Информационная безопасность учреждений здравоохранения

«Чтобы при лечении – а также и без лечения – я не увидел

или не услышал касательно жизни людской из того,

что не следует когда-либо разглашать, я умолчу о том,

считая подобные вещи тайной»

Отрывок из Клятвы Гиппократа

В медицинских учреждениях обрабатываются значительные объемы конфиденциальной информации, содержащей как персональные данные работников и пациентов, так и врачебную тайну, что, в свою очередь, делает необходимым обеспечение высокого уровня защищенности медицинских информационных систем

В настоящее время в России проходит активная информатизация российских учреждений здравоохранения, обозначен плановый переход к комплексной автоматизации медицинской деятельности, объединению разнородных медицинских информационных систем в единое информационное пространство, внедрению технологий электронной записи к врачу и единых электронных медицинских карт пациента.

Базовая информатизация учреждений здравоохранения осуществляется в соответствии с Концепцией создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ).

В рамках ЕГИСЗ ведутся работы по оснащению медицинских учреждений компьютерным, телекоммуникационным оборудованием и средствами информационной безопасности, созданию региональных программ модернизации здравоохранения, стандартов информационного обмена в пределах системы, требований к медицинским информационным системам, созданию федерального центра обработки данных с общесистемными и прикладными компонентами.

Автоматизация деятельности медицинского учреждения требует внедрения информационно-телекоммуникационных технологий в сферу выполнения как управленческих, так и технологических функций, независимо от профиля и размера учреждения. Можно выделить два основных подхода к автоматизации деятельности медицинского учреждения:

· Для небольших учреждений здравоохранения целесообразно использование возможностей региональных центров обработки данных, так как предъявляются меньшие требования к оборудованию и развитости ИТ-инфраструктуры учреждения.

· Для более крупных учреждений характерно использование внутренних центров обработки данных, производящих обмен информацией с единой системой через шину электронного взаимодействия или через механизмы синхронизации систем верхнего и нижнего уровней.

Таким образом, очевидно, что структура единой государственной информационной системы здравоохранения является очень сложной, и для любых медицинских учреждений необходимы типовые комплексные решения защищенных средств обработки конфиденциальной информации.

Согласно методическим рекомендациям Министерства здравоохранения России по оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением рекомендуется использовать аппаратный тонкий клиент – специализированное устройство, отличное от персонального компьютера. Рекомендуемый аппаратный тонкий клиент использует специализированную локальную операционную систему, единственной задачей которой является организация сессии с терминальным сервером для работы пользователя.

Терминальные решения предполагают использование концепции построения ИТ-инфраструктуры медицинского учреждения, согласно которой все основные приложения расположены на серверах, а рабочие места сотрудников создаются с помощью терминальных клиентских устройств – тонких клиентов.

По сравнению с персональными компьютерами терминальные решения не только более компактны, эргономичны и экономичны, но и обладают рядом преимуществ, таких как:

· повышенный уровень информационной безопасности;

· уход от локального хранения документов;

· высокая надежность и длительный срок службы;

· управляемость и расширяемость сети;

· легкость развертывания обновлений;

· простота администрирования и установки;

· снижение требований к обслуживающему ИТ-инфраструктуру медицинского учреждения персоналу;

· терминальный доступ не требует высокоскоростных каналов связи.

Необходимо также отметить, что в концепции создания ЕГИСЗ предусмотрено введение юридически значимого электронного документооборота в здравоохранении, с исключением необходимости дублирования документов на бумажных носителях, использования электронной цифровой подписи в здравоохранении, обеспечения информационной безопасности при использовании электронных медицинских документов, что потребует соответствующей технической реализации.

Примером технической реализации типовых комплексных решений, удовлетворяющих рекомендациям Министерства здравоохранения и регуляторов в области информационной безопасности, могут служить программно-аппаратные комплексы, разработанные компанией «Аквариус» на базе терминальных серверов и защищенных тонких клиентов с интегрированными модулями доверенной загрузки и средствами идентификации/аутентификации пользователей.

При включении тонкого клиента осуществляется доверенная загрузка операционной системы тонкого клиента, в ходе которой осуществляется контроль целостности образа операционной системы.

Локальная авторизация пользователей на тонком клиенте осуществляется после предъявления персонального идентификатора и ввода PIN-кода. В случае правильно введенного PIN-кода осуществляется загрузка операционной системы тонкого клиента.

Разграничение доступа удаленных пользователей к ресурсам терминального сервера осуществляется посредством использования программно-аппаратного средства защиты информации, функционирующего в терминальном режиме.

Для успешной авторизации пользователя тонкого клиента на терминальном сервере и установления терминальной сессии администратор должен заранее произвести сопоставление персонального идентификатора конкретному пользователю терминального клиента.

Для работы с ресурсами терминального сервера удаленному пользователю необходимо пройти процедуру идентификации/аутентификации на терминальном сервере, предъявив персональный идентификатор и введя PIN‑код.

С учетом необходимости формирования и проверки электронной подписи в документах медицинских информационных систем разработано специальное решение, функционирующее в режиме веб-доступа.

Это законченное программно-аппаратное решение на базе тонкого клиента со специализированной операционной системой, функционирующей в режиме «только для чтения».

Доверенной средой при работе с электронной подписью является операционная система, в состав которой входят:

· библиотека электронной подписи;

· специализированный браузер, с помощью которого осуществляется просмотр и подпись отображаемых документов медицинской информационной системы;

· драйверы для многочисленных периферийных устройств.

Необходимо отметить, что корректность решений компании «Аквариус» по разработке как программных, так и программно-аппаратных средств защиты информации подтверждается их последующей сертификацией в системе ФСТЭК/ФСБ России.

***

Компания «Аквариус» накопила уникальный опыт подготовки архитектурных, общесистемных и технических решений по информатизации здравоохранения. Указанные комплексные программно-аппаратные решения, разработанные специалистами компании, уже нашли свое успешное применение в крупных проектах по модернизации ИТ-инфраструктуры учреждений здравоохранения города Москвы, Самарской и Тамбовской областей, Красноярского края, Республики Дагестан.

Автор: Эльдар Аглиуллин, отдел технической защиты информации ПК «Аквариус»

Источник: http://bit.samag.ru/archive/article/1273