- •Львівський національний медичний університет
- •Імені данила галицького
- •Кафедра медичної інформатики
- •Методичні вказівки
- •1Вхідний контроль знань.
- •2Проблеми сучасної медицини, які допомагає вирішити впровадження інформаційних систем.
- •3Цільові групи та споживачі інформаційних програмних комплексів.
- •Теоретичні матеріали
- •Охорона здоров'я і суспільство
- •Основні учасники системи охорони здоров'я
- •Лікарні Лікарні та групи лікарень стикаються з багатьма перепонами, що заважають впровадженню електронних засобів у процес медичного обслуговування. Серед них:
- •Система медичного страхування
- •Постачальники послуг з управління охороною здоров'я
- •Мобільність медичних інформаційних систем
- •Класифікація інформаційних систем (іс) за рівнем механізації
- •Інформаційно-пошукові системи
- •Системи підтримки прийняття рішень
- •Інтелектуальні інформаційні системи в медицині
- •Госпітальні інформаційні системи
- •Стан і проблеми впровадження медичних іс в Україні
- •Безпека даних в медичних іс
- •Вимоги до it-cередовища
- •Завдання для виконання:
Безпека даних в медичних іс
Необхідність забезпечення цілісності, конфіденційності та доступності інформації в медичних установах є очевидною. Потреба в захисті рівною мірою стосується як інформації, що міститься у всіх інформаційних системах і передається мережею, так і тієї, що перебуває «поза кадром». Різноманіття інформації величезне, а її безпека має гарантуватись завжди, адже щодня з'являються нові повідомлення про зловживання та зломи. Разом зі складнішими проблемами, пов'язаними з соціотехнікою, проблеми захисту інформації вимагають від її власників постійно бути насторожі. Вторгнення, атаки, спрямовані на зрив обслуговування користувачів, незаконне розголошення інформації — «одвічні» загрози, протистояти яким мають ретельно продумані програми захисту даних. Йдеться як про внутрішні системи й процедури, так і про ті, що висвітлюються в Інтернеті.
З означених щойно причин органи охорони здоров'я мають дотримуватись базових принципів гарантування інформаційної безпеки:
використання інформації у відповідності з законодавством та виключно з тією метою, з якою вона надається;
зведення обсягів інформації до необхідного мінімуму;
повага до прав громадян або організацій, яких стосується інформація, що використовується;
своєчасне оновлення, забезпечення актуальності і достовірності інформації;
зберігання інформації лише доти, доки вона потрібна;
підтримка безпеки інформаційного середовища;
надання інформації іншим організаціям лише після надходження відповідних запитів та здійснення захисних заходів.
Природно, що в різних країнах у поняття «особиста інформація» вкладають різний зміст, що пояснюється відмінностями в демократичних традиціях і в балансі прав та обов'язків між громадянами і державою. У загальному випадку особиста інформація складається з об'єктивних та суб'єктивних відомостей.
Обмін інформацією в межах медичної установи, між медичною установою та віддаленими адресатами (іншими органами охорони здоров'я та зовнішніми організаціями) має бути надійно захищеним. Бажанню захистити потоки даних суперечить бажання застосовувати відкриті стандарти інтероперабельності, а також відкритість мережі Інтернет, що насичена вузькоспеціалізованими програмними рішеннями.
Одним із способів досягнення балансу між потребами у безпеці та відкритості є створення захищеної мережі лише для медичних установ. Такі мережі можуть використовувати переваги всіх стандартів та технологій Інтернету (TCP/IP, HTTP, XML тощо), водночас надаючи доступ та можливість отримання послуг закритій спільноті осіб, які мають високий рівень довіри. Захищена мережа медичної установи матиме спільний «кордон» з Інтернетом, організований так, що її користувачі мають змогу користуватися Інтернетом, не турбуючись про захист від вірусів, хакерських атак та ін.
Проте описаний підхід пов'язаний з потенційними труднощами: не всі зовнішні зацікавлені організації задовольнятимуть вимогам безпеки або матимуть пороговий ступінь довіри, а отже, вони будуть позбавлені інформації, якої потребують. Іншим, більш гнучким, методом є використання Інтернету як носія інформації з виокремленням віртуальної спільноти медиків за допомогою захищених посилань та спільного середовища автентифікації й авторизації. Таким методом може бути, наприклад, взаємна автентифікація надійних організацій за допомогою 128-бітного протоколу шифрування SSL або технологій VPN.
Ключовим міжнародним стандартом з безпеки інформації є розроблений Міжнародною організацією стандартів (International Standards Organization, ISO) стандарт ISO/IEC 17799:2000 — звіт правил і норм з управління безпекою в галузі інформаційних технологій.
Деякі заклади охорони здоров'я вже використовують цей стандарт у внутрішніх мережах і вимагають від постачальників його дотримання. Таке використання може стати моделлю і для інших медичних установ. Стандарт ISO/IEC 17799:2000 регламентує такі аспекти:
планування послідовності дій;
контроль за доступом до системи;
розробка та обслуговування систем;
фізичний захист інформації та захист інформації в мережах;
відповідність вимогам;
захист особистої інформації;
захист інформації, що належить організації;
управління комп'ютерним забезпеченням та мережами;
класифікація IT-активів та контроль за ними;
політика безпеки.
Ще одним важливим стандартом є так звані Загальні критерії (Common Criteria — СС) — розроблений за участі урядів, визнаний у всьому світі стандарт ISO в галузі оцінювання захищеності ІТ-продуктів та систем. Загальні критерії передбачають сертифікацію програмних продуктів незалежною акредитованою лабораторією з обов'язковим прискіпливим тестуванням і вивченням документації. У 2002 році Рада Європи закликала всі держави-члени ЄС просувати Загальні критерії та використовувати продукти, що відповідають визнаним стандартам.
В органах охорони здоров'я інформаційні системи відіграють усе важливішу роль. У світі, де більшість справ будь-якої організації ведеться в електронному вигляді, кожен простій або втрата даних мають дуже чутливі наслідки. Безпека — це повноцінний і життєво важливий компонент надання послуг. Загальновизнаний набір стандартів та підходів до гарантування безпеки забезпечує цілісність та доступність даних організації.
Моделювання і підтримка рішень
Проблеми та завдання
Сьогодні медичні рішення часто базуються на «розумних припущеннях». Система охорони здоров'я дуже складна, і навіть експерти в галузі медицини стикаються з труднощами, коли роблять заключні висновки щодо подальшого розвитку подій. Комп'ютерне програмне забезпечення, що базується на передових технологіях моделювання, таких як марківські процеси або моделювання за методом Монте-Карло, допомагають аналізувати складні сценарії та забезпечувати вдосконалену підтримку рішень.