Современные информационные технологии / 4. Информационная безопасность

Профессор Эттель В.А., студентка

гр. СИБ-09-2 Петренко К.С.

Карагандинский государственный технический университет, Казахстан

Организация защиты персональных данных при их автоматизированной обработке в медицине

В настоящее время благополучие, а в отдельных случаях и жизнь людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, контроля и управления различными объектами. К таким системам относятся и информационные системы, используемые в медицине. Современные медицинские учреждения находятся в процессе интенсивной информатизации, переходя к комплексной автоматизации, интеграции в единое информационное пространство и внедрению технологий электронных регистратур и электронных медицинских карт. Информатизация медицины является необходимой предпосылкой оказания качественной и своевременной медицинской помощи и эффективного управления здравоохранением.

Одним из актуальных направлений информатизации медицины является предоставление услуг через сеть Интернет. Сегодня с помощью веб-ресурсов можно получить доступ к различным видам услуг (запись на прием к врачу, получение консультации, результатов исследований и т.п.).

Медицинские автоматизированные информационные системы (АИС) обрабатывают наиболее чувствительные персональные данные, поэтому, когда речь идет о медицинской информации,  вопрос ее защиты стоит особенно остро. С одной стороны, учреждение здравоохранения стремится к быстрой передаче данных пациенту. С другой стороны, медицинская информация носит личный характер, является врачебной тайной и защищена законом. Более того, согласно действующему законодательству, вся ответственность по охране информации до момента ее поступления в распоряжение пациента, лежит на медицинском учреждении. Иными словами медицинское учреждение несет ответственность за конфиденциальность информации как на территории поликлиник и больниц, так и в процессе ее передачи в Интернете, посредством смартфонов и смс. Персональные данные, тем более, медицинского характера, должны быть надежно защищены.

В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы. Возрос ущерб, наносимый злоумышленником.

Несанкционированный доступ (НСД) представляет собой доступ к информации, нарушающий установленные правила разграничения доступа.

Для предупреждения и предотвращения утечки информации за счет НСД применяют следующие меры:

·                     реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

·                     ограничение доступа персонала и посторонних лиц в  помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации. Нужно учитывать возможность хищения и утраты (потери) компьютерной техники с персональными данными. В этом случае  обязательно шифрование хранимых на носителях компьютера персональных данных;

·                     разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

·                     регистрация действий пользователей АИС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

·                     учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;

·                     резервирование технических средств, дублирование массивов и носителей информации;

·                     предотвращение внедрения в АИС программ-вирусов, программных закладок;

·                     организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации.

В обязательном порядке требуется обеспечение не только конфиденциальности данных, но и целостности обработки персональных данных (ПД) (особенно медицинского назначения) в информационных системах.  Характеристика “целостность” означает, что ПД должны меняться только регламентированным образом, например изменения в файл электронной медкарты может вносить только уполномоченный врач, а в любых других случаях информация в медкарте не должна меняться. При передаче по сетям целостность обеспечивается применением электронной цифровой подписи.

Если система имеет подключения к открытым сетям или предусматривает обмен данными, обязательно применение средств криптографической защиты информации (СКЗИ). Для передачи данных должны использоваться защищенные каналы связи. Аутентификацию и защиту данных при связи через публичные сети помогают обеспечить такие протоколы, как Secure Sockets Layer (SSL), Transport Layer Security (TLS), Private Communication Technology (PCT) 1.0.

Вопрос об организации защиты персональных данных при их автоматизированной обработке в информационной системе является достаточно актуальным. Одним из направлений снижения рисков является создание системы защиты персональных данных, которое должно осуществляться с учетом действующих требований Законодательства РК.