Информационная безопасность в здравоохранении

Клиники, медицинские центры, другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны. Поэтому информационная безопасность в медицине переходит на новый уровень.

Медучреждения переходят на электронный документооборот, автоматизируется ведение электронного учета или медицинских карт пациентов. Нельзя сказать, что вопросом оптимизации регистратур или безопасности баз данных заинтересовались в системе здравоохранения только сейчас. Впервые хранить документацию, используя компьютер, предложил Николай Амосов (знаменитый советский хирург). С развитием информационных технологий ускорился и переход медучреждений на новый уровень обработки и хранения персональных данных.

Характерные особенности медицинских информационных систем

Без информационной трансформации повысить эффективность оказания медицинских услуг невозможно. Как и любая отрасль, здравоохранение имеет свои особенности.

В сфере информационного обеспечения эти особенности проявляются в следующем:

1. Наличие четких требований к информационной безопасности баз данных. Это обусловлено тем, что обрабатываемая данные принадлежат к первому классу информационных систем. Сведения о состоянии здоровья – одна из самых личных категорий информации. В этот класс входят данные, разглашение которых может привести к чувствительным негативным результатам для лица и безопасность которых не была обеспечена должным образом.

2. Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым располагают указанные учреждения, несовременное и разнородное.

3. Необходимость обеспечения доступа к системам информации. Это позволит проконтролировать эксплуатацию систем диагностики, клинического оснащения, закупку и расход медикаментов, соблюдение протоколов лечения.

Обеспечение безопасности медицинских сведений регламентировано законодательно на федеральном уровне.

Концепция создания единой государственной информационной системы

Концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) регламентирует основные положения информационного обеспечения учреждений здравоохранения.

ЕГИСЗ предусматривает создание региональных проектов модернизации электронных баз данных, нормы электронного документооборота между медучреждениями, соответствие стандартам медицинских информационных систем, наличие всероссийского центра обработки информации, обеспечение компьютерной техникой.

Способы реализации ЕГИСЗ

Для защиты сведений в системе здравоохранения применяются такие методы:

• юридические;
• организационно-управленческие;
• технические (программное обеспечение).

Юридические механизмы устанавливают ответственность за нарушение правил использования данных, сдерживая возможных нарушителей.

Организационно-управленческие методы прописывают рамки, условия работы ресурсов, функции сотрудников, а также систему взаимоотношений между абонентами и администратором.

Защитные механизмы обеспечены техническими средствами. Они блокируют свободный доступ недобросовестных пользователей к информации, «опознают» абонентов, устанавливают ограничения на доступ и редактирование сведений, обеспечивают криптографическую охрану баз данных.

Защиту от утечек информации, а также адресную блокировку доступа к закрытым сведениям обеспечит DLP-система «СёрчИнформ КИБ». 

Способы автоматизации и обеспечения информационной безопасности в медицинских организациях зависят от размера организации, объема обрабатываемых сведений. Крупные учреждения имеют собственные центры обработки персональной информации. Они ответственны за обмен сведениями, синхронизацию систем электронной корреспонденции. В небольшой организации достаточно возможностей региональных центров сбора, обработки сведений. Требования к технической оснащенности и компьютерному обеспечению таких медучреждений значительно ниже.

Информационное сопровождение необходимо для реализации управленческой и технологической деятельности. Для облегчения процесса автоматизации, обеспечения информационной защиты требуются разработка и внедрение типовых комплексных программ по защите конфиденциальных сведений.

Данные, обрабатываемые в медучреждениях, – это сведения, относящиеся к врачебной тайне. Их защита обеспечена на законодательном уровне. Поэтому защита МИС (медицинские информационные системы) представляет собой комплекс мероприятий, включающий:

• предоставление комплекса сведений;
• защиту от несанкционированного доступа к системе или данным.

Если указанные направления не будут защищены должным образом, ответственность за распространение закрытых сведений возлагается на руководство медучреждения.

Аппаратный тонкий клиент

Министерством охраны здоровья РФ разработаны рекомендации по оборудованию организаций здравоохранения специальным компьютерным приспособлением – аппаратным тонким клиентом. Это приспособление, работа которого обеспечивается отдельной операционной системой, направленной на выполнение одного задания – формирование связи с сервисом терминала для работы абонента.

Информационная структура медучреждения предполагает размещение базовых приложений на сервере, связь с которым обеспечивается с помощью аппаратных клиентов на рабочем месте персонала.

Отличие терминала от ПК

Тонкий клиент имеет ряд плюсов по сравнению с обычным компьютером:

• компактность и практичность;
• усиление безопасности сберегаемых данных;
• отсутствие единого хранилища письменной документации;
• увеличение времени эксплуатации;
• подконтрольность сети, возможность контролировать ее объем;
• простота обновления и работы;
• легкость установки;
• доступность применения каждому сотруднику;
• отсутствие наличия высокоскоростной связи.

Реализация типовых комплексных программ

Техническое обеспечение реализации концепции информационной защиты включает в себя:

• юридически обеспеченное электронное документоведение;
• отсутствие дубликата зафиксированных данных на бумаге;
• заверка электронных документов цифровой подписью;
• обеспечение безопасности информационных баз данных.

На рынке информационных систем уже представлены комплекты оборудования, разработанные в соответствии с требованиями Министерства здравоохранения, представляющие собой набор сервера-терминала и аппаратного клиента с включенными модулями защищенного ввода и определения абонента.

Включенный аппаратный клиент обеспечивает безопасный доступ к образу всей базы данных.

Аутентификация абонента производится с помощью ввода личного ключа и секретного кода. Загрузка системы производится исключительно после проверки соответствия введенных паролей доступа.

Терминал производит разграничение доступа отдельных абонентов, обеспечивая аппаратную защиту сведений в медицинской сфере.

Администратор обеспечивает опознавание персональных кодов доступа. Это позволяет терминальному ресурсу установить связь с сервером и «опознать» абонента.

Начать работу с удаленным сервером через тонкий терминал абонент может после ввода персонального ключа и кода доступа. Таким образом, система идентифицирует клиента и гарантирует защиту информационной базы.

Внедрение технологии «опознавания» абонента предполагает наличие руководящего звена (администратора), наделенного полномочиями свободного доступа к размещенным сведениям, а также установки ограничений для других абонентов системы.

Электронная подпись

Заверить электронный документ подписью позволяет разработанная программа, обеспечивающая ее проверку и оформление. Работает программа в онлайн-режиме. Завершенное программное обеспечение аппаратного клиента на базе отдельной операционной системе запускается только в ограниченном режиме «для чтения».

Операционная система, обеспечивающая заверение документов электронной подписью, состоит из:

• хранилища подписей;
• отдельного браузера, обеспечивающего предпросмотр и заверение документов в системе медицины;
• драйверов, отвечающих за функционирование локальных терминалов.

Перспективы автоматизации МИС

Программа независимых гарантий предусматривает образование системы персонифицированного учета оказания медицинских услуг. Подобная система способна обеспечить регистрацию:

1. оказанных услуг;
2. медперсонала;
3. закупок медикаментов.

Таким образом, будет облегчено управление учреждением здравоохранения. С помощью подобной системы удается решить вопросы:

• формирования единой базы лечебных организаций с указанием видов оказываемых услуг, персонала, техоборудования, результативности работы;
• образования общего списка клиентов;
• формирования и введения базовой системы надзора над качеством оказания медицинских услуг в соответствии с государственными и международными стандартами (медицинскими и экономическими);
• формирования реестра важных социальных неинфекционных болезней с учетом количества обратившихся и территории их проживания. В данном реестре будут отображены динамические факторы показателей: количество заболевших, риски, смертность.

Формируют исходную информацию организации здравоохранения на местах. Региональное управление осуществляется специально созданными информационными центрами.

Для этого на администрацию лечебного учреждения возлагаются функции:

• анализа использования финансовых ресурсов медучреждениями;
• оценки кадрового обеспечения отдельных организаций;
• мониторинга оказания отдельных видов медицинской помощи населению;
• расчета стоимости закупок необходимых медикаментов;
• прогнозирования затрат на обеспечение медицинского обслуживания граждан по страховке.

Программы автоматизации ИС в здравоохранении обеспечивают мониторинг качества и уровня оказания помощи, соблюдения санитарно-гигиенических норм, оценивание результатов работы местных медицинских органов управления и отдельных лечебных организаций.