Защита информационной инфраструктуры медицинского учреждения

267
Защита информационной инфраструктуры медицинского учреждения

"…В соответствии с действующей нормативно-правовой базой именно организация – оператор персональных данных несет ответственность за защиту данных пациента. В масштабах страны организован контроль за аттестацией систем обработки персональных данных, что делает весьма актуальной задачу проектирования медицинских информационных систем сразу в защищенном исполнении и на основе сертифицированных средств защиты информации.

К рабочим местам специалистов в медицинских учреждениях предъявляются специфические требования.

  1. Простота эксплуатации…
  2. Специализация. Унифицированные рабочие места должны “подстраиваться” под разные условия использования: клинико-диагностические лаборатории, кабинеты функциональной диагностики, регистратуры, рабочие места врачей-специалистов и т.д.
  3. Централизация – обеспечение доступа к ресурсам из любой точки системы...
  4. Надежность…
  5. Мультимедийность – одновременное воспроизведение визуальной, звуковой и прочей информации…
  6. Персонализация – свойства рабочей среды должны соответствовать функционалу специалиста, использующего ее.
  7. Сервисопригодность решения – комплекс требований, выполнение которых обеспечивает возможность технического обслуживания средств информатизации в режиме услуги, предоставляемой преимущественно дистанционно внешним по отношению к ЛПУ подразделением или эксплуатационной организацией.
  8. Соблюдение требований информационной безопасности в соответствии с действующим законодательством Российской Федерации.

Защита информационной инфраструктуры медицинского учреждения

С соблюдениями всех перечисленных требований была разработана защищенная инфраструктура, в которой могут работать медицинские информационные системы (далее – МИС).

Информационным ядром архитектуры является центр обработки данных (далее – ЦОД), в котором располагаются серверы медицинских приложений, а также элементы инфраструктуры доступа и безопасности. Централизация медицинских программ и данных обеспечивает их повсеместную доступность с различных рабочих мест, надежное хранение, возможность перераспределения ресурсов системы пропорционально запросам пользователей и значительную экономию средств при эксплуатации системы. Для работы пользователей в системе применяется технология среды построения доверенного сеанса (далее – СПДС).

Необходимость применения технологии доверенного сеанса продиктована тем, что при доступе в медицинскую информационную систему со стационарного компьютера в кабинете врача практически невозможно обеспечить защиту информации:

  • при посменной работе специалистов на одном и том же рабочем месте исчезает “хозяин”, ответственный за его состояние;
  • большой поток посетителей и персонала, ежедневно проходящий через кабинет, несет неконтролируемые угрозы;
  • возможна компрометация рабочего места за счет вирусопоражения при установлении посторонних сетевых соединений и т.п.;
  • не исключено безответственное поведение персонала (по окончании смены не завершают сеанс, оставляют кабинет открытым и пр.);
  • отсутствие у медицинского персонала компетенций, необходимых для эксплуатации защищенной информационной системы и средств криптографии, создает дополнительные угрозы информационной безопасности системы.

Устранить эти угрозы можно следующим образом. Каждое рабочее место оснащается унифицированным оборудованием. Оптимальный выбор – бездисковая рабочая станция, исключающая загрузку любой операционной среды, кроме СПДС. Нарушитель безопасности, например случайный посетитель, не может ее как-либо атаковать, потому что не сможет ее загрузить, а даже если бы смог – то не нашел бы в ней информационных объектов для атаки.

“Личное” информационное наполнение каждого рабочего места каждый специалист носит с собой на специальном защищенном USB-носителе. Придя на работу, специалист устанавливает носитель СПДС в USB-порт, вводит уникальную комбинацию символов (PIN-код) и загружает персональную среду функционирования – операционную систему, специально подготовленную и снабженную криптографическими средствами для аутентификации, защиты данных и защиты канала связи.


Важно! Носитель СПДС защищен от хищения и неправомерного использования посторонними лицами. При пятикратном введении неверного PIN-кода устройство блокируется

При этом для каждого специалиста выпускается индивидуальный носитель, содержащий его “личный” состав приложений. Тем самым для каждого пользователя создается персонализированная рабочая среда. Состав приложений будет различным, например, для сотрудника регистратуры и для врача-специалиста.

Рабочее место врача-терапевта может отличаться от рабочего места врача-хирурга. В то же время врач-терапевт, работая временно в кабинете врача-хирурга, получит на “чужой” рабочей станции свой личный состав приложений.


Важно! Среда сохраняет свое состояние между сеансами: при входе в систему ее состояние то же, что и при завершении работы в предыдущем сеансе

...В основе всех средств защиты СПДС –сертифицированные российские криптографические алгоритмы, рекомендованные к применению в информационных системах обработки персональных данных до высшего класса К1 включительно…

Эта функциональность обеспечивает возможность разделения полномочий между разными организациями. Так, одна компания может отвечать за функционирование ЦОД, а другая (например, специализированный сервис-провайдер) предоставлять услуги защищенной связи, поддержки жизненного цикла ключевых документов, управления и мониторинга, подготовки и сопровождения парка используемого оборудования (бездисковые рабочие станции, продукты СПДС).

Сервисная модель экономически эффективна, она снимает с медицинского учреждения нагрузку по содержанию оборудования и избыточного персонала эксплуатации, а также избавляет от необходимости получения лицензии ФСБ России на услуги по шифрованию данных".

Статья приведена с сокращениями, полная версия статьи в журнале «Здравоохранение №7 июль 2012»



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Интервью

Врачей обяжут сообщать о потенциальных донорах

Врачей обяжут сообщать о потенциальных донорах

Алексей ПИНЧУК: журналу «Здравоохранение». Главные темы беседы – изменение правового поля донорства в России


Рассылка




Наши продукты




















© МЦФЭР, 2006 – 2016. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×