Информационная безопасность: ИТ в медицине

305

При использовании электронного документооборота в медицинском учреждении важно помнить о том, что применение ИТ в медицине должно совмещаться со строгим соблюдением врачебной тайны. Это обстоятельство обуславливает высокие требования к информационной безопасности.

ИТ в медицине: МИС, СМИБ и основные стандарты

Компьютерная техника, применяющаяся в современных медицинских организациях, соединяется сетью, формирующей единое внутреннее информационное пространство. Совокупность программных комплексов, создающих это пространство и оборудования, нужного для работы программ и хранения информационных массивов, называется медицинской информационной системой, или МИС.

В медицинской организации МИС – это своего рода нервная система, обеспечивающая взаимодействие всех подразделений и специалистов и своевременную реакцию на любые события, связанные с рабочим процессом.

Как и в любых других информационных системах, важнейшей характеристикой МИС является уровень надежности хранения данных и информационная безопасность. Обеспечить и то, и другое помогают СМИБ – системы менеджмента информационной безопасности. Внедрение этих систем должно осуществляться с соблюдением стандарта ГОСТ Р ИСО МЭК 27001-2006. Этот российский стандарт соответствует ISO 27001, более известному международному стандарту информационной безопасности. 

Один из вариантов построения системы менеджмента информационной безопасности показан на рисунке:

смиб_рис_1

Прямоугольниками на этой схеме изображены блоки, то есть основные составляющие СМИБ.

Читайте бесплатно в системе «Экономика ЛПУ»:

Блоки системы менеджмента информационной безопасности

  1. Управление. В этот блок объединены разделы
  • действия руководителей по анализу СМИБ;
  • управление документооборотом;
  • проведение внутреннего аудита системы;
  • действия по постоянному улучшению работы системы;
  • управление ресурсами.

При практическом воспроизведении этой части СМИБ нужно изучить предъявляемые стандартом требования, установить, в каком направлении организация будет использовать данный стандарт.

Определив главную цель, преследуемую при создании МИС, можно распределить в СМИБ полномочия и функциональные обязанности, задать четкую структуру. 

  1. Определение направлений защиты. В этом блоке происходит включение в СМИБ наиболее важных ее функций. Перечень этих функций и их особенности зависят от политики, которой намерено придерживаться руководство медицинской организации в сфере информационной безопасности. При формировании этого блока СМИБ необходимо дать оценку различным методам управления активами, а также составить исчерпывающий перечень этих активов. Одновременно оцениваются возможности утечки конфиденциальной информации из-за потенциальных ошибок, или потенциальных злонамеренных действий сотрудников медицинской организации. На основании этой оценки можно выстроить систему доступа к базам данных и компьютерным сетям. Кроме того, нужно продумать и схему действий на случай возникновения различных инцидентов. Эта схема формируется инструментами и методами управления, а ее основная цель – обеспечение работы МИС и медицинской организации в целом в непрерывном режиме.
  2. Реализация мер защиты. Как видно на схеме, в этот блок входит четыре основных раздела:
  • аппаратные меры;
  • программные меры;
  • организационные меры;
  • учебные мероприятия.

Содержание каждого из разделов раскрыто на схеме. Стоит дополнить, что учебные мероприятия должны проводиться внутри медицинской организации теми сотрудниками, которые ранее сами были обучены менеджменту в сфере инцидентов информационной безопасности и владеют по крайней мере основами безопасной работы в компьютерных сетях.

Обозначение PDCA на схеме – это аббревиатура, образованная начальными буквами слов «Plan», «Do», «Check», «Act», что в рассматриваемом контексте обозначает планирование, выполнение, проверку и корректировку.

Следует отметить, что под выполнением подразумевается также и обучение персонала.

Аудит системы менеджмента информационной безопасности

Основным инструментом проведения аудита СМИБ является опросный лист. Каждый из вопросов, включенных в этот лист, предусмотрен стандартом ISO 27001. При заполнении опросного листа требуется документальное подтверждение ответов.

Перечень вопросов, внесенных в опросный лист, выглядит следующим образом:

  1. Внесены ли представляющие ценность для ЛПУ активы в опись, установлено ли, кто именно владеет этими активами?
  2. Проведена ли по отношению к активам идентификация угроз?
  3. Проведена ли по отношению к активам идентификация уязвимостей (именно на них воздействуют потенциальные угрозы).
  4. Дана ли точная оценка того, что произойдет с активами в случае нарушения доступа к ним, нарушения их целостности, либо появления возможности несанкционированного доступа к ним?

Эти четыре вопроса можно также выделить в группу «Идентификация рисков».

  1. Доступ к активам и их целостность могут быть нарушены, кроме того, может появиться возможность несанкционированного доступа к активам в результате сбоя системы безопасности. При этом организация понесет определенный ущерб. Оценен ли этот ущерб количественно?
  2. Оценена ли вероятность выхода из строя системы безопасности? При ответе на этот вопрос нужно учитывать наиболее возможные угрозы и наиболее серьезные уязвимости, а также оценивать последствия, которые могут возникнуть в результате реализации угроз. Кроме того, учитываются и меры по управлению инцидентами информационной безопасности.
  3. Оценены ли уровни рисков?
  4. Проведена ли оценка уже известных рисков по критерию их приемлемости и неприемлимости?
  5. По каждому из рисков может быть проведена различная обработка. Это может избежание риска, принятие его, или передача, а также другие управленческие меры. Составлен ли перечень этих мер и проведена ли для каждого из случаев соответствующая оценка?
  6. При обработке рисков требуется выбирать меры управления и цель управления. Делается ли это?
  7. Если имеются остаточные риски, утверждены ли они руководством медицинской организации?
  8. Работа СМИБ и меры АО по ее внедрению делаются с разрешения руководства ЛПУ?
  9. Зафиксированы ли меры по обработке рисков в «Положении о применимости»?

Читайте также в журнале «Здравоохранение»

Вопросы с 5-го по 13-й можно объединить в группу «Анализ и оценка рисков информационной безопасности»

  1. При управлении рисками необходимо установить систему приоритетов, распределить обязанности и ресурсы, а также запланировать определенные действия руководителей ЛПУ. Создан ли соответствующий план и оформлен ли он в виде документа?
  2. Предприняты ли меры по реализации плана обработки рисков, обеспечено ли при этом необходимое финансирование, распределены ли обязанности и соответствующие функции?
  3. Безопасность при работе с информацией обеспечивается соблюдением соответствующих правил. Сформулированы ли эти правила, закреплены ли они документально и происходит ли их практическое выполнение?

Вопросы с 14-го по 16-й можно объединить в группу «Внедрение и функционирование системы менеджмента информационной безопасности».

  1. Если при обработке информации происходят ошибки, важно их выявить своевременно. Для этого необходимо проведение аналитических мероприятий и мониторинга. Проводятся ли такие мероприятия?
  2. Инциденты информационной безопасности, в том числе нарушения правил доступа к данным (как состоявшиеся, так и неудачные), следует классифицировать по их типам, определять стоимость и объем каждого нарушения и вести регистрацию подобных эпизодов. Для этого, как и для мониторинга нарушений, необходимы определенные механизмы. Введены ли эти механизмы в СМИБ?
  3.   Действуют ли механизмы мониторинга, регистрации и анализа нарушений информационной безопасности, и дают ли они надлежащий эффект?
  4. Анализируются ли остаточные риски, а также уровни приемлемости рисков? Проводится ли периодическая переоценка рисков? Основой для анализа и переоценки должны являться результаты уже осуществленного управления рисками, изменение методов и целей СМИБ, внедрение новых технологий и пересмотр организации СМИБ.
  5.  Осуществляется ли регистрация событий и действий, которые могут изменить результаты действия СМИБ или привести к ее нефункциональности?

Вопросы с 15-го по 21-й можно объединить в группу «Проведение анализа и мониторинга системы менеджмента информационной безопасности».

  1. Цели, которых необходимо добиться в сфере информационной безопасности, а также Политика информационной безопасности, должны быть рассмотрены руководством и затем утверждены. Созданы ли соответствующие документы и получили ли они утверждение?
  2.  Оценивать риски в сфере информационной безопасности следует в соответствии с определенным методом. Описан ли этот метод?
  3. Оценка рисков должна быть закреплена в отчете. Есть ли этот отчет?
  4. Для доступа к данным требуется авторизация, осуществляемая в соответствии с определенными формами. Имеются ли такие формы и заполнены ли они?
  5. Управление процессами СМИБ, внедрение этих процессов, оценивание итогов управленческих мер и планирование должно осуществляться в соответствии с определенными процедурами. Разработаны ли эти процедуры и закреплены ли они в документах?
  6. Дано ли определение приемлемых уровней риска, выработаны ли критерии, при выполнении которых риск может быть принят?

Вопросы с 22-го по 27-й можно объединить в группу «Требования к документации системы менеджмента информационной безопасности».

  1. При выполнении вспомогательных услуг могут возникать неисправности, воздействующие на оборудование. Кроме того, на него может воздействовать и аварийное прекращение подачи электричества. Имеется ли защита от подобных воздействий?
  2. Различные внешние факторы, как спровоцированные человеческой деятельностью, так и природные, могут нанести физические повреждения как оборудованию, так и самим помещениям. Это различные беспорядки, наводнения, пожары, взрывы, землетрясения и т.д. Осуществлена ли разработка требований на каждый из подобных случаев и реализованы ли эти требования?
  3. Информация может быть передана по кабельным сетям и при помощи радиоканалов. Имеется ли защита этих коммуникаций от попыток перехвата сообщений?
  4. Целостность и исправность оборудования требует проведения периодических сервисных работ и профилактики. Проводятся ли эти мероприятия?
  5.  При обработке информации применяются специальные операционные процедуры. Доступны ли они для авторизованных пользователей и осуществляется ли документирование этих процедур?
  6. Если передача информации проводится в режиме реального времени, могут возникать случаи повтора одних и тех же сообщений, передачи информации в неполном виде, искажения информации, нарушений в маршрутизации, нарушений правил доступа к информации. Предприняты ли меры защиты в этом направлении?
  7. При осуществлении контрольных мероприятий, аудите и расследовании различных инцидентов в сфере информационной безопасности используются специальные журналы, в которых регистрируются все действия, совершенные пользователями, а также все нештатные ситуации. Ведутся ли такие журналы и обеспечивается ли их хранение?
  8.  Вносятся ли действия, совершаемые системным оператором и системным администратором, в регистрационный журнал?
  9. Анализируются ли сбои, происходит ли их регистрация?
  10. Использован ли общий для всех источник точного времени для синхронизации часов на каждом из элементов МИС, используемой в ЛПУ?
  11. Разработана ли единая Политика, применяемая при контроле доступа и зафиксирована ли она в документе?
  12.  Доступ к базе данных, информационной системе в целом и выполнению различных действий должен происходить при регистрации пользователя. Если учетная запись пользователя удаляется, аннулируется и доступ. Формализованы ли необходимые для этого регистрационные процедуры?
  13. Выдача паролей пользователям также должна осуществляться в рамках определенной процедуры. Формализована ли она?
  14. Формализована ли процедура по изменению уровня доступа и полномочий пользователей МИС?
  15. Выполняется ли при удаленном доступе в МИС процедура аутентификации?
  16. В случае аварийного прекращения критических процессов обработки информации в МИС необходимо возвратить доступ к информации и восстановить работоспособность в кратчайшие сроки. Разрабатываются ли планы нужных для этого мероприятий?

Вопросы с 28-го по 43-й можно объединить в группу «Меры управления информационной безопасностью».

После того, как ответы на все поставленные вопросы будут получены, можно будет сделать однозначные выводы о том, чего не хватает в системе менеджмента информационной безопасности, что нужно в нее добавить, а что – усовершенствовать. Поможет аудит и в устранении угроз во всем их спектре.

Ориентироваться при этом нужно на требования стандарта. Оценку полученным результатам дает руководство ЛПУ, а информация о результатах доводится до сотрудников, ответственных за обеспечение информационной безопасности для последующего устранения выявленных недостатков.

С другой стороны, итоги аудита могут впоследствии изучаться и в других медицинских организациях, если достигнут высокий уровень информационной безопасности.



Ваша персональная подборка

    Подписка на статьи

    Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

    Рекомендации по теме

    Мероприятия

    Мероприятия

    Повышаем квалификацию

    Посмотреть

    Самое выгодное предложение

    Самое выгодное предложение

    Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

    Живое общение с редакцией

    А еще...






    Наши продукты




















    © МЦФЭР, 2006 – 2017. Все права защищены.

    Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

    Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
    Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009

    
    • Мы в соцсетях
    Сайт предназначен для медицинских работников!

    Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — журнал в формате pdf

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Сайт предназначен для медицинских работников!

    Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×
    Сайт предназначен для медицинских работников!

    Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×
    Сайт предназначен для медицинских работников!

    Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль