Как обеспечить информационную безопасность медцентра

Медицинские центры, частные клиники, а также иные организации здравоохранения нередко сталкиваются с большим количеством персональных данных как клиентов, так и работников организации. При этом большая часть документов подпадает под определение врачебной тайны.

Справочно: в связи с этим требуется повышенный уровень информационной безопасности.

Автоматизация ведения электронного учета, постепенный переход к электронному документообороту, повышенные требования к хранению медицинских карт пациентов также создают предпосылки для усиления информационной защиты.

Особенности обеспечения безопасности некоторых категорий данных

Здравоохранение, как и любая отрасль, обладает собственными особенностями в плане информационной защиты.

Это важно
Основная особенность информационной защиты в здравоохранении — это наличие повышенных требований к информационной безопасности системы управления базами данных (далее — СУБД).

Состояние здоровья пациентов — это одна из наиболее личных категорий информации.

Справочно: данная информация входит в I класс сведений, разглашение которых может нанести максимальный вред пациентам.

Пример

Ярким примером необходимости соблюдения должного уровня обеспечения информационной безопасности является похищение данных около 220 000 доноров органов из Малайзии.
Похищенная база данных содержала полные сведения о донорах: контактные номера, переданные в дар органы, расу, пол, домашние адреса и прочую конфиденциальную информацию. Данные собирались как из государственных больниц, так и из национальных центров трансплантологии. Тогда же в Интернете оказались три базы данных, которые принадлежали Малазийскому медицинскому совету, Стоматологической ассоциации Малайзии и Малазийской медицинской ассоциации.

Проблематика вопроса

Проблематика оптимизации работы регистратур медцентров и безопасности медицинских баз данных приобрела актуальность с введением в медучреждениях первых компьютерных систем.

Информационная трансформация предоставила благодатную почву для злоумышленников, ведь личная информация пациентов, а также финансовые активы предприятия — это та информация, утрата которой может повлечь за собой ряд неблагоприятных последствий.

Злоумышленники могут продать базу данных клиентов частной медицинской клиники конкуренту, а данные использовать для получения доступа к счетам больных.

Международный опыт

В Центре по контролю и профилактике заболеваний департамента здравоохранения США была обнаружена подозрительная сетевая активность на серверах системы, которая собирала данные об эпидемических болезнях.
Скомпрометированные данные содержали данные лабораторных анализов пациентов. Атакованную часть системы срочно отключили от сети. Представители департамента начали частное служебное расследование на предмет выявления причин и потенциальных убытков вследствие инцидента.

Среди проблем можно выделить невысокий уровень информационного обеспечения государственных учреждений здравоохранения.

В большинстве случаев организации располагают несовременным и разнородным оборудованием, которое предполагает повышенную возможность совершения хищений. Поэтому любой государственной организации и медицинскому центру необходимо внедрять современные методики обеспечения доступа к информационным системам.

Компенсировать имеющиеся недостатки на практике призвано создание единой государственной системы в сфере здравоохранения, внедрение на региональном уровне современных проектов модернизации электронных СУБД, а также нормативов электронного документооборота между медицинскими учреждениями.

Методы защиты СУБД

Важно учитывать методы защиты СУБД. Основными методами защиты сведений в системе здравоохранения являются следующие:

1. технические (защита на уровне программного обеспечения организаций);
2. организационно-­управленческие (организация защиты на уровне административного регулирования);
3. юридические.

Юридические методы

Юридические механизмы информационной защиты позволяют не только установить ответственность за нарушения при применении персональных данных, но и сдерживать потенциальных нарушителей максимально доступными средствами.

Организационно-­управленческие методы

Данные методы позволяют прописать административные рамки работы медработников, а также систему взаимоотношений между администратором и абонентами.

Это важно
С применением данных мер можно блокировать свободный доступ недобросовестных пользователей к информации, установить ряд административных ограничений на редактирование и доступность сведений и обеспечить криптографическую защиту эксплуатируемых баз данных.

Международный опыт

В США злоумышленники похитили более 2 млн файлов, которые содержали персональную информацию жителей страны. Наиболее уязвимым перед лицом киберпреступников оказалось здраво­охранение: общие потери составили почти 1,5 млрд долл.

Что можно сделать на практике

Методики автоматизации и обеспечения информационной безопасности в учреждениях здравоохранения зависят не только от потенциального объема обрабатываемых сведений, но и от размера организации:

• крупные медицинские центры или клиники обладают собственными центрами обработки ПНД (персональных данных пользователя);

Это важно
Крупные организации здравоохранения несут повышенную ответственность за обмен сведениями, а также синхронизацию систем электронного учета и электронной почты.

• небольшие организации, как правило, ограничиваются региональными центрами сбора и обработки конфиденциальных данных. Требования к компьютерному обеспечению и технической оснащенности подобных учреждений значительно ниже.

Внедрение комплексных программ

Информационное сопровождение является неотъемлемой частью реализации как технологической, так и управленческой деятельности организации здравоохранения.

Это важно
Для того чтобы облегчить процессы внедрения медицинских АИС и обеспечить информационную защиту, требуются разработка и внедрение комплексных программ по защите критической информации в учреждениях медицинского профиля.

Мероприятия по защите медицинских информационных систем

Так как данные, обрабатываемые в медицинских учреждениях, относятся к категории врачебной тайны, их защита обеспечивается на уровне законодательства. В настоящее время защита медицинских информационных систем представляет собой комплекс мероприятий, которые включают в себя:

1. защиту от несанкционированного доступа к базам данных;
2. предоставление необходимых сведений в случае утечки.

В случае отсутствия защиты указанных направлений ответственность за распространение информации ограниченного доступа возлагается на руководство организации здравоохранения.

Мнение автора

С внедрением систем персонифицированного учета оказания медицинских услуг специалисты получат возможность обеспечить информационную регистрацию как персонала организации, так и закупок медицинских средств.
Следовательно, это поможет решить одновременно несколько проблем: сформировать единую базу медицинских учреждений, создать единый персонифицированный список клиентов в соответствии с международными экономическими и медицинскими стандартами.

Заключение

Обеспечение информационной безопасности — достаточно сложный вопрос для организаций здравоохранения как частной, так и государственной формы собственности. Руководителю важно обеспечить соблюдение уже имеющихся мер, а также внедрять разработки, которые помогут повысить уровень данной безопасности.