По ГОСТ Р 50922-2006 система защиты информации - совокупность органов и (или) исполнителей, применяемой техники защиты информации, объектов защиты информации, организованная и функционирующая по правилам и нор-

мам, установленным соответствующими документами в области защиты информации.

Требования к обеспечению безопасности ПДн при их обработке в ИС определены в Положении об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденном Постановлением Правительства РФ от 17 ноября 2007 г. № 781. Согласно этому документу, информационная система ПДн — не только программное средство, работающее с ПДн, но и все компоненты ИС предприятия, в котором накапливаются и обрабатываются ПДн.

Безопасность ПДн при их обработке в ИС обеспечивается системой защиты ПДн, включающей:

•   организационные меры;

•   средства защиты информации (СЗИ), в том числе шифровальные (криптографические) средства;

•   средства предотвращения несанкционированного доступа;

•   средства предотвращения утечки информации по техническим каналам;

•   средства предотвращения программно-технических воздействий на технические средства обработки ПДн;

•   используемые в информационной системе информационные технологии.

Выпадение из этой системы любого звена недопустимо, так как ведет к ее уязвимости и разрушению. ИС, работающие с ПДн, необходимо размещать в специально оборудованных помещениях, исключающих возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц и обеспечивающих сохранность носителей ПДн и СЗИ. Сотрудников, доступ которых к ПДн необходим для выполнения служебных обязанностей, допускают к соответствующим ПДн на основании утвержденного списка. Используемые технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.

В учреждениях для разработки и осуществления мероприятий обеспечения безопасности ПДн в ИС необходимо создавать структурное подразделение или назначать должностное лицо, ответственное за обеспечение безопасности ПДн — администратора информационной безопасности. Им должен быть специалист, разбирающийся как в вопросах безопасности, так и в информационных технологиях.

Информационная безопасность и защита ПДн медицинских учреждений -неотъемлемая часть создания или модернизации ИС, которая должна быть выделена в отдельный этап или контракт.

Информационные системы, в которых обрабатываются ПДн, классифицируют по обеспечению защиты от несанкционированного доступа на основе критериев в соответствии с Порядком проведения классификации ИС ПДн, Приказом Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. По структуре ИС различают:

•   автономные ИС, не подключенные к иным информационным системам, — комплексы технических и программных средств, предназначенные для обработки ПДн (АРМы);

•   локальные информационные системы — комплексы АРМов, объединенных в единую ИС средствами связи без использования технологии удаленного доступа;

•   распределенные ИС - комплексы АРМов и (или) локальных ИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа.

По Положению о методах и способах защиты информации в ИС ПДн (Приказ ФСТЭК от 5 февраля 2010 г. № 58) каждому классу систем ПДн соответствует набор требований их безопасности, в соответствии с которым выбирают СЗИ,

которые сертифицируют на 3 года. Списки сертифицированных СЗИ публикуют на официальных сайтах ФСТЭК и ФСБ. В АИС ЛПУ выделяют две разновидности подсистем обработки ПДн: подсистемы для обработки данных здоровья пациентов — класс К1. самый «защищаемый», и подсистемы для обработки ПДн сотрудников ЛПУ - класс КЗ.

В локальных и распределенных ИС в соответствии с тем же Приказом ФСТЭК системы (подсистемы) ПДн разных классов должны быть разделены межсетевым экраном. Для сокращения затрат на СЗИ рекомендуют:

•   по возможности обособлять сегменты АИС ПДн разных классов, чтобы не ставить межсетевые экраны (наиболее дорогостоящие элементы зашиты информации);

•   в случае использования рабочего места в разных подсистемах ПДн завести отдельные учетные записи для доступа к каждой из них, тогда межсетевой экран можно не ставить при использовании СЗИ, сертифицированных для К1;

•   при большом числе компьютеров в составе АИС установить серзер безопасности для управления всеми СЗИ с АРМа администратора.

По характеристикам безопасности ПДн, обрабатываемых в информационной системе. ИС подразделяются на:

•   типовые ИС, в которых необходимо обеспечение только конфиденциальности ПДн:

•   специальные ИС, в которых, кроме обеспечения конфиденциальности ПДн, необходимо обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения. блокирования и иных несанкционированных действий).

Класс ИС по обеспечению защиты информации от несанкционированного доступа присваивается самим оператором ПДн (медицинским учреждением), и он должен быть оформлен документально. Все МИС - специальные ИС, поскольку в них обрабатываются данные о здоровье пациентов.

Комплекс программно-технических средств и организационных решений для защиты информации от несанкционированного доступа можно сгруппировать в четыре подсистемы: управления доступом, регистрации и учета, криптографическую, обеспечения целостности. Определение лиц, которым разрешен доступ к данным. - составная часть политики обеспечения конфиденциальности и сохранности данных. Процессы распознавания и проверки подлинности пользователей. используемые для разрешения доступа к системным (информационным) ресурсам. — идентификация и аутентификация.

Идентификация (латин. identifico — отождествлять) в компьютерной безопасности — процесс сообщения субъектом своего имени или номера для получения определенных полномочий (прав доступа) на выполнение разрешенных ему действий в системах с ограниченным доступом.

Аутентификация (англ. authentication - удостоверение подлинности), или подтверждение подлинности. — процедура проверки соответствия субъекта тому, за кого он пытается себя выдать, с помощью некой уникальной информации.

Авторизация (англ. authorization - уполномочивание) — результат процесса проверки (через идентификацию или аутентификацию) некоторых обязательных параметров пользователя и при успешности предоставление ему определенных полномочий (прав доступа) на выполнение разрешенных ему действий в системах с ограниченным доступом.

Простейший способ идентификации в компьютерной системе — ввод идентификатора пользователя, часто называемого «логином» (англ. login — регистрационное имя пользователя), и пароля - некой конфиденциальной информации, знание которой обеспечивает владение определенным ресурсом. Получив введенный пользователем логик и пароль, компьютер сравнивает их со значением, которое

хранится в специальной базе данных, и при совпадении пропускает пользователя в систему.

Опознание пользователя на основе пароля - пример однофакторной идентификации. Современные методы идентификации основаны на двух- и даже трехфакторной идентификации. Например, двухфакторная аутентификация -пароль и персональный идентификатор. В качестве персонального идентификатора можно использовать аппаратный токен (англ. token - опознавательный знак) — USB-устройство с электронным чипом, обеспечивающим шифрование и формирование ЭЦП. смарт-карта (пластиковая карта с чипом для криптографических вычислений и встроенной защищенной памятью для хранения информации о пользователе), штрих-код. В медицине используют как аналог номера карты больного и др.

Более надежна аутентификация по биологическим параметрам, которые постоянны на протяжении жизни человека: по отпечатку пальца, ДНК. форме уха. геометрии лица, температуре кожи лица, отпечатку ладони, рисунку радужной оболочки глаза, аромату, голосу и др.

Средства шифрования данных при передаче по каналам связи - основные средства, обеспечивающие конфиденциальность информации, посылаемой по открытым каналам передачи данных, в том числе и по Интернету. Шифрование защищает информацию и при ее хранении, например в базах данных, находящихся в компьютере.

Для безопасной передачи данных по каналам Интернет используют защищенные виртуальные сети. Существует несколько вариантов создания таких сетей:

•   защищенные каналы - шифруют весь передаваемый и расшифровывают весь принимаемый трафик (используют для соединения географически разделенных сетей, принадлежащих одной организации, каждая из которых имеет свое собственное подключение к Интернету через провайдера):

•   частные каналы - трафик шифруют так же. как и защищенный канал, но соединение требует аутентификации отправителя трафика (часто используют для связи между организациями, которые не хотят предоставлять полный доступ к их сетям и требуют конфиденциальности трафика между ними):

•   промежуточные каналы — используют для промежуточной передачи зашифрованного трафика между двумя защищенными виртуальными сетями (пропускают определенные зашифрованные пакеты).

Аппаратные и программные средства шифрования данных при передаче по открытым каналам, применяемые в МИС, должны быть сертифицированы в соответствии с действующим законодательством. Пример развитой корпоративной системы защищенного обмена данными для обеспечения информационного взаимодействия десятков тысяч абонентов - обмен электронными данными между Федеральным фондом ОМС, Пенсионным фондом России, Фондом социального страхования. Росздравнадзором. ТФОМС, органами управления здравоохранением субъектов РФ. медицинскими учреждениями, аптеками, фармакологическими организациями (в соответствии с «Порядком организации системы информационной безопасности электронного документооборота в системе ОМС, включая программу дополнительного лекарственного обеспечения»).

Целостность и предотвращение уничтожения данных достигают четко определенными и контролируемыми организационными мерами. Ответственность за сохранность данных в компьютерах-рабочих станциях, в том числе в локальных информационных системах, несет конкретный пользователь. При этом он должен быть инструктирован о применении мер обеспечения сохранности локально накапливаемых и обрабатываемых данных, об ответственности в случае их потери вследствие своих неправомочных действий (нарушений правил эксплуатации средств вычислительной техники, неиспользования или неправильного исполь-

зования антивирусных программных продуктов и/или средств архивирования данных).

Администратор информационной безопасности или системный администратор отвечает за использование и работоспособность не только этих средств, но и за общую политику обеспечения сохранности всех данных. Сохранность данных на серверах информационных систем обеспечивают специальными программно-аппаратными средствами используемой системы управления базами данных либо средствами сетевых операционных систем, либо аппаратно-программными средствами сторонних производителей. Наиболее популярные среди них — RATD-массивы и устройства резервного копирования данных.

Для защиты целостности информации в информационных системах здравоохранения необходимо предусматривать средства защиты от вирусов для всех узлов локальной сети учреждения - серверов и рабочих станций пользователей. Антивирусные программы постоянно защищают программы и данные информационной системы в фоновом режиме, независимо от функционирования приложений, обеспечивая сканирование; онлайновый мониторинг: проверку целостности программ и файлов данных: обнаружение неизвестных вирусов и вирусов-невидимок: контроль подозрительного поведения узлов сети.

Итак, организация СЗИ требует значительных ресурсов. Необходимо искать пути их минимизации. Однако без создания и функционирования в ЛПУ системы комплексной защиты конфиденциальной информации обработка ПДн пациентов невозможна. Этим должны заниматься компетентные специалисты, имеющие соответствующую профессиональную подготовку и работающие в учреждении. Передача работ для защиты информации в ЛПУ на аутсорсинг возможна, но пока не разработана. Перспектива широкого использования технологий облачных вычислений делает целесообразным разработку унифицированного набора СЗИ.


 

 



 

 

 

Читайте также:

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Пред След

Лечение глистов и паразитов у человека. Таблетки и лекарства от глистов

Лечение глистов и паразитов у человека. Таблетки и лекарства от глистов

Таблетки и лекарства от глистов. Глисты у человека: симптомы и современные советы лечения. Глисты (гельминты) это группа червей паразитов, ведущих паразитическую деятельность в человеческом организме. Инфицирование...

ОБЕСПЕЧЕНИЕ САНИТАРНО-ЭПИДЕМИОЛОГИЧЕСКОГО БЛАГОПОЛУЧИЯ НАСЕЛЕНИЯ

Деятельность Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека позволяет стабилизировать санитарно-эпидемиологическую обстановку в Российской Федерации, а по некоторым показателям значительно ее улучшить. Только в 2011...

Минералы, без которых мы не можем: Иногда добавки необходимы для хорошего здоровья

Минералы, без которых мы не можем: Иногда добавки необходимы для хорошего здоровья

Такие заболевания, как остеопороз, ослабленная иммунная система, повышенный или слабый пульс, дерматит может быть вызван отсутствием необходимых минералов. Источник минералов в природе земля в которой протекает вода, растения и животные,...

ИНСТИТУЦИОНАЛЬНАЯ РЕФОРМА ЗДРАВООХРАНЕНИЯ

ИНСТИТУЦИОНАЛЬНАЯ РЕФОРМА ЗДРАВООХРАНЕНИЯ

Задачи законодательства об охране здоровья граждан: •   определение полномочий РФ, субъектов РФ и органов местного самоуправления по охране здоровья граждан; •   правовое регулирование охраны здоровья граждан, деятельности предприятий. учреждений и...

4 вещи, которые вы должны знать о сыре

4 вещи, которые вы должны знать о сыре

4 вещи, которые вы должны знать о сыре Задумывались ли вы, любит ли наш организм сыр столько, сколько я его люблю? Конечно, вы слышали, что сыр не здорово, но это...

ГЕМАТУРИЯ

ГЕМАТУРИЯ

Гематурия — появление эритроцитов в моче. Гематурический синдром диагностируется при наличии более 3 эритроцитов в поле зрения в утренней порции мочи, более 1000 в 1 мл мочи — по Нечипоренко...

УПРАВЛЕНИЕ КМП

Это не просто оценка конечного результата, а создание специальной технологии, обеспечивающей достижение запланированных результатов. Отклонение от технологических условий (или то, что называют дефектами оказания медицинской помощи) зависит не только от...

Здоровые закуски и прохладительные напитки идеально подходит для жарких летних дней

Здоровые закуски и прохладительные напитки идеально подходит для жарких летних дней

Здоровые закуски и прохладительные напитки идеально подходит для жарких летних дней Чемпионат мира по футболу начался, а вместе с ним идеально  закуски и пиво. Если вы не хотите, чтобы в...

ДИНАМИКА НАСЕЛЕНИЯ РОССИИ

ДИНАМИКА НАСЕЛЕНИЯ РОССИИ

Динамика населения характеризуется изменением численности и структуры населения по основным причинам: •   механическое движение (миграция); •   естественное движение. Механическое движение населения, миграция (от лат. migro — перехожу, переселяюсь) - территориальные...

Внутренняя логика и структура экспресс-курса очищения организма

Давайте ещё раз, по дням повторим последовательность мероприятий экспресс-курса очистки организма. День 1-й: начинается соблюдение диеты с исключением жареного, копчёного, пряного, а также колбас, консервов, газированных напитков и прочей «химии». ...

МЕДИЦИНСКАЯ РЕАБИЛИТАЦИЯ И САНАТОРНО-КУРОРТНОЕ ЛЕЧЕНИЕ

Понятие «медицинская реабилитация и санаторно-курортное лечение» закреплено в статье 40 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». В номенклатуру должностей...

ДЕТСКИЕ СТРАХИ

Одним из проявлений невротического состояния у детей являются страхи. Ребенок раннего возраста, не обладая жизненным опытом, часто не видит реальной опасности там, где она есть, и, наоборот, боится всего нового,...

МЕТОДИКА ОПРЕДЕЛЕНИЯ СОСТОЯНИЯ ОСАНКИ У ДЕТЕЙ РАННЕГО И ДОШКОЛЬНОГО ВОЗРАСТА

Ребенок осматривается в его привычной позе, стоя на расстоянии 1 м от врача. Осмотр проводится в трех положениях: спереди, сбоку и сзади. При осмотре спереди определяются: —  положение головы —...

РЕКОМЕНДАЦИИ ПО ГИГИЕНЕ ПОЛОСТИ РТА

РЕКОМЕНДАЦИИ ПО ГИГИЕНЕ ПОЛОСТИ РТА

Ребенку 2 лет нужно подарить зубную щетку и обучить его чистить зубы. Для лучшего удаления остатков пищи и зубного налета зубы надо чистить по 2 мин 2 раза в день:...

БОЛЬ В ЯИЧКАХ

БОЛЬ В ЯИЧКАХ

Боли в яичках У детей наблюдаются нечасто, однако на это следует обращать внимание, так как возможны серьезные последствия. Имеются различия причин болей в возрастном аспекте: так, у детей первых месяцев...

НОРМАТИВНО-ПРАВОВЫЕ АКТЫ В РОССИЙСКОЙ ФЕДЕРАЦИИ

Система законодательства государства складывается в результате издания правовых норм, закрепления их в официальных актах и систематизации этих актов. Структурный элемент системы законодательства — НПА. НПА — официальный документ, принятый (изданный)...

ДХАРМА И БХАКТИ: СУПРУЖЕСКИЕ КОНФЛИКТЫ

ИЛ. Глушкова Екто Бахира Дзатвед, проживавший в XIV в. в священном городке Пайтхане на Декане, брахман, большой знаток шести шастр и прочей санскритской премудрости, как-то за едой посетовал, что в...

Мифы о «шлаках» и правда о токсинах

Начиная любой серьёзный разговор о здоровье, необходимо в первую очередь избавиться от любой недостоверной, «мифологической» информации - и опираться на факты. Это касается как объективного представления о состоянии собственного организма...

wume.ru