙ РЕБЕНОК Второй месяц беременности имеет существенное значение для развития организма вашего будущего малыша. Именно сейчас закладываются все органы и системы. Уже на 5-й неделе развития начинает формироваться сердечнососудистая...

НАРУШЕНИЯ ПОХОДКИ

Походка—это совокупность особенностей позы и движений при ходьбе. Нарушение походки, т. е. нарушение двигательного акта во времени и пространстве, возникает при поражениях опорно-двигательного аппарата и(или) нервной системы. Этиология. Основную роль...

КОГДА И ПОЧЕМУ ЖЕНЩИНЫ НАБИРАЮТ ВЕС

Самопроверка: для вас ли эта книга? 1. Есть ли у вас сейчас или был ранее ПМС? 2. Испытываете ли вы (или раньше испытывали) в предменструальный период постоянный голод? 3. После 18 лет вы...

ДХАРМА И БХАКТИ: СУПРУЖЕСКИЕ КОНФЛИКТЫ

ИЛ. Глушкова Екто Бахира Дзатвед, проживавший в XIV в. в священном городке Пайтхане на Декане, брахман, большой знаток шести шастр и прочей санскритской премудрости, как-то за едой посетовал, что в...

СЦЕЖИВАНИЕ ГРУДНОГО МОЛОКА И ЕСТЕСТВЕННОЕ ВСКАРМЛИВАНИЕ

Для того, чтобы молока было достаточно, необязательно сцеживаться. Частое кормление ребенка грудью более способствует секреции и отделению молока. Кроме всего прочего, сцеживание изменяет ту привлекательную форму, которую грудь имела до...

СОВРЕМЕННЫЕ ПОДХОДЫ К ИЗУЧЕНИЮ СОЦИАЛЬНОЙ ОБУСЛОВЛЕННОСТИ ОБЩЕСТВЕННОГО ЗДОРОВЬЯ. КАЧЕСТВО…

СОВРЕМЕННЫЕ ПОДХОДЫ К ИЗУЧЕНИЮ СОЦИАЛЬНОЙ ОБУСЛОВЛЕННОСТИ ОБЩЕСТВЕННОГО ЗДОРОВЬЯ. КАЧЕСТВО ЖИЗНИ, СВЯЗАННОЕ СО ЗДОРОВЬЕМ

Для получения более полной картины состояния здоровья населения важны показатели, характеризующие социальную обусловленность общественного здоровья. Они аккумулируют в себе группу социальных, культурных, психологических и информационных факторов, которые объективно влияют на...

wume.ru