ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ ПОДДЕРЖКИ ПРИНЯТИЯ РЕЩЕНИЙ ВРАЧА ОБЩЕЙ ПРАКТИКИ

Современные информационные технологии.

Информационная безопасность

Высоцкая Е.В., Замула А.А., Доброродняя И.С.

Харьковский национальный университет радиоэлектроники, г. Харьков, Украина

ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ ПОДДЕРЖКИ ПРИНЯТИЯ РЕЩЕНИЙ ВРАЧА ОБЩЕЙ ПРАКТИКИ

Современные информационные технологии играют важнейшую роль в медицинской отрасли, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является необходимость решения задач обеспечения защиты информации, в том числе защиты персональных данных граждан и сведений, составляющих медицинскую тайну.

В соответствии с законом Украины «Про захист персональних данних» [1] медицинская информация относится к персональным данным и является конфиденциальной. Любой медицинский работник несет ответственность (моральную, административную и уголовную) за разглашение конфиденциальной информации, к которой он получает доступ в ходе своей профессиональной деятельности.

В последнее время медицинские работники все чаще сталкиваются с проблемой передачи данных по незащищенным каналам. Необходимость защиты персональных данных вызвана возросшими техническими возможностями злоумышленника по копированию, перехвату и распространению информации. Попытки применения некоторых мер, средств для защиты персональных данных не являются эффективными против посягательств на частную жизнь. Следовательно, гарантированная защита персональных медицинских данных является одной из наиболее острых проблем в информатизации организаций медицинской области.

Решение проблемы защиты информации в медицинской практике необходимо решать путем комплексного использования административных, инженерно-технических, программно-аппаратных, экономических, этических и других методов и средств.

Среди существующих медицинских информационных систем достойное место занимают системы поддержки принятия решений (СППР). Нами разработана СППР врача общей практики «Здоровье семьи 1.0», в которой с целью использования уже разработанных программных продуктов для врачей-специалистов различных специализаций используется централизованная установка системы в «частном» облаке с подключением неограниченного количества врачей-консультантов, медицинских баз данных и АРМ врачей-специалистов.

Идентификацию и аутентификацию пользователей в СППР врача общей практики предполагается осуществлять с использованием электронной цифровой подписи (ЭЦП), которая позволяет также подтвердить целостность (неизменность) медицинского документа. Подписание последнего предлагается производить при помощи личного ключа автора, что позволит убедиться семейному врачу в истинности источника при адресации сообщения конкретному лицу. Расшифровать подпись можно будет только при помощи открытого ключа, который соответствует секретному и который рассылается всем субъектам.

Существуют следующие классы цифровых подписей: RSA ЦП, которая базируется на преобразовании в кольце, Ель-Гаммаля DSА преобразование, которое базируется на преобразовании в поле Галуа, Ель-Гаммаля ЕС преобразование, которое основывается на преобразовании в группе точек эллиптических кривых [2]. В СППР врача общей практики целесообразно использовать ЭЦП, которая основывается на свойствах групп точек эллиптических кривых, так как основным преимуществом эллиптической криптографии является меньший размер ключа относительно других схем асимметричного шифрования для обеспечения заданной криптостойкости.

Применение совместно с электронно-цифровой подписью алгоритма вычисления хэш-функций даст гарантию того, что сообщение не будет претерпевать искажений, и получатель получил именно то сообщение, которое было отправлено.

На один электронный документ может одновременно налагаться несколько ЭЦП, например, на диагностическое заключение могут быть наложены ЭЦП нескольких врачей, проводящих дополнительные исследования.

Разработанная нами криптоплатформа соответствует стандартам: цифровой подписи — ДСТУ 4145-2002; функции хэширования — ДСТУ-34.311-95; симметричного шифрования — ГОСТ 28147-89. С точки зрения защиты информации центр сертификации ключей ЭЦП фирмы «Украинские национальные производственные системы» поддерживает стандарт ДСТУ 4145-2002.

Обеспечение конфиденциальности и целостности данных предполагается осуществлять симметричным криптоалгоритмом ГОСТ 28147-89 в режиме гаммирования с обратной связью. К преимуществам симметричной криптосистемы можно отнести: высокую производительность и стойкость.

Определение прав доступа пациентов к медицинским данным (информационным потокам) входит в компетенцию администрации системы. Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы контроля доступа.

Таким образом, предлагаемый подход к защите информации в СППР врача общей практики позволит за счет шифрования пересылаемой информации и применения механизма ЭЦП обеспечить необходимый уровень безопасности медицинской информации и ее конфиденциальности.

Литература:

1. Закон Украины про захист персональних даних [Электронный ресурс] / Режим доступа. URL: http://zakon2.rada.gov.ua/laws/show/2297-17.

2. Горбенко, І.Д. Прикладна криптологія. Теорія. Практика. Застосування: Монографія [Текст] / І.Д. Горбенко, Ю.І. Горбенко – Харків: Видавництво «Форт», 2012. – 870с.