Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65

Статья опубликована в рамках: XV Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 16 февраля 2017 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Малышенко И.С., Бочко Е.К. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ // Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ: сб. ст. по мат. XV междунар. студ. науч.-практ. конф. № 4(15). URL: https://sibac.info/archive/meghdis/4(15).pdf (дата обращения: 17.10.2021)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Малышенко Игорь Сергеевич

студент (магистрант), кафедра компьютерных систем, Дальневосточный федеральный университет,

РФ, г. Владивосток

Бочко Евгений Константинович

студент (магистрант), кафедра компьютерных систем, Дальневосточный федеральный университет,

РФ, г. Владивосток

Применение современных информационных технологий в медицине призвано сократить время проведения обследований, улучшить качество диагностики, систематизировать сведения о пациенте, а также получить к ним доступ из любого медицинского учреждения в цифровой форме.

Ключевые направления развития системы электронного здравоохранения непосредственно связаны с совершенствованием консультативных сетей, предназначенных для взаимодействия врачей и пациентов, внедрением электронных медицинских карт и историй болезни, а также использованием новых подходов в сфере медицинского страхования или предоставления аптечной информации. Активное развитие информационных технологий послужило причиной создания нового направления в современном здравоохранении – телемедицины.

Характер деятельности медицинского персонала непосредственно связан с процедурой обмена информации, выраженной в: изображениях, выписках, юридических и финансовых документах, необходимых для оказания качественных услуг пациенту. Такой подход реализуется за счет внедрения медицинских информационных систем (МИС). Они представляют собой комплексные базы данных, способные аккумулировать и распространять между участниками всю необходимую информацию относительно пациента [2].

Ряд вопросов возникает при проведении комплексной компьютеризации медицинских учреждений, а также внедрении специализированного программного обеспечения.

Основные проблемы связаны с:

  • организацией комплексного документооборота, который в данной отрасли будет иметь специфический характер;
  • необходимостью создания стандартизированного подхода в решении задачи предоставления информации;
  • обязанностью разработчиков МИС выбрать наиболее практичную архитектуру ПО и СУБД;
  • решением вопросов интеллектуализации баз данных, а также создания системы «оперативной» и «аналитической» формы предоставления информации;
  • необходимостью соблюдения интересов пациентов в части конфиденциальности полученных сведений;
  • указанием источника происхождения сведений, представленных в МИС.

Не последнюю роль в процессе развития информатизации медицинской деятельности играет наличие широкополосных и скоростных каналов связи, способных использовать методы распределения и обработки поступающих сведений ODP (OpenDistributedProcessing).

В ряде регионов страны существуют проблемы, связанные не только с понятием «последней мили», но и возможностью подключения пользователей к информационным системам [9].

На данный момент наблюдается активная интеграция информационных технологий в деятельность медицинских учреждений. Однако их внедрение носит фрагментарный и отрывочный характер, который не позволяет объединить их в полноценную модель взаимодействия в рамках нескольких учреждений.

Существует тенденция использования систем, призванных автоматизировать и упростить совершение отчетных или фискальных операций. В то же время остается проблема неоднозначности сведений, представляемых различными медицинскими специалистами в отношении одного и того же пациента, что порождает неэффективность врачебных решений. Такой подход не соответствует реализации процедур в соответствии со стандартами лечения и эффективным применением имеющихся ресурсов ЛПУ [1].

Ставка на автоматизацию ряда функциональных процессов в работе ЛПУ стала причиной «перенасыщения» учреждений здравоохранения информационными потоками. Это стало причиной невозможности их интеграции и использования сведений, полученных в рамках работы одной распределенной информационной системы, с целью создания общей базы данных. Такая ситуация во многом обусловлена фрагментарным подходом к выбору субъектов обработки данных. В некоторых ЛПУ данные обязанности возлагаются на регистраторов, врачей, а в других – на медсестер, статистиков и лаборантов.

Отдельные категории информации могут обрабатываться различными людьми, что не позволяет ассоциировать сведения, содержащиеся в распределенной информационной системе с конкретным человеком. Примером может служить ситуация, когда результаты обработки данных отождествляются лаборантом с номером медицинской карты, её штрих-кодом или уникальным ключом без возможности получения сведений о пациенте, которому карта принадлежит [3].

Важным фактором является децентрализованный характер построения информационных систем в структуре деятельности медицинских учреждений. Это позволяет сделать вывод о том, что меры защиты информации, включая соблюдение политики конфиденциальности, также имеют децентрализованный характер, не позволяющий рассматривать и анализировать деятельность всей системы здравоохранения в регионе.

Таким образом, актуальной является проблема перехода от фрагментарных информационных систем к их комплексным аналогам, позволяющим эффективно взаимодействовать отдельно взятому медицинскому учреждению с территориальным органом ОМС, а также страховыми компаниями. С этой целью необходимо создание и утверждение единых стандартов взаимодействия МИС с внешними организациями. Ключевая проблема создания и разработки МИС состоит в организации единого подхода к обеспечению информационной безопасности (ИБ).

Важно также отметить, что процесс разработки МИС должен учитывать не только основные сведения, касающиеся состояния здоровья пациента, этапов прохождения им лечебно-диагностического процесса, но и данных, составляющих сущность информационной системы. Это касается кодов модулей, деятельности по организации хранения данных, а также принятие мер по систематическому обновлению справочников, имеющих общесистемный характер [6].

Ключевая характеристика медицинской информации состоит в необходимости обеспечения её конфиденциальности. Персональные данные пациента, которые вводятся и обрабатываются системой, составляют основу врачебной тайны. Не последнюю роль играет тот факт, что в информационных системах, зачастую, хранятся сведения, от целостности и объективности представления которых зависит не только здоровье, но и жизнь человека. При разработке архитектуры МИС существует объективная необходимость внедрения механизма защиты персональных данных в совокупности с организацией безопасного функционирования системы.

Однако следует отметить тот факт, что повышение уровня безопасности МИС может стать причиной ухудшения скорости работы и надежности программного оборудования. Исходя из этого, разработка архитектуры МИС должна осуществляется с прицелом на специфику работы ЛПУ, рассматривая его как учреждение массового обслуживания групп людей. Разработка структуры МИС должна осуществляться последовательно и учитывать все нюансы: начиная с ввода данных, их обработкой, хранением, заканчивая их утилизацией в связи с истечением срока давности размещения.

При обращении человека за услугами ЛПУ информация о нем собирается и обрабатывается в отдельных секторах программного обеспечения. На данном этапе происходит ввод данных о результатах первичной диагностики. Следующий шаг – перевод данных в электронную форму путем создания базы данных. При этом сведения в МИС должны иметь обновляемый характер. Например, если человек вновь обратился в медицинское учреждение, то информация о состоянии его здоровья дополняется, что отражается в системе.

На следующем этапе происходит систематизация полученных сведений, а также удаление данных, срок хранения которых истек. Также возможна ситуация, когда информация о пациенте заносится в дальние архивы, а затем консолидируется [1].

Рассматривая конфиденциальность данных в МИС в сравнении с жизненным циклом информации, условно выделяются следующие процессы, протекающие в медицинских информационных системах и подверженные наибольшему риску утечки:

  • процедура хранения информации;
  • обработка данных в системе, которая включает в себя деятельность по их вводу, а также последующее обновление;
  • канальный обмен сведениями в рамках нескольких ЛПУ;
  • применение внешних носителей данных, включая съемные жесткие диски и USB-флэш карты.

С целью повышения устойчивости системы к воздействию извне необходимо ввести дополнительный уровень защиты для серверов, коммутаторов, рабочих станций. Это может проявляться в установлении прямого контроля над ними, внедрением многоступенчатой защиты в лице антивирусов и программного обеспечения [6].

Процедура разработки архитектуры МИС должна включат в себя деятельность по внедрению процедуры классификации данных на «важные», «конфиденциальные». Кроме того, повышение уровня безопасности можно достичь, внедряя многоуровневую аутентификацию пользователей с применением смарт-карт, USB-ключей, межсетевых экранов, если речь идет о возможности установления удаленного доступа.

Роль дополнительных средств обеспечения безопасности может играть специализированное оборудование (сканеры защищенности), призванное обеспечить контроль трафика. Такой подход позволит сократить количество атак DoS.

Проработка структуры SAN (StorageAreaNetwork - сеть хранения данных) должна осуществляться с учетом возможности разнесения устройств относительно изолированных участков с применением средств аппаратного (HardZoning), а также программного (SoftZoning) зонирования. Не лишним будет использование маскировки LUN, которая должна рассматриваться исключительно как дополнительная защита системы с целью сохранения целостности сведений.

При создании МИС необходимо позаботиться об организации выделенного сетевого сегмента управления устройства SAN. Важно иметь в виду, что управление доступом – одна из наиболее уязвимых зон информационной системы. Сценарии внешних атак будут сводиться к получению административного доступа к устройствам, под управлением NAS. Избежать несанкционированного доступа можно, внедрив защищенные протоколы SSH или HTTPS. Деятельность по организации комплексной защиты APM включает в себя необходимость обеспечения безопасности временных файлов. Это актуально, когда речь идет о проведении удаленных телеконсультаций или рассылке информации по электронной почте. Кроме того, защита МИС может также включать в себя: процедуру блокирования каталогов TEMP, управление файлами подкачки, используемых программными приложениями, автоматическое удаление временных файлов сети Интернет [3].

Комплексный подход в организации безопасности медицинских информационных систем позволяет обеспечить конфиденциальность сведений о пациентах, а также регламентировать деятельность всех пользователей МИС, взаимодействующих с системой.

 

Список литературы:

  1. Виноградов К. А., Никитина М. И. Формирование информационной системы здравоохранения // Врач и информационные технологии. - №2, 2004.
  2. Глухов Е.В., Должиков С.В., Ковисарова Е.В., Смелик В.В., Соппа И.В., Фролов А.М., Хузиятов Т.Д. Конспект лекций для подготовки к междисциплинарному экзамену "прикладная информатика (в экономике)". Учебное пособие / [Глухов В. В. и др.]; под ред. Б.Л. Резника; Дальневосточный федеральный ун-т, Шк. естественных наук, Шк. экономики и менеджмента. Владивосток, 2012.
  3. Калиниченко В. И. Необходимость создания интегрированной системы управления медицинской помощью // Врач и ИТ. - №2, 2004.
  4. Концепция создания единой государственной информационной системы в сфере здравоохранения, утв. Приказом Министерства здравоохранения и социального развития РФ от 28.04.2011 г. № 364.
  5. Основы законодательства РФ об охране здоровья граждан от 22.07.1993 г. № 5488-1.
  6. Тенденции развития рынка медицинских информационных систем [Электронный ресурс] / А.В. Гусев - PC Week / RE, 2011 - №39 (597). Режим доступа: http://www.pcweek.ru/idea/article/detail.php?ID=103011 (дата обращения: 02.02.2017).
  7. Федеральный закон «Об электронной цифровой подписи» № 1-ФЗ от 10.01. 2002 г., «Собрание законодательства РФ», 14.01.2002 г., № 2, ст. 127.
  8. Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006 г., «Собрание законодательства РФ», 31.07.2006 г., № 31 (1 ч.), ст. 3451.
  9. Эльянов М. М. Медицинские информационные технологии. Каталог. Вып. 5. - М.: Третья медицина, 2005. - 320 с.
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом