Статья "Обеспечение безопасности и конфиденциальности информации в медицинских организациях"

К ПРОБЛЕМЕ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И
КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В МЕДИЦИНСКИХ
ОРГАНИЗАЦИЯХ
Сулейманов Зураб Гаджиевич
студент
ФГБОУ ВО «Саратовский ГМУ им. В. И. Разумовского»
Научный руководитель: Романова Елена Викторовна
к.э.н., доцент
ФГБОУ ВО «Саратовский ГМУ им. В.И. Разумовского»
Аннотация: в статье рассматривается ряд аспектов проблемы обеспечения
информационной безопасности в медицинских информационных системах с
использованием интеллектуальных средств защиты.
Ключевые слова: информационная безопасность, конфиденциальность
информации, защита информации, медицинские информационные системы
(МИС), технология ИНТЕРИН.
ENSURING THE SECURITY AND CONFIDENTIALITY OF
INFORMATIONIN MEDICAL ORGANIZATIONS
Suleimanov Zurab Gadzhievich
Scientific adviser: Romanova Elena Viktorovna
Abstract: This article discusses the problems of providing information security
in medical information systems using intelligent security tools.
Keywords: information security, information protection, Medical Information
Systems (MIS).
С
развитием
и
совершенствованием
информационных
технологий
внутренние данные в медицинских организациях перешли на новый уровень
компьютеризации
и
получили
дальнейшее
развитие
в
медицинских
информационных системах (МИС).
Основные задачи при создании и внедрении МИС состоят в том, чтобы
улучшить доступность и качество медицинской помощи, сократить затраты на
ее предоставление при сохранении или улучшении результатов, повысить
эффективность работы медицинских организаций, привлекать граждан к
сохранению своего здоровья, обеспечить оперативное принятие управленческих
решений, а также поддерживать принятие врачебных решений и создавать
информационную базу для научно-исследовательской работы.
Ежедневно медицинские организации обрабатывают огромные объёмы
информации, в том числе персональные данные пациентов. Обрабатываемые
сведения носят высокий уровень значимости, так как, прежде всего, это сведения
о состоянии самочувствия клиентов медицинских заведений, их диагнозы,
способы реабилитации и методики лечения, истории болезней и иные сведения.
В связи с этим обеспечение информационной безопасности в медицинских
учреждениях является одной из главных проблем при разработке медицинских
информационных систем (МИС). Важно обратить внимание на сохранение
конфиденциальности данных о здоровье пациентов и процессе лечения,
хранящихся в МИС, а также на безопасность самой системы, включая коды
модулей, организацию хранения и обработки информации и содержимое
справочников. Обеспечение информационной безопасности включает защиту от
несанкционированного доступа, утраты и искажения данных.
Медицинская информация обладает особенностью конфиденциальности.
Права граждан на конфиденциальность информации о посещении врача и других
передаваемых сведениях при обращении за медицинской помощью оговорены в
федеральном законодательстве. База данных любой МИС содержит критически
важную информацию, от которой зависит жизнь человека, поэтому необходимо
обеспечить целостность базы данных и возможность контроля состояния и
безопасности системы.
С данной точки зрения, концепция информационной безопасности
медицинской информации основывается на трех векторах: конфиденциальности,
целостности и доступности данных. Уровень каждого из них влияет на
остальные, и стремление обеспечить легкий доступ пользователя к данным часто
приводит к жертвованию конфиденциальности и целостности. С другой стороны,
соблюдение конфиденциальности и целостности усложняет взаимодействие
пользователя с информацией. Повышение уровня безопасности требует
увеличения всех трех компонентов, что может отразиться на скорости и
надежности работы программного обеспечения. Простое следование правилам
ограниченного распространения информации может привести к коллапсу в
работе медицинской организации при ведении электронных историй болезни.
Концепция информационной безопасности МИС должна учитывать специфику
работы медицинской организации как системы массового обслуживания на
основе компромисса между различными факторами.
Для определения оптимального уровня информационной безопасности
МИС необходимо исследовать особенности медицинской информации, ее состав
и участников процесса обработки. Представляется важным отметить следующие
аспекты:
1. Медицинская информация является личной тайной пациента и полностью
находится в его распоряжении. Пациент имеет право свободно распоряжаться
этой информацией и передавать ее третьим лицам без ограничений.
2. Работа с медицинскими документами подчинена жесткому временнОму
регламенту, который направлен на своевременность оказания помощи
пациентам, сокращение продолжительности лечения, удовлетворение пациентов
оказываемой помощью, ускорение оборачиваемости койки и оптимальное
использование дорогостоящего
медицинского оборудования. Ухудшение
названных показателей по причине усиления режима конфиденциальности
информации может привести к ухудшению показателей может создать реальные
угрозы здоровью и даже жизни пациента, а также обусловить финансовые и
правовые риски медицинской организации.
3. Медицинская информация, в зависимости от ее содержания, может быть
разделена
на
несколько
фрагментов:
персональные
данные
пациента,
информация о его здоровье, рекомендации и назначения, информация о лечении,
статистические данные и др. Конфиденциальность информации возникает
только при объединении нескольких фрагментов данных, в то время как сами по
себе отдельные фрагменты медицинской информации не являются секретными.
Например, информацию о диагнозе, ходе заболевания и лечении можно
опубликовать в открытой печати, даже с учетом фрагментов персональных
данных, но без указания полного имени пациента.
4.
Чаще
всего
отдельные
фрагменты
медицинской
информации
обрабатывают различные сотрудники медицинского учреждения, такие как
регистратор, врач, диагност, медсестра, статистик, лаборант и прочие. Более того,
многие из этих фрагментов могут быть обработаны отдельно и не могут быть
однозначно ассоциированы с определенным человеком. Например, анализы и их
результаты могут быть связаны с номером медицинской карты, без
идентификации конкретного пациента.
Подобный подход широко используется в медицинских организациях и
относится к отдельным пациентам, которые стремятся сохранить свою
анонимность и конфиденциальность, особенно в случае пациентов с
инфекционными заболеваниями.
Развитие и оптимизация эффективности медицинских информационных
систем (МИС) обеспечивается за счёт предоставления пользователю доступа
лишь к тем разделам медицинской карты, которые касаются специфических
категорий данных, ему предназначенных. Это приводит к повышению
защищённости информации, поскольку разграничение полномочий уменьшает
вероятность неавторизованного использования данных.
Существующее
взаимодействие
между
врачами,
пациентами,
их
родственниками или законными представителями не до конца урегулировано
законодательно, особенно в отношении долга информирования о тяжёлых
заболеваниях. Неопределённость юридического аспекта этих взаимоотношений
указывает на сложность формализации таких дел и предполагает, что решение в
каждом случае должно оставаться за врачом. В МИС данная идея имеет
потенциал для развития и достижения более высокой эффективности. Благодаря
информационной системе каждый пользователь может получить свои
собственные полномочия для доступа к определенным разделам медицинской
карты, содержащим только соответствующие ему категории данных.
Организационные меры, программные и технические средства защиты
играют важную роль в обеспечении информационной безопасности МИС. К
числу основных направлений возможных нарушений следует отнести:
- нарушение конфиденциальности, которое может быть полным (когда
злоумышленник получает полный доступ к базе данных) либо частичным (когда
злоумышленник получает доступ к информации, которая не предназначена для
него);
- потеря данных, происходящая в результате разрушения носителей или
стирания информации при непосредственном доступе или через систему;
- несанкционированная модификация данных, которая может происходить
через систему или при непосредственном доступе к базе данных;
- отказ в предоставлении функциональности, вызванный повреждением
системы;
- некорректное функционирование системы из-за несанкционированного
изменения модулей системы.
Указанные аспекты формируют политику безопасности для МИС,
акцентируя внимание на важности надёжного управления и охраны медицинских
данных. По этой причине схема защиты данных должна предусматривать ряд
элементов среды функционирования МИС: режим допуска сотрудников в
медицинское учреждение; выделенные помещения под серверы Системы
управления базами данных (СУБД); возможности операционной системы по
разграничению прав доступа к файлам МИС; наличие и работоспособность
технических средств защиты информации от несанкционированного доступа;
возможности СУБД по санкционированию доступа к данным.
Следует также предусмотреть подсистему информационной безопасности
(ПИБ) МИС, включающую в себя общесистемные механизмы для тонкой
организации
санкционированного
доступа
к
фрагментам
медицинской
информации, к объектам и функционалу МИС, а также для контроля жизненного
цикла информации и целостности кода модулей МИС.
С целью обеспечения безопасности информационной инфраструктуры
субъектов и данных граждан необходимо проводить комплексные мероприятия
по физической и технической защите информации в медицинских организациях
и непосредственно МИС. Главная цель при этом состоит в ограничении доступа
к конфиденциальным данным, обеспечении их целостности и достоверности при
работе с уязвимой информацией.
Для
компаний
обеспечения
и
безопасности
организаций
информационной
используются
правовые,
инфраструктуры
организационные,
программно-аппаратные, инженерно-технические и криптографические методы
защиты.
Среди
программно-технических
средств
защиты
от
утечки
конфиденциальной информации включаются штатные средства защиты
информационных систем, межсетевые экраны, фильтрующие трафик при
передаче из внутренней сети предприятия во внешний сетевой контур. Также
используются системы контроля и предупреждения утечки информации (Data
Loss Prevention), которые позволяют отслеживать работу с защищаемой
информацией
и
определять
ее
передачу.
Для
обнаружения
несанкционированного доступа и попыток атаки на защищаемый ресурс
используются системы обнаружения вторжений (Intrusion Detection System).
Кроме того, активные средства защиты, такие как системы предотвращения
вторжений (Intrusion Prevention System), способны реагировать на вторжение
разрывом соединения или блокировкой трафика злоумышленника и т.п.
Необходимо отметить и важность организационных мер защиты данных
пациентов, которые реализуются за счет выполнения персоналом МИС ряда
регламентов, связанных с системой. К числу организационных мероприятий
относятся: запрет на несанкционированный доступ посторонних лиц на
территорию и в помещения, ограничение прав доступа персонала к информации;
регламентация процессов работы с документацией и документированной
информацией; регулирование использования технических средств для сбора,
обработки, хранения и накопления конфиденциальной информации; регулярный
анализ внутренних
постоянный
и
контроль
внешних
за
угроз конфиденциальной
обращением
персонала
с
информации;
конфиденциальной
информацией.
Представляется, что данный комплекс мероприятий по организации
информационной безопасности систем позволит обеспечить приемлемый
уровень
информационной
защиты
без
существенных
ограничений
пользователей МИС в их действиях.
Повышение
информационной
безопасности
функционирования
медицинских информационных требует проведения комплексных мероприятий
с использованием сложных технических устройств. Необходимостью становится
возможность правильно оценивать степень риска утечки информации, а также
«вторичные» риски, создаваемые интеллектуальными автоматизированными
системами защиты от угроз информационной безопасности. Важно постоянно
анализировать эффективность информационной защиты и совершенствовать
методику ее проведения.
Список литературы
1. Вострецова В.Е. Основы информационной безопасности. Екатеринбург,
2019.
2. Горбунов П.А., Фохт И.А. Проблемы информационной безопасности в
медицинских
информационных
системах
−
теоретические
решения
и
практические разработки. Программные системы: теория и приложения / под ред.
С.М. Абрамова: в 2 т. М., 2006. Т. 1. С.107-112.
3. Курбанов Р.Д., Тригулова Р.Х., Ахмедов Д.Д. и др. Основные
направления стандартизации в медицинской информатике // Евразийский
кардиологический журнал. 2019. № 2. С. 54-59.
4.
Миронова
Н.Г.
Философское
осмысление
социальных
рисков
интеллектуальной автоматизации социального управления // Цифровой ученый:
лаборатория философа. 2021. Т. 4. № 2. С. 125-144.
5. Монаков Д.М., Алтунин Д.В. Медицинские информационные системы:
современные реалии и перспективы // Российский журнал телемедицины и
электронного здравоохранения. 2022. № 4. С. 46-53.
6.
Назаренко
Г.И.,
Гулиев
Я.И.,
Ермаков
Д.Е.
Медицинские
информационные системы: теория и практика / под ред. Г.И. Назаренко, Г.С.
Осипова. М., 2005.
7. Полиданов М.А., Щербакова И.В. Ключевые факторы успеха
медицинской организации: взгляд будущих медицинских работников //
Современные технологии управления. 2020. № 2 (92). С. 6-11.
8.
Савельева
К.Е.
История
развития
отечественных
медицинских
информационных систем // Научный дебют 2023: материалы IV Междунар.
науч.-исслед. конкурса. М.: Новая наука, 2023.
9. Тупикин Д.В., Щербакова И.В. Методика преподавания основ работы с
медицинской базой знаний в Малой Экспертной системе версии 2.0 // Вестник
педагогических инноваций. 2020. № 2 (58). С. 107-119.
10. Хрулева М.В. Телемедицина и интернет в сфере здравоохранения //
Студент года 2023: материалы II Междунар. учеб.-исслед. конкурса. М., 2023.
11. Шеметова Г.Н., Беляев Ю.Н., Ведяева Е.С. и др. Амбулаторный прием
терапевта/врача общей практики в условиях цифровой медицины: учебное
пособие / под ред. проф. Г.Н. Шеметовой. Саратов, 2022.
12. Ширяева П.О. Основные проблемы современного этапа цифровизации в
здравоохранении // Молодежный научный форум: сборник статей по материалам
CCXI студенческой междунар. науч.-практ. конференции. М., 2023. С. 36-38.
© З.Г. Сулейманов, 2023