Информационная безопасность в здравоохранении.




Клиники, медицинские центры, другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны. Поэтому информационная безопасность в медицине переходит на новый уровень.

Медучреждения переходят на электронный документооборот, автоматизируется ведение электронного учета или медицинских карт пациентов. Нельзя сказать, что вопросом оптимизации регистратур или безопасности баз данных заинтересовались в системе здравоохранения только сейчас. Впервые хранить документацию, используя компьютер, предложил Николай Амосов (знаменитый советский хирург). С развитием информационных технологий ускорился и переход медучреждений на новый уровень обработки и хранения персональных данных.

Характерные особенности медицинских информационных систем

Без информационной трансформации повысить эффективность оказания медицинских услуг невозможно. Как и любая отрасль, здравоохранение имеет свои особенности.

В сфере информационного обеспечения эти особенности проявляются в следующем:

1. Наличие четких требований к информационной безопасности баз данных. Это обусловлено тем, что обрабатываемая данные принадлежат к первому классу информационных систем. Сведения о состоянии здоровья – одна из самых личных категорий информации. В этот класс входят данные, разглашение которых может привести к чувствительным негативным результатам для лица и безопасность которых не была обеспечена должным образом.

  1. Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым располагают указанные учреждения, несовременное и разнородное.
  2. Необходимость обеспечения доступа к системам информации. Это позволит проконтролировать эксплуатацию систем диагностики, клинического оснащения, закупку и расход медикаментов, соблюдение протоколов лечения.

Обеспечение безопасности медицинских сведений регламентировано законодательно на федеральном уровне.

Концепция создания единой государственной информационной системы

Концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) регламентирует основные положения информационного обеспечения учреждений здравоохранения.

ЕГИСЗ предусматривает создание региональных проектов модернизации электронных баз данных, нормы электронного документооборота между медучреждениями, соответствие стандартам медицинских информационных систем, наличие всероссийского центра обработки информации, обеспечение компьютерной техникой.

Способы реализации ЕГИСЗ

Для защиты сведений в системе здравоохранения применяются такие методы:

  • юридические;
  • организационно-управленческие;
  • технические (программное обеспечение).

Юридические механизмы устанавливают ответственность за нарушение правил использования данных, сдерживая возможных нарушителей.

Организационно-управленческие методы прописывают рамки, условия работы ресурсов, функции сотрудников, а также систему взаимоотношений между абонентами и администратором.

Защитные механизмы обеспечены техническими средствами. Они блокируют свободный доступ недобросовестных пользователей к информации, «опознают» абонентов, устанавливают ограничения на доступ и редактирование сведений, обеспечивают криптографическую охрану баз данных.

Защиту от утечек информации, а также адресную блокировку доступа к закрытым сведениям обеспечит DLP-система «СёрчИнформ КИБ».

Способы автоматизации и обеспечения информационной безопасности в медицинских организациях зависят от размера организации, объема обрабатываемых сведений. Крупные учреждения имеют собственные центры обработки персональной информации. Они ответственны за обмен сведениями, синхронизацию систем электронной корреспонденции. В небольшой организации достаточно возможностей региональных центров сбора, обработки сведений. Требования к технической оснащенности и компьютерному обеспечению таких медучреждений значительно ниже.

Информационное сопровождение необходимо для реализации управленческой и технологической деятельности. Для облегчения процесса автоматизации, обеспечения информационной защиты требуются разработка и внедрение типовых комплексных программ по защите конфиденциальных сведений.

Данные, обрабатываемые в медучреждениях, – это сведения, относящиеся к врачебной тайне. Их защита обеспечена на законодательном уровне. Поэтому защита МИС (медицинские информационные системы) представляет собой комплекс мероприятий, включающий:

  • предоставление комплекса сведений;
  • защиту от несанкционированного доступа к системе или данным.

Если указанные направления не будут защищены должным образом, ответственность за распространение закрытых сведений возлагается на руководство медучреждения.

Аппаратный тонкий клиент

Министерством охраны здоровья РФ разработаны рекомендации по оборудованию организаций здравоохранения специальным компьютерным приспособлением – аппаратным тонким клиентом. Это приспособление, работа которого обеспечивается отдельной операционной системой, направленной на выполнение одного задания – формирование связи с сервисом терминала для работы абонента.

Информационная структура медучреждения предполагает размещение базовых приложений на сервере, связь с которым обеспечивается с помощью аппаратных клиентов на рабочем месте персонала.

Отличие терминала от ПК

Тонкий клиент имеет ряд плюсов по сравнению с обычным компьютером:

  • компактность и практичность;
  • усиление безопасности сберегаемых данных;
  • отсутствие единого хранилища письменной документации;
  • увеличение времени эксплуатации;
  • подконтрольность сети, возможность контролировать ее объем;
  • простота обновления и работы;
  • легкость установки;
  • доступность применения каждому сотруднику;
  • отсутствие наличия высокоскоростной связи.

Реализация типовых комплексных программ

Техническое обеспечение реализации концепции информационной защиты включает в себя:

  • юридически обеспеченное электронное документоведение;
  • отсутствие дубликата зафиксированных данных на бумаге;
  • заверка электронных документов цифровой подписью;
  • обеспечение безопасности информационных баз данных.

На рынке информационных систем уже представлены комплекты оборудования, разработанные в соответствии с требованиями Министерства здравоохранения, представляющие собой набор сервера-терминала и аппаратного клиента с включенными модулями защищенного ввода и определения абонента.

Включенный аппаратный клиент обеспечивает безопасный доступ к образу всей базы данных.

Аутентификация абонента производится с помощью ввода личного ключа и секретного кода. Загрузка системы производится исключительно после проверки соответствия введенных паролей доступа.

Терминал производит разграничение доступа отдельных абонентов, обеспечивая аппаратную защиту сведений в медицинской сфере.

Администратор обеспечивает опознавание персональных кодов доступа. Это позволяет терминальному ресурсу установить связь с сервером и «опознать» абонента.

Начать работу с удаленным сервером через тонкий терминал абонент может после ввода персонального ключа и кода доступа. Таким образом, система идентифицирует клиента и гарантирует защиту информационной базы.

Внедрение технологии «опознавания» абонента предполагает наличие руководящего звена (администратора), наделенного полномочиями свободного доступа к размещенным сведениям, а также установки ограничений для других абонентов системы.

Электронная подпись

Заверить электронный документ подписью позволяет разработанная программа, обеспечивающая ее проверку и оформление. Работает программа в онлайн-режиме. Завершенное программное обеспечение аппаратного клиента на базе отдельной операционной системе запускается только в ограниченном режиме «для чтения».

Операционная система, обеспечивающая заверение документов электронной подписью, состоит из:

  • хранилища подписей;
  • отдельного браузера, обеспечивающего предпросмотр и заверение документов в системе медицины;
  • драйверов, отвечающих за функционирование локальных терминалов.

Важно! При установке программного обеспечения компания-установщик должна подтвердить легализацию своих разработок сертификатом ФСТЭК или ФСБ Российской Федерации.

Перспективы автоматизации МИС

Программа независимых гарантий предусматривает образование системы персонифицированного учета оказания медицинских услуг. Подобная система способна обеспечить регистрацию:

  1. оказанных услуг;
  2. медперсонала;
  3. закупок медикаментов.

Таким образом, будет облегчено управление учреждением здравоохранения. С помощью подобной системы удается решить вопросы:

  • формирования единой базы лечебных организаций с указанием видов оказываемых услуг, персонала, техоборудования, результативности работы;
  • образования общего списка клиентов;
  • формирования и введения базовой системы надзора над качеством оказания медицинских услуг в соответствии с государственными и международными стандартами (медицинскими и экономическими);
  • формирования реестра важных социальных неинфекционных болезней с учетом количества обратившихся и территории их проживания. В данном реестре будут отображены динамические факторы показателей: количество заболевших, риски, смертность.

Формируют исходную информацию организации здравоохранения на местах. Региональное управление осуществляется специально созданными информационными центрами.

Для этого на администрацию лечебного учреждения возлагаются функции:

  • анализа использования финансовых ресурсов медучреждениями;
  • оценки кадрового обеспечения отдельных организаций;
  • мониторинга оказания отдельных видов медицинской помощи населению;
  • расчета стоимости закупок необходимых медикаментов;
  • прогнозирования затрат на обеспечение медицинского обслуживания граждан по страховке.

Программы автоматизации ИС в здравоохранении обеспечивают мониторинг качества и уровня оказания помощи, соблюдения санитарно-гигиенических норм, оценивание результатов работы местных медицинских органов управления и отдельных лечебных организаций.

Безопасность медицинской информации следует рас­сматривать с нескольких точек зрения:

ü зашита личности от распространения конфиденциальной информации;

ü защита интересов государства и ведомств, другими словами, защита от возможной утечки информации, злоупотреблений, нарушения этики и др.;

ü безопасность систем медицинского страхования;

ü вопросы права, конфиденциальности информации, законности и право­мочности электронной подписи.

Термины privacy (секретность), confidentiality (конфиденциальность), security (защита) и dataintegrity (целостность данных) — основные понятия, касающиеся данного вопроса. Поскольку эти четыре проблемы важны и отличны, мы обсуждаем каждую из них и предлагаем рекомендации относительно ка­ждой.

Секретность — это право индивидуума управлять сохранением, использова­нием и раскрытием личной информации. Сторонники секретности настаи­вают, чтобы индивидуум был информирован относительно того, как инфор­мация должна быть раскрыта.

Конфиденциальность — инструмент защиты секретности, подразумевающий ограничения на доступ к информации. Пациент, доверяя врачу конфиден­циальные данные, вправе полагать, что эта информация не будет раскрыта.

Защита — это способы и методы от случайного или преднамеренного рас­крытия информации посторонним лицам, а также от деструктивных дейст­вий и потери.

Целостность данных — способы и методы поддержания информации в точ­ном и законченном виде.

Инструкции относительно секретности, конфиденциальности, защиты и целостности информации были разработаны уже несколько десятилетий на­зад, а реакция американских пациентов на потенциальные нарушения кон­фиденциальности в связи с развитием Интернета ускорила их адаптацию к современным условиям.

Секретность и конфиденциальность медицинской информации наиболее уязвимы, когда такая информация транспортируется через общедоступную сеть Интернет, поэтому при передаче информации через Интернет ожидает­ся, но не гарантируется секретность. Рассмотрим потенциально уязвимые места при передаче медицинской информации через Интернет.

Безопасность пациентов

Утечке конфиденциальной информации могут способствовать сами пациенты.

Отправленная электронная почта. Много людей ошибочно считают, что, когда они отправляют e-mail, их личная электронная почта будет идти толь­ко к адресату. На самом деле электронная почта идет от исходного пункта до адресата через множество серверов. Все эти серверы — потенциальные пункты, где электронная почта может быть перехвачена, так же, как вся ин­формация может быть перехвачена на серверах Интернет-провайдера. Кроме того, письмо может попасть к совершено другому адресату вследствие ошибки в написании адреса.

Лог-файлы и Cookies. Другая проблема касается ведения лог-файлов (журна­лов) на web-узлах. Web-серверы могут автоматически фиксировать и сохра­нять адреса электронной почты и всю другую введенную посетителем информацию в журналах. Другое средство для того, чтобы собирать инфор­мацию о посетителях web-узлов, — файлы "cookies", которые могут быть как записаны, так и прочитаны web-серверами. Эти файлы содержат информа­цию, которая позволяет идентифицировать пользователя.

Информация может быть собрана и с дискуссионных групп, форумов, где человек спрашивал о волнующих его проблемах здоровья.

Сбор такой информации сотрудничающими серверами и последующий ана­лиз позволяют выявить предпочтения пользователя, собрать информацию о его покупках и посещенных серверах, поисковых запросах и пр. Таким образом возможно накопление определенной медицинской информации, обнародование которой может негативно сказаться на репутации пациента.

Решение этих проблем — обучение пациентов основам безопасной работы в сети Интернет.

Безопасность данных

Защита электронной информации должна быть главным приоритетом меди­цинских организаций, использующих электронные базы данных. Решением может быть использование кодирования (encryption), идентификации (authentication), межсетевых экранов (firewalls), электронных подписей (electronicsignatures). Защита также включает неэлектронные системы, такие, как система индикации аварии, пожара, ограничение доступа к оборудова­нию, резервирование источников питания, антивирусная защита и резерв­ное копирование информации.

Основная цель систем защиты состоит в том, чтобы препятствовать непра­вомерному обращению, изменению или генерации информации. Прежде чем организация решит использовать Интернет и электронную почту для передачи медицинской информации, должна быть разработана конкретная политика защиты. Однако меры зашиты, которые выше потенциального уровня риска, могут препятствовать законному использованию системы, быть очень дорогостоящими и негативно отразиться на функциональных возможностях.

Уже доказано, что самая большая опасность для медицинской информации исходит изнутри организации. Обиженные, злонамеренные или мститель­ные служащие — постоянная угроза; на такие взломы приходится 80% на­рушений безопасности систем. Чтобы уменьшить этот риск, в случае уволь­нения или понижения в должности сотрудника пароли должны быть немедленно изменены.

Остальные 20% нарушений безопасности системы могут быть созданы сле­дующими факторами.

ü Несанкционированный доступ — доступ к информации неправомочных лиц.
Административные ошибки (человеческий фактор) — неадекватный ввод

ü данных служащими, который может вызвать проблемы с сохранностью баз данных.

ü Технологические ошибки — системные сбои, вирусы, аппаратные или программные отказы, приводящие к искажению или потере данных.

ü Воровство. Компьютеры, представляющие материальную ценность, весь­ма уязвимы в этом отношении.

ü Физические проблемы, которые включают естественные бедствия (пожары, наводнения, землетрясения), падения напряжения и потерю связи. Организация, работающая с медицинскими базами данных, должна разра­ботать централизованную инструкцию защиты информации, где бы ясно дифференцировалась конфиденциальная и неконфиденциальная информа­ция. После обучения каждый пользователь системы должен знать, какая информация никогда не должна включаться в почтовое сообщение.

Помимо организационных мер защиты информации существуют техни­ческие.

Все более и более популярный подход — использование виртуальных част­ных сетей (virtualprivatenetworks, VPNs), которые создают безопасные за­шифрованные каналы передачи данных в сетях общего пользования (Ин­тернете и других).

Другой способ защиты — идентификация, то есть процесс подтверждения допуска в систему. Есть несколько методов идентификации.

ü Индивидуальная идентификация используется для персонального доступа. В роли идентификатора входа в систему, как правило, используется ин­дивидуальный пароль.

ü Идентификация на основе сети разрешает доступ, когда пользователь принадлежит к разрешенной сети (такой метод часто используется при коллективной подписке на доступ к информационным базам данных).

ü Биометрическая идентификация используют характеристики, которые яв­ляются уникальными у каждого человека: например, есть системы распо­знавания радужной оболочки глаза, системы голосового доступа и считы­ватели отпечатков пальцев.

За улучшениями в сфере здравоохранения стоят прежде всего технологии. Их использование способно повысить качество обслуживания пациентов и удешевить медицинские услуги. Кроме того, оно поможет людям лучше контролировать лечение, более легко взаимодействовать с медперсоналом и вносить свою лепту в разработку новых лекарств и методов терапии.

Однако по мере того, как больницы и лаборатории автоматизируют ведение историй болезни, клинические исследования и средства обработки изображений, обеспечение их информационной безопасности усложняется. Медицинские учреждения все чаще сталкиваются с киберугрозами, из-за которых данные пациентов могут попасть не в те руки.

Корень проблемы в том, что новые технологии в области здравоохранения, включая мобильные, генерируют огромные объемы информации. Попутно растет и вероятность утечки или кражи данных. Никогда еще информационная безопасность не была так важна для отрасли.

Зарождающиеся угрозы

Так как данные о здоровье очень привлекательны для киберпреступников, неудивительно, что за последние годы медицинские организации столкнулись с рядом масштабных и широко обсуждаемых утечек. Как показывает вышедший в мае 2016 года отчет PonemonInstitute о безопасности и приватности данных в области здравоохранения, хотя 2015 год стал худшим с точки зрения неправомочного раскрытия медицинских данных, большого прорыва в области обеспечения кибербезопасности не произошло.

Согласно исследованию, 89% опрошенных руководителей из мединдустрии признали, что их организация столкнулась хотя бы с одной утечкой за последние два года. Почти половина респондентов (45%) заявила, что в их учреждении случилось больше пяти утечек. В 2015 году только в США были поставлены под удар 112 млн записей медицинских данных. Также серьезной угрозой для отрасли стали атаки программ-вымогателей.

Специалистам по кибербезопасности в здравоохранении приходится несладко. Они находятся между двух огней: с одной стороны, им нужно упрощать и делать более прозрачным обмен медицинскими данными ради соответствия требованиям времени, с другой — внедрять средства защиты данных, устройств и сетей от утечек и хакерских атак.

Усложняет ситуацию то, что в эпоху цифровой медицины люди, которые не владеют даже базовыми понятиями об информационной безопасности, получают доступ к конфиденциальным данным пациентов. И в довершение всего ИТ-инфраструктуры медучреждений часто изобилуют уязвимостями.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2022-10-12 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Что такое ортодоксальный марксизм?

Что такое цифровой прототип?

Глава 3.Что такое успех?

История возникновения народной куклы

Обратная связь