Целью работы является исследование организационно-правовой базы построения защищенных медицинских информационных систем (МИС). Информатизация системы здравоохранения в России в последние годы привела к созданию большого числа прикладных МИС в рамках нацпроекта «Здоровье» и реализации региональных пилотных проектов. Ежегодно подводятся итоги конкурса «Лучшая медицинская информационная система» [1]. Анализ ряда российских МИС показывает, разработчики в основном решают прикладные задачи диагностики, отчетности, ведения регистров и справочников, мало уделяя внимание вопросам защиты информации. Информация, хранимая в МИС, входит в перечень сведений конфиденциального характера [2], и поэтому требует применения мер по ее защите, что весьма актуально при интеграции МИС федерального и регионального уровней, развития телемедицины [3] и внедрения электронных карточек здоровья, как носителей персональных данных (ПД) субъектов [4]. Специфика медицинской информации и общие требования к построению систем хранения обработки и передачи медицинских данных отражены в международных [4-6] и российских стандартах [7]. При создании МИС необходимо руководствоваться федеральными законами [8-11] и стандартами в сфере информационных технологий [12-15]. Реализация требований по защите информации целиком возлагается на разработчиков МИС и средств защиты информации.
Архитектура безопасности МИС представляет собой комплекс средств защиты информации на аппаратном, программном и организационном уровнях с учетом моделей угроз безопасности [12]. Организационный уровень предполагает наличие в учреждении: утвержденной руководителем политики безопасности; должностного лица или структурного подразделения, ответственных за обеспечение безопасности ПД; перечня защищаемых информационных ресурсов и режима безопасности; утвержденного списка лиц, имеющих доступ на обработку ПД согласно должностным обязанностям. Здесь должно быть обеспечено: оперативное обнаружение фактов несанкционированного доступа; охрана технических средств обработки информации; восстановление данных при их утере; аудит безопасности; заключение о вводе в эксплуатацию системы защиты информации; обучение персонала [11]. Аппаратный уровень определяет комплекс технических средств защиты от воздействий внешней среды, перебоев в подаче электроэнергии, несанкционированных подключений к сети, резервирования дисковых массивов с важной информацией, защищенной сегментации сети, контроля внешнего доступа через межсетевые экраны [13]. Программный уровень включает антивирусные средства, firewalls, аутентификацию пользователей, защиту документов электронной цифровой подписью [9], шифрование данных [15] и авторизацию доступа к сетевым ресурсам и базам данных.
СПИСОК ЛИТЕРАТУРЫ
- http://www.itm.consef.ru/ - Материалы ежегодной всероссийской специализированной конференции «Информационные технологии в медицине».
- Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» №188 от 06.03.1997 (в ред. Указа Президента РФ от 23.09.2005 N 1111).
- Концепция развития телемедицинских технологий в Российской Федерации. Приказ Минздрава РФ и РАМН от 27.08.01 № 344/76.
- ENV 13606:1999 (Part 1-4). Health Informatics. Electronic Healthcare record communication.
- ENV 12443:1996. Medical Informatics. Healthcare Information Framework.
- ENV 13608:1999 (Part 1-3). Health Informatics. Security for Healthcare communication.
- Информационные системы в здравоохранении. ОСТ 91500.01.0007.
- Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных».
- Федеральный закон №1-ФЗ от 10.01.2002 «Об электронной цифровой подписи».
- Федеральный закон №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации».
- Постановление Правительства РФ №781 от 10.11.2007 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
- ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
- ГОСТ Р ИСО/МЭК 13335-2007 (Части 1 - 5). Информационная технология. Методы и средства обеспечения безопасности.
- ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации.