Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном. В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.
В медицинских учреждениях обрабатываются значительные объемы конфиденциальной информации, содержащей как персональные данные работников и пациентов, так и врачебную тайну, что, в свою очередь, делает необходимым обеспечение высокого уровня защищенности медицинских информационных систем.
Практически ни одно медицинское учреждение — государственное или частное — не обходится в своей деятельности без использования компьютеров для обработки персональных данных пациентов и медработников. Это влечет за собой необходимость организации защиты персональных данных в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности персональных данных в информационных системах медицинских учреждений — это не только выполнение требований Закона Республики Узбекистан «О принципах и гарантиях свободы информации» от 12 декабря 2002 г., но и комплекса мероприятий по охране врачебной тайны, понятие которой устанавливается Законом Республики Узбекистан «Об охране здоровья граждан» от 29 августа 1996 г.
В настоящее время во всем мире проходит активная информатизация учреждений здравоохранения, обозначены плановые переходы к комплексной автоматизации медицинской деятельности, объединению разнородных медицинских информационных систем в единое информационное пространство, внедрению технологий электронной записи к врачу и единых электронных медицинских карт пациента.
Базовая информатизация учреждений здравоохранения может осуществляться как в соответствии с концепцией создания единой государственной информационной системы, так и в соответствии с другими нормативно-правовыми документами, региональными или государственными стандартами в сфере здравоохранения и информатизации.
В рамках разработки информационных систем обычно ведутся работы по оснащению медицинских учреждений компьютерным, телекоммуникационным оборудованием и средствами информационной безопасности, созданию региональных программ модернизации здравоохранения, стандартов информационного обмена в пределах системы, требований к медицинским информационным системам, созданию единого центра обработки данных с общесистемными и прикладными компонентами.
Автоматизация деятельности медицинского учреждения требует внедрения информационно-телекоммуникационных технологий в сферу выполнения как управленческих, так и технологических функций, независимо от профиля и размера учреждения. Можно выделить два основных подхода к автоматизации деятельности медицинского учреждения:
для небольших учреждений здравоохранения целесообразно использование возможностей областных центров обработки данных, так как предъявляются меньшие требования к оборудованию и развитости ИТ-инфраструктуры учреждения;
для более крупных учреждений характерно использование внутренних центров обработки данных, производящих обмен информацией с единой системой через систему электронного взаимодействия или через механизмы синхронизации систем верхнего и нижнего уровней.
Таким образом, очевидно, что структура единой информационной системы здравоохранения является очень сложной, и для любых медицинских учреждений необходимы типовые комплексные решения по защите средств обработки конфиденциальной информации.
Терминальные решения предполагают использование концепции построения ИТ-инфраструктуры медицинского учреждения, согласно которой все основные приложения расположены на серверах, а рабочие места сотрудников создаются с помощью терминальных клиентских устройств.
По сравнению с персональными компьютерами терминальные решения не только более компактны, эргономичны и экономичны, но и обладают рядом преимуществ, таких как:
повышенный уровень информационной безопасности;
уход от локального хранения документов;
высокая надежность и длительный срок службы;
управляемость и расширяемость сети;
легкость развертывания обновлений;
простота администрирования и установки;
снижение требований к обслуживающему ИТ-инфраструктуру медицинского учреждения персоналу;
терминальный доступ не требует высокоскоростных каналов связи.
Разграничение доступа удаленных пользователей к ресурсам терминального сервера осуществляется посредством использования программно-аппаратного средства защиты информации, функционирующего в терминальном режиме.
Для работы с ресурсами терминального сервера удаленному пользователю необходимо пройти процедуру идентификации/аутентификации на терминальном сервере, предъявив персональный идентификатор.
По наличию соединений с другими информационными системами единая информационная система электронного здравоохранения может являться информационной системой, обеспечивающей информационное взаимодействие с иными информационными системами:
областными сегментами;
системой межведомственного электронного взаимодействия;
web-порталами подразделений ведомств;
системой удостоверяющих центров.
Между главным и областными сегментами информационной системы взаимодействие может осуществляться через узлы доступа, размещаемые в областном сегменте и обеспечивающие стандартизованный обмен медицинскими данными посредством адаптеров, агрегирующих информацию из областных сегментов информационной системы. При этом передача структуры данных между главным и областными компонентами ИС может осуществляться через систему юридически значимого электронного документооборота, что позволяет обеспечить целостность и аутентичность данных, установить источник сообщений и исключает получение информации из недостоверных источников.
Главный сегмент ИС может взаимодействовать с другими системами с использованием шлюзов, обеспечивающих возможность стандартизированного обмена данными в рамках сегмента межведомственного взаимодействия. Шлюзы представляют собой типовое решение по подключению к главному сегменту информационных систем органов государственной власти и обеспечивающие возможность стандартизированного обмена данными в рамках сегмента межведомственного взаимодействия. Программно-аппаратный комплекс внешнего контура шлюза должен обеспечивать в автоматическом режиме информационный обмен со смежными автоматизированными системами органов государственной власти — пользователями сведений главного сегмента ИС.
Главный компонент ИС может осуществлять взаимодействие с пользователями (граждане и сотрудники) через соответствующие web-порталы, расположенные на выделенных технических средствах.
Главный сегмент ИС может взаимодействовать с системой удостоверяющих центров при реализации функции по проверке электронной подписи данных, получаемых из областного сегмента (проверка сертификата на предмет отсутствия в списке отозванных сертификатов, сроков действия и соответствия открытых и закрытых ключей участников информационного взаимодействия), а также для обеспечения участников информационного взаимодействия квалифицированными сертификатами электронной подписи. Система удостоверяющих центров позволит организовать юридическую значимость передаваемых данных между участниками информационного обмена.
В состав главного сегмента ИС могут входить объекты информатизации следующих типов:
Центры обработки данных;
Узлы доступа к главному сегменту ИС (шлюзы и серверы), расположенные на площадках областных сегментов;
Сети передачи данных.
Состав защищаемой информации в главном сегменте ИС может определяться актами категорирования для каждого компонента (информационной системы) в составе главного сегмента ИС и включает в себя следующие типы:
Целевую информацию;
Технологическую информацию.
Целевая информация, как правило, содержит сведения ограниченного характера, охраняемые в соответствии с законодательством.
Объектами защиты ИС могут являться:
Защищаемая информация;
Программно-технические комплексы ИС, расположенные на основной и резервной площадках:
серверы СУБД;
серверы приложений;
системы хранения данных;
системы резервного копирования;
оборудование администрирования;
коммуникационное оборудование;
средства защиты информации.
Описанные характеристики формирования системы информационной безопасности должны быть учтены на этапе технического проектирования и на их основе необходимо проектировать конкретные технические решения по построению каждой подсистемы с использованием актуальных технических средств защиты информации. Выбор средств защиты должен учитывать перспективы развития сегментов ИС на долгосрочный период, и его необходимо производить таким образом, чтобы заложенные настоящим проектом требования к модернизации ИС не влекли за собой кардинальных изменений в состав и функциональность предлагаемых средств защиты информации.
Основными принципами, на которых могут базироваться конкретные решения по выбору средств защиты информации, являются следующие:
перенос части защищаемых данных на областной уровень (базы данных пользователей);
снижение роли влияния обслуживающего персонала системы (системных администраторов и администраторов безопасности) непосредственно на защищаемые данные с целью исключения непреднамеренного несанкционированного доступа к защищаемой информации;
усиление электронного взаимодействия непосредственно с гражданами, что влечет за собой создание новых сервисов информирования и обратной связи с населением;
подключение к ИС вновь создаваемых и уже существующих систем, требующих доступ к защищаемой информации.
Все применяемые технические решения должны отвечать принципам масштабируемости, универсальности, иметь перспективы развития и поддержки производителем, а также быть достаточно распространенными для обеспечения широкого круга исследования на наличие возможных проблем и уязвимостей с целью их наиболее оперативного выявления и устранения. При любых изменениях в нормативно-методической базе по защите информации и при условии несоответствия уже применяемых средств новым требованиям переход на обновленные средства должен в первую очередь учитывать модернизированные версии используемых средств с целью минимизации расходов на поддержание в актуальном состоянии необходимого уровня информационной безопасности.
Выбор способов защиты информации в информационной системе — сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон.
После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе.
Список литературы
1) Кобринский Б. А. Автоматизированные регистры медицинского назначения: теория и практика применения. — 2011 г.
2) Мартыненко В. Ф. , Вялкова Г. М. , Полесский В. А. и др. Информационные технологии в управлении здравоохранением Российской Федерации. Учебное пособие. / Под ред. академика РАМН Вялкова А. И. — 2009 г.
Автор: Богдан Шкляревский, ведущий специалист Центра обеспечения информационной безопасности
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Toshkentda yo‘l chetidagi daraxtga borib urilgan Lacetti haydovchisi vafot etdi.
Yashnobod tumani Elbek ko‘chasida 1998 yilda tug‘ilgan haydovchi Lacetti'ni boshqarib ketayotib, rul boshqaruvini yo‘qotgan va yo‘l chetidagi...
-
Telegram o‘z ichki valutasini joriy qildi.
Telegram Stars deb nomlangan raqamli valutani elektron kitoblar va onlayn kurslardan tortib to o‘yinlardagi mahsulotlargacha har qanday raqamli...
-
Bayden AQShning Ukrainaga yordami kechikkani uchun Zelenskiydan uzr so‘radi.
U yana 225 million dollarlik yordam va’da qilgan..
-
Issiq urishi tanaga qanday ta’sir qiladi? Shu sabab ham odam o‘lishi mumkinmi?.
Kuchli issiq sabab tana o‘zini sovutishga harakat qilib zo‘riqadi va natijada yurak xuruji kabi xavfli holatlar sodir bo‘ladi. Statistikaga ko‘ra,...
-
Rossiya kompaniyasi O‘zbekistonga elektr energiyasi yetkazib berishni boshlashi mumkin.
Rossiyaning «Inter RAO» energetika kompaniyasi O‘zbekistonga elektr yetkazib berishni rejalashtiryapti. Kompaniya kuzatuv kengashi raisi Aleksandra...
-
Qozog‘istonda ichida O‘zbekiston fuqarolari bo‘lgan avtomobil yonib ketdi.
Ikki kishi shifoxonaga yotqizilgan..