Безпека даних в медичних ІС

Необхідність забезпечення цілісності, конфіденційності та доступності інформації в медичних установах є очевидною. Потреба в захисті рівною мірою стосується як інформації, що міститься у всіх інформаційних системах і передається мережею, так і тієї, що перебуває «поза кадром». Різноманіття інформації величезне, а її безпека має гарантуватись завжди, адже щодня з'являються нові повідомлення про зловживання та зломи. Разом зі складнішими проблемами, пов'язаними з соціотехнікою, проблеми захисту інформації вимагають від її власників постійно бути насторожі. Вторгнення, атаки, спрямовані на зрив обслуговування користувачів, незаконне розголошення інформації — «одвічні» загрози, протистояти яким мають ретельно продумані програми захисту даних. Йдеться як про внутрішні системи й процедури, так і про ті, що висвітлюються в Інтернеті.

З означених щойно причин органи охорони здоров'я мають дотримуватись базових принципів гарантування інформаційної безпеки:

·� використання інформації у відповідності з законодавством та виключно з тією метою, з якою вона надається;

·� зведення обсягів інформації до необхідного мінімуму;

·� повага до прав громадян або організацій, яких стосується інформація, що використовується;

·� своєчасне оновлення, забезпечення актуальності і достовірності інформації;

·� зберігання інформації лише доти, доки вона потрібна;

·� підтримка безпеки інформаційного середовища;

·� надання інформації іншим організаціям лише після надходження відповідних запитів та здійснення захисних заходів.

Природно, що в різних країнах у поняття «особиста інформація» вкладають різний зміст, що пояснюється відмінностями в демократичних традиціях і в балансі прав та обов'язків між громадянами і державою. У загальному випадку особиста інформація складається з об'єктивних та суб'єктивних відомостей.

Обмін інформацією в межах медичної установи, між медичною установою та віддаленими адресатами (іншими органами охорони здоров'я та зовнішніми організаціями) має бути надійно захищеним. Бажанню захистити потоки даних суперечить бажання застосовувати відкриті стандарти інтероперабельності, а також відкритість мережі Інтернет, що насичена вузькоспеціалізованими програмними рішеннями.

Одним із способів досягнення балансу між потребами у безпеці та відкритості є створення захищеної мережі лише для медичних установ. Такі мережі можуть використовувати переваги всіх стандартів та технологій Інтернету (TCP/IP, HTTP, XML тощо), водночас надаючи доступ та можливість отримання послуг закритій спільноті осіб, які мають високий рівень довіри. Захищена мережа медичної установи матиме спільний «кордон» з Інтернетом, організований так, що її користувачі мають змогу користуватися Інтернетом, не турбуючись про захист від вірусів, хакерських атак та ін.

Проте описаний підхід пов'язаний з потенційними труднощами: не всі зовнішні зацікавлені організації задовольнятимуть вимогам безпеки або матимуть пороговий ступінь довіри, а отже, вони будуть позбавлені інформації, якої потребують. Іншим, більш гнучким, методом є використання Інтернету як носія інформації з виокремленням віртуальної спільноти медиків за допомогою захищених посилань та спільного середовища автентифікації й авторизації. Таким методом може бути, наприклад, взаємна автентифікація надійних організацій за допомогою 128-бітного протоколу шифрування SSL або технологій VPN.

Ключовим міжнародним стандартом з безпеки інформації є розроблений Міжнародною організацією стандартів (International Standards Organization, ISO) стандарт ISO/IEC 17799:2000 — звіт правил і норм з управління безпекою в галузі інформаційних технологій.

Деякі заклади охорони здоров'я вже використовують цей стандарт у внутрішніх мережах і вимагають від постачальників його дотримання. Таке використання може стати моделлю і для інших медичних установ. Стандарт ISO/IEC 17799:2000 регламентує такі аспекти:

·� планування послідовності дій;

·� контроль за доступом до системи;

·� розробка та обслуговування систем;

·� фізичний захист інформації та захист інформації в мережах;

·� відповідність вимогам;

·� захист особистої інформації;

·� захист інформації, що належить організації;

·� управління комп'ютерним забезпеченням та мережами;

·� класифікація IT-активів та контроль за ними;

·� політика безпеки.

Ще одним важливим стандартом є так звані Загальні критерії (Common Criteria — СС) — розроблений за участі урядів, визнаний у всьому світі стандарт ISO в галузі оцінювання захищеності ІТ-продуктів та систем. Загальні критерії передбачають сертифікацію програмних продуктів незалежною акредитованою лабораторією з обов'язковим прискіпливим тестуванням і вивченням документації. У 2002 році Рада Європи закликала всі держави-члени ЄС просувати Загальні критерії та використовувати продукти, що відповідають визнаним стандартам.

В органах охорони здоров'я інформаційні системи відіграють усе важливішу роль. У світі, де більшість справ будь-якої організації ведеться в електронному вигляді, кожен простій або втрата даних мають дуже чутливі наслідки. Безпека — це повноцінний і життєво важливий компонент надання послуг. Загальновизнаний набір стандартів та підходів до гарантування безпеки забезпечує цілісність та доступність даних організації.

Рекомендована література

<== попередня сторінка	\|	наступна сторінка ==>
Огляд стандартів із захисту інформації	\|	Тема: 18-19-20. Логопедична робота з подолання оптико-просторових і графічних помилок та запобігання їм.

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.001 сек.