Методы обеспечения информационной безопасности АРМа врача - специалиста.
В этом разделе мы прежде всего обращаемся к Федеральному закону №24-ФЗ от 20 февраля 1995 года «Об информации, информатизации и защите информации». Этот закон регулирует отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Сказанное имеет прямое отношение к процессу организации автоматизированных рабочих мест врачей - специалистов, сути информационного их обеспечения. Информация АРМа врача это прежде всего конфиденциальная персонифицированная медицинская информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации в части защиты прав граждан России.
Документы, получаемые в режиме эксплуатации АРМа врача, приобретают юридическую силу после их подписания врачом. Теперь, как сказано выше, подобная подпись может быть не только обычной рукописной, а также и электронной цифровой подписью. Причем это же касается и документов, передаваемых с помощью телекоммуникационных систем и сетей. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе (учреждения, отдельного рабочего места) программно - технических средств, обеспечивающих идентификацию подписи, и соблюдения установленного режима их использования.
В пункте 3 статьи 11 ФЗ №24 сказано, что «юридические и физические лица, в соответствии со своими полномочиями, владеющие информацией о гражданах, получающие и использующие её, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты обработки и порядка использования этой информации».
Следовательно, заботясь о совершенствовании информационного обеспечения врача посредством создания его АРМа, мы не должны упускать из вида вопросы защиты информации в случае автоматизации рабочего места врача, появления в распоряжении врача новых технических средств и возможностей.Целями же защиты информации в соответствии со статьей 20 являются: предотвращение утечки, хищения, утраты (уничтожения), искажения, подделки информации и блокирования информации. Сюда же относится защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных медицинских данных, имеющихся в АРМах врача и АИС медицинского учреждения в целом.
Для решения проблем информационной безопасности АРМа врача важное требование выставлено статьей 19 Федерального Закона «Об информации, информатизации и защите информации» в пункте 1, где сказано, что «информационная система (а, следовательно, и АРМ врача), базы и банки данных, предназначенные для информационного обслуживания граждан и организаций подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».
А далее в статье 22 (пункт 3) четко определено, что «Риск, связанный с использованием несертифи- цированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств» (следовательно, на медицинском учреждении, купившем или создавшем эти системьґ). «Риск, связанный с использованием информации, полученной из несертифицированной системы лежит на потребителе информации» (то есть, в нашем случае, на враче, работающем с АРМом).
Вопрос защиты информации настолько важен, что Президент Российской Федерации В.В.Путин 9 сентября 2000 года утвердил специальный документ под названием: «Доктрина информационной
безопасности Российской Федерации». Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. В этом документе выделены роль и значимость развития и внедрения современных информационных технологий.
Большое внимание в своей работе по информатизации больницы мы уделяем вопросам информационной безопасности. При этом, при наличии развитой локальной компьютерной сети, как в ГКБ №1 г.Толятти, создание системы защиты потребовало проведения комплекса мер, направленных на профилактику, выявление и ликвидацию (в случае необходимости) различных видов угроз. Среди этих мер: предупреждение хищения технических средств (винчестеров, системных блоков), носителей информации (бумажных, магнитных, оптических и пр.), собственно информации (чтение и несанкционированное копирование), средств доступа (ключи, пароли, базовая документация и пр.).
Возможность подмены операционной системы, системы управления базами данных, прикладных программ, паролей и правил доступа исключена организацией ведения этих систем и делегирования персональной ответственности конкретному лицу - администратору автоматизированной информационной системы больницы.
Проводимая периодически профилактика
работоспособности технических средств снимает угрозу нарушений их нормальной работы, включая средства обработки информации, средства связи и телекоммуникаций, старение и потерю свойств носителей информации и др.
Проводя эту работу, мы пришли к выводу, что для обеспечения информационной безопасности АРМ врачей медицинского учреждения необходимо использование, как минимум, следующих трёх основных методов:
- организационных;
- инженерно-технических;
- программно - аппаратных.
Организационные методы в основном ориентированы на: работу с персоналом ЛПУ, выбор месторасположения объектов корпоративной сети (включая АРМы специалистов); организацию системы противопожарной защиты; возложение персональной ответственности за выполнение мер защиты. Эти методы не только применяются для защиты информации и уже во многом реализованы нами на практике в условиях МУЗ ПСБ №1 г. Тольятти, но их применение даёт значительный позитивный эффект для деятельности больницы в целом.
Инженерно - технические методы связаны с построением оптимальных сетей инженерных коммуникаций с учетом требований безопасности информации, резервированием информационных ресурсов, средств и каналов связи.
Программно - аппаратные методы в основном нацелены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Каждый пользователь (медицинский работник ЛПУ) имеет авторизованный доступ и свой пароль на право (уровень) доступа к информации общебольничной базы данных или её отдельным предметным областям информации (финансовой, экономической, медицинской, статистической информации и др.).
Режим шифрования информации в аспекте её безопасности, описанный в разделе 5.2., реализован в условиях внедренного нами программного комплекса АИС больницы. Для достижения необходимого уровня защиты информации разработаны дополнительные программные средства типа «электронный замок ПЭВМ» и строгого протоколирования событий.
Учитывая, что нами решаются вопросы подключения локальной сети больницы к глобальной сети Интернет, с позиций безопасности информационных ресурсов прорабатывается задача применения специальных межсетевых экранов (firewall). Не забывается также необходимость использования таких защитных средств, как антивирусные программные продукты, в частности, широко известной на российском рынке отечественной антивирусной системы Kaspersky Antivirus.
Без названных выше методов невозможно
построение целостной комплексной системы информационной безопасности. Наибольший эффект, при этом, достигается при применении совокупности организационных и программно - аппаратных методов защиты.
Но одно не следует забывать при создании такой системы - она не должна мешать основному процессу работы АРМов врачей, АИС больницы. Иными словами, не надо вводить запреты («на всякий случай») там, где без них можно спокойно обойтись, а вводя их - стремиться минимизировать неудобства пользователя в связи с этим действием. То есть система защиты информации должна работать в «фоновом» режиме, быть незаметной и не мешать пользователям в основной работе, но при этом выполнять все возложенные на неё функции.
При построении своей системы комплексной защиты информации мы всегда помнили, что устранение последствий потери информации, её несанкционированного использования и пр., потребует впоследствии значительных финансовых, временных и материальных затрат (возможно гораздо больших, чем на создание надёжной системы её защиты).
Однако эта комплексная система защиты информации должна быть адекватна вероятности возникновения угроз безопасности информации, степени её конфиденциальности и величине её коммерческой стоимости.Ещё одно важное заключение мы пытались не
упустить из вида - оборудовать действующую незащищенную корпоративную сеть средствами защиты информации сложнее и дороже, чем изначально спроектировать и построить её в защищенном варианте.
Таким образом, обеспечение информационной безопасности становится проблемой, которую нельзя игнорировать, причем одномоментно она не решается. Здесь требуется комплексный и всесторонний подход, точный анализ и обширная системно - техническая работа по созданию и реализации мер защиты, гарантирующих круглосуточную, безотказную и эффективную работу всех элементов АРМа врача и безопасность его информационных ресурсов, как впрочем, и АИС больницы в целом.