Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном. В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.
В медицинских учреждениях обрабатываются значительные объемы конфиденциальной информации, содержащей как персональные данные работников и пациентов, так и врачебную тайну, что, в свою очередь, делает необходимым обеспечение высокого уровня защищенности медицинских информационных систем.
Практически ни одно медицинское учреждение — государственное или частное — не обходится в своей деятельности без использования компьютеров для обработки персональных данных пациентов и медработников. Это влечет за собой необходимость организации защиты персональных данных в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности персональных данных в информационных системах медицинских учреждений — это не только выполнение требований Закона Республики Узбекистан «О принципах и гарантиях свободы информации» от 12 декабря 2002 г., но и комплекса мероприятий по охране врачебной тайны, понятие которой устанавливается Законом Республики Узбекистан «Об охране здоровья граждан» от 29 августа 1996 г.
В настоящее время во всем мире проходит активная информатизация учреждений здравоохранения, обозначены плановые переходы к комплексной автоматизации медицинской деятельности, объединению разнородных медицинских информационных систем в единое информационное пространство, внедрению технологий электронной записи к врачу и единых электронных медицинских карт пациента.
Базовая информатизация учреждений здравоохранения может осуществляться как в соответствии с концепцией создания единой государственной информационной системы, так и в соответствии с другими нормативно-правовыми документами, региональными или государственными стандартами в сфере здравоохранения и информатизации.
В рамках разработки информационных систем обычно ведутся работы по оснащению медицинских учреждений компьютерным, телекоммуникационным оборудованием и средствами информационной безопасности, созданию региональных программ модернизации здравоохранения, стандартов информационного обмена в пределах системы, требований к медицинским информационным системам, созданию единого центра обработки данных с общесистемными и прикладными компонентами.
Автоматизация деятельности медицинского учреждения требует внедрения информационно-телекоммуникационных технологий в сферу выполнения как управленческих, так и технологических функций, независимо от профиля и размера учреждения. Можно выделить два основных подхода к автоматизации деятельности медицинского учреждения:
для небольших учреждений здравоохранения целесообразно использование возможностей областных центров обработки данных, так как предъявляются меньшие требования к оборудованию и развитости ИТ-инфраструктуры учреждения;
для более крупных учреждений характерно использование внутренних центров обработки данных, производящих обмен информацией с единой системой через систему электронного взаимодействия или через механизмы синхронизации систем верхнего и нижнего уровней.
Таким образом, очевидно, что структура единой информационной системы здравоохранения является очень сложной, и для любых медицинских учреждений необходимы типовые комплексные решения по защите средств обработки конфиденциальной информации.
Терминальные решения предполагают использование концепции построения ИТ-инфраструктуры медицинского учреждения, согласно которой все основные приложения расположены на серверах, а рабочие места сотрудников создаются с помощью терминальных клиентских устройств.
По сравнению с персональными компьютерами терминальные решения не только более компактны, эргономичны и экономичны, но и обладают рядом преимуществ, таких как:
повышенный уровень информационной безопасности;
уход от локального хранения документов;
высокая надежность и длительный срок службы;
управляемость и расширяемость сети;
легкость развертывания обновлений;
простота администрирования и установки;
снижение требований к обслуживающему ИТ-инфраструктуру медицинского учреждения персоналу;
терминальный доступ не требует высокоскоростных каналов связи.
Разграничение доступа удаленных пользователей к ресурсам терминального сервера осуществляется посредством использования программно-аппаратного средства защиты информации, функционирующего в терминальном режиме.
Для работы с ресурсами терминального сервера удаленному пользователю необходимо пройти процедуру идентификации/аутентификации на терминальном сервере, предъявив персональный идентификатор.
По наличию соединений с другими информационными системами единая информационная система электронного здравоохранения может являться информационной системой, обеспечивающей информационное взаимодействие с иными информационными системами:
областными сегментами;
системой межведомственного электронного взаимодействия;
web-порталами подразделений ведомств;
системой удостоверяющих центров.
Между главным и областными сегментами информационной системы взаимодействие может осуществляться через узлы доступа, размещаемые в областном сегменте и обеспечивающие стандартизованный обмен медицинскими данными посредством адаптеров, агрегирующих информацию из областных сегментов информационной системы. При этом передача структуры данных между главным и областными компонентами ИС может осуществляться через систему юридически значимого электронного документооборота, что позволяет обеспечить целостность и аутентичность данных, установить источник сообщений и исключает получение информации из недостоверных источников.
Главный сегмент ИС может взаимодействовать с другими системами с использованием шлюзов, обеспечивающих возможность стандартизированного обмена данными в рамках сегмента межведомственного взаимодействия. Шлюзы представляют собой типовое решение по подключению к главному сегменту информационных систем органов государственной власти и обеспечивающие возможность стандартизированного обмена данными в рамках сегмента межведомственного взаимодействия. Программно-аппаратный комплекс внешнего контура шлюза должен обеспечивать в автоматическом режиме информационный обмен со смежными автоматизированными системами органов государственной власти — пользователями сведений главного сегмента ИС.
Главный компонент ИС может осуществлять взаимодействие с пользователями (граждане и сотрудники) через соответствующие web-порталы, расположенные на выделенных технических средствах.
Главный сегмент ИС может взаимодействовать с системой удостоверяющих центров при реализации функции по проверке электронной подписи данных, получаемых из областного сегмента (проверка сертификата на предмет отсутствия в списке отозванных сертификатов, сроков действия и соответствия открытых и закрытых ключей участников информационного взаимодействия), а также для обеспечения участников информационного взаимодействия квалифицированными сертификатами электронной подписи. Система удостоверяющих центров позволит организовать юридическую значимость передаваемых данных между участниками информационного обмена.
В состав главного сегмента ИС могут входить объекты информатизации следующих типов:
Центры обработки данных;
Узлы доступа к главному сегменту ИС (шлюзы и серверы), расположенные на площадках областных сегментов;
Сети передачи данных.
Состав защищаемой информации в главном сегменте ИС может определяться актами категорирования для каждого компонента (информационной системы) в составе главного сегмента ИС и включает в себя следующие типы:
Целевую информацию;
Технологическую информацию.
Целевая информация, как правило, содержит сведения ограниченного характера, охраняемые в соответствии с законодательством.
Объектами защиты ИС могут являться:
Защищаемая информация;
Программно-технические комплексы ИС, расположенные на основной и резервной площадках:
серверы СУБД;
серверы приложений;
системы хранения данных;
системы резервного копирования;
оборудование администрирования;
коммуникационное оборудование;
средства защиты информации.
Описанные характеристики формирования системы информационной безопасности должны быть учтены на этапе технического проектирования и на их основе необходимо проектировать конкретные технические решения по построению каждой подсистемы с использованием актуальных технических средств защиты информации. Выбор средств защиты должен учитывать перспективы развития сегментов ИС на долгосрочный период, и его необходимо производить таким образом, чтобы заложенные настоящим проектом требования к модернизации ИС не влекли за собой кардинальных изменений в состав и функциональность предлагаемых средств защиты информации.
Основными принципами, на которых могут базироваться конкретные решения по выбору средств защиты информации, являются следующие:
перенос части защищаемых данных на областной уровень (базы данных пользователей);
снижение роли влияния обслуживающего персонала системы (системных администраторов и администраторов безопасности) непосредственно на защищаемые данные с целью исключения непреднамеренного несанкционированного доступа к защищаемой информации;
усиление электронного взаимодействия непосредственно с гражданами, что влечет за собой создание новых сервисов информирования и обратной связи с населением;
подключение к ИС вновь создаваемых и уже существующих систем, требующих доступ к защищаемой информации.
Все применяемые технические решения должны отвечать принципам масштабируемости, универсальности, иметь перспективы развития и поддержки производителем, а также быть достаточно распространенными для обеспечения широкого круга исследования на наличие возможных проблем и уязвимостей с целью их наиболее оперативного выявления и устранения. При любых изменениях в нормативно-методической базе по защите информации и при условии несоответствия уже применяемых средств новым требованиям переход на обновленные средства должен в первую очередь учитывать модернизированные версии используемых средств с целью минимизации расходов на поддержание в актуальном состоянии необходимого уровня информационной безопасности.
Выбор способов защиты информации в информационной системе — сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон.
После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.
Список литературы
1) Кобринский Б. А. Автоматизированные регистры медицинского назначения: теория и практика применения. — 2011 г.
2) Мартыненко В. Ф. , Вялкова Г. М. , Полесский В. А. и др. Информационные технологии в управлении здравоохранением Российской Федерации. Учебное пособие. / Под ред. академика РАМН Вялкова А. И. — 2009 г.
Автор: Богдан Шкляревский, ведущий специалист Центра обеспечения информационной безопасности
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Surxondaryoda qishloqqa kelib qolgan ayiq otib o‘ldirildi.
Yirtqich maktab hududiga kirib, o‘quvchilar hayotiga xavf tug‘dirgan. Shuningdek, ayiqni zararsizlantirish jarayonida u IIB xodimlaridan biriga...
-
2025 yilda ko‘mir qazib chiqarish hajmi 10 million tonnaga yetkazilishi kutilmoqda .
Prezident Shavkat Mirziyoyev 13 may kuni ko‘mir qazib chiqarishni oshirish rejalari taqdimoti bilan tanishdi. .
-
Ukraina Vovchansk uchun janglarda Rossiya taktik muvaffaqiyatga erishganini ma’lum qildi.
Ukraina Qurolli kuchlari Bosh shtabiga ko‘ra, Xarkiv yo‘nalishidagi vaziyat murakkab va dinamik ravishda o‘zgarib bormoqda. Uning ma’lumotlariga...
-
Rossiya qo‘shini Xarkiv oblastida «yo‘qotishlar bilan hisoblashmasdan» oldinga yurmoqda. Urush suratlari.
Ukrainada urushning 809-kuni o‘tdi..
-
Chet elda terroristik tashkilotlarga kirib qolgan fuqarolarni vatanga qaytarishning huquqiy asoslari. O‘zbekiston dunyoga namuna bo‘la oladimi?.
BMT ma’lumotiga ko‘ra, 60 dan ortiq davlatdan 43 mingdan ziyod insonlar “Iroq va Shom islom davlati” va boshqa terrorchi guruhlar safiga qo‘shilish...
-
"Бавария" Премьер-лига мураббийини мақсад қилган, аммо бу Де Дзерби эмас
Мюнхеннинг "Бавария" клуби Англия Премьер-лигасидан мураббий топмоқчи.