- •Міністерство охорони здоров’я України
- •Методичні рекомендації
- •1. Актуальність теми.
- •2. Конкретні цілі заняття:
- •3. Базовий рівень підготовки
- •Зміст навчального матеріалу Актуальність питання захисту інформації
- •Визначення та загальні властивості інформації
- •Безпека даних в медичних іс
- •Рекомендована література Основні джерела.
Безпека даних в медичних іс
Необхідність забезпечення цілісності, конфіденційності та доступності інформації в медичних установах є очевидною. Потреба в захисті рівною мірою стосується як інформації, що міститься у всіх інформаційних системах і передається мережею, так і тієї, що перебуває «поза кадром». Різноманіття інформації величезне, а її безпека має гарантуватись завжди, адже щодня з'являються нові повідомлення про зловживання та зломи. Разом зі складнішими проблемами, пов'язаними з соціотехнікою, проблеми захисту інформації вимагають від її власників постійно бути насторожі. Вторгнення, атаки, спрямовані на зрив обслуговування користувачів, незаконне розголошення інформації — «одвічні» загрози, протистояти яким мають ретельно продумані програми захисту даних. Йдеться як про внутрішні системи й процедури, так і про ті, що висвітлюються в Інтернеті.
З означених щойно причин органи охорони здоров'я мають дотримуватись базових принципів гарантування інформаційної безпеки:
використання інформації у відповідності з законодавством та виключно з тією метою, з якою вона надається;
зведення обсягів інформації до необхідного мінімуму;
повага до прав громадян або організацій, яких стосується інформація, що використовується;
своєчасне оновлення, забезпечення актуальності і достовірності інформації;
зберігання інформації лише доти, доки вона потрібна;
підтримка безпеки інформаційного середовища;
надання інформації іншим організаціям лише після надходження відповідних запитів та здійснення захисних заходів.
Природно, що в різних країнах у поняття «особиста інформація» вкладають різний зміст, що пояснюється відмінностями в демократичних традиціях і в балансі прав та обов'язків між громадянами і державою. У загальному випадку особиста інформація складається з об'єктивних та суб'єктивних відомостей.
Обмін інформацією в межах медичної установи, між медичною установою та віддаленими адресатами (іншими органами охорони здоров'я та зовнішніми організаціями) має бути надійно захищеним. Бажанню захистити потоки даних суперечить бажання застосовувати відкриті стандарти інтероперабельності, а також відкритість мережі Інтернет, що насичена вузькоспеціалізованими програмними рішеннями.
Одним із способів досягнення балансу між потребами у безпеці та відкритості є створення захищеної мережі лише для медичних установ. Такі мережі можуть використовувати переваги всіх стандартів та технологій Інтернету (TCP/IP, HTTP, XML тощо), водночас надаючи доступ та можливість отримання послуг закритій спільноті осіб, які мають високий рівень довіри. Захищена мережа медичної установи матиме спільний «кордон» з Інтернетом, організований так, що її користувачі мають змогу користуватися Інтернетом, не турбуючись про захист від вірусів, хакерських атак та ін.
Проте описаний підхід пов'язаний з потенційними труднощами: не всі зовнішні зацікавлені організації задовольнятимуть вимогам безпеки або матимуть пороговий ступінь довіри, а отже, вони будуть позбавлені інформації, якої потребують. Іншим, більш гнучким, методом є використання Інтернету як носія інформації з виокремленням віртуальної спільноти медиків за допомогою захищених посилань та спільного середовища автентифікації й авторизації. Таким методом може бути, наприклад, взаємна автентифікація надійних організацій за допомогою 128-бітного протоколу шифрування SSL або технологій VPN.
Ключовим міжнародним стандартом з безпеки інформації є розроблений Міжнародною організацією стандартів (International Standards Organization, ISO) стандарт ISO/IEC 17799:2000 — звіт правил і норм з управління безпекою в галузі інформаційних технологій.
Деякі заклади охорони здоров'я вже використовують цей стандарт у внутрішніх мережах і вимагають від постачальників його дотримання. Таке використання може стати моделлю і для інших медичних установ. Стандарт ISO/IEC 17799:2000 регламентує такі аспекти:
планування послідовності дій;
контроль за доступом до системи;
розробка та обслуговування систем;
фізичний захист інформації та захист інформації в мережах;
відповідність вимогам;
захист особистої інформації;
захист інформації, що належить організації;
управління комп'ютерним забезпеченням та мережами;
класифікація IT-активів та контроль за ними;
політика безпеки.
Ще одним важливим стандартом є так звані Загальні критерії (Common Criteria — СС) — розроблений за участі урядів, визнаний у всьому світі стандарт ISO в галузі оцінювання захищеності ІТ-продуктів та систем. Загальні критерії передбачають сертифікацію програмних продуктів незалежною акредитованою лабораторією з обов'язковим прискіпливим тестуванням і вивченням документації. У 2002 році Рада Європи закликала всі держави-члени ЄС просувати Загальні критерії та використовувати продукти, що відповідають визнаним стандартам.
В органах охорони здоров'я інформаційні системи відіграють усе важливішу роль. У світі, де більшість справ будь-якої організації ведеться в електронному вигляді, кожен простій або втрата даних мають дуже чутливі наслідки. Безпека — це повноцінний і життєво важливий компонент надання послуг. Загальновизнаний набір стандартів та підходів до гарантування безпеки забезпечує цілісність та доступність даних організації.