ЛЬВІВСЬКИЙ НАЦІОНАЛЬНИЙ МЕДИЧНИЙ УНІВЕРСИТЕТ

Імені данила галицького кафедра медичної інформатики

МЕТОДИЧНІ ВКАЗІВКИ

до теми

“Етичні та правові принципи управління інформацією в системі охорони здоров’я”

з медичної інформатики

для студентів ІІ курсу

медичного факультету

Львів 2007

Зміст навчального матеріалу

Конкретні цілі заняття:

Інтерпретувати етичні та правові принципи управління медико-біологічною інформацією; характеристики, що впливають на безпеку інформації; етапи створення систем захисту інформації.

Аналізувати загрози інформації, що містять лікарську таємницю; проблеми організації захисту лікарської таємниці.

Демонструвати навички формування моделі інформаційної безпеки, навички створення матриці захисту інформації.

Актуальність питання захисту інформації.

Право кожної людини на інформацію, проголошене в Загальній декларації прав людини від 10 грудня 1948 р. (ст.19) і закріплене потім у Європейській Конвенції про захист прав і основних свобод людини від 4 листопада 1950 р. (ст.10), а також у Міжнародному пакті про громадянські і політичні права від 19 грудня 1966 р. (ст.19) надається як основне, однак аж ніяк не як абсолютне право. Правовий режим користування ним припускає існування «особливих обов’язків й особливої відповідальності». У тому числі визначених, встановлених законом і необхідних у демократичному суспільстві обмежень, формальностей, умов чи штрафних санкцій, що вимагаються, насамперед, з метою забезпечення «прав і репутації інших осіб». Крім того, в самих перерахованих вище міжнародно-правових актах містяться статті (відповідно 12-а, 8-а і 17-а), що встановлюють визначені межі в користуванні цим правом. Такими межами в даних випадках є права кожної людини на повагу його особистого і сімейного життя, таємницю кореспонденції, повагу честі та гідності.

В силу цих міжнародно-правових норм національні законодавства повинні забезпечити баланс та динамічну рівновагу між свободою слова, друку, правом на інформацію, з одного боку, і захистом приватного життя людини, її інформаційної складової, якою є персональні дані, – з іншої.

Сьогодні на міжнародному рівні діє низка правових актів, які тією чи іншою мірою спрямовані на захист персональних даних. Так, 28 січня 1981 р. була відкрита для підписання Конвенція Ради Європи «Про захист особи у зв’язку з автоматичною обробкою персональних даних», яка набула чинності 1 жовтня 1985 року. Її учасником є 21 європейська держава.

24 жовтня 1995 року у Люксембурзі була схвалена Директива 95/46/ЄС Європейського Парламенту та Ради про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних (далі – Директива), яка є обов’язковою для всіх країн-членів Європейського Союзу, яка сьогодні є базовою у відповідній сфері і предметом для наслідування законотворців багатьох країн, у тому числі й України.

Директивою визначається поняття персональних даних, критерії законності обробки персональних даних, специфіку обробки особливих категорій даних (про расове чи етнічне походження людини, політичні погляди, філософські чи релігійні переконання, стан здоров’я, статеве життя та членство у профспілках тощо), право суб’єкта даних на доступ до даних, гарантії конфіденційності і безпеки обробки даних, засоби та порядок захисту прав громадян, відповідальність та санкції за порушення відповідного законодавства, порядок передачі даних третім особам тощо.

Чому питання захисту інформації є актуальним і важливим сьогодні? Наведемо деякі факти.

У 2003 році в Росії було порушено 1602 кримінальні справи по ст.272 («Неправомірний доступ до комп'ютерної інформації») і 165 ("Заподіяння майнового збитку шляхом обману і зловживання довірою"). Це складає 76% від загального числа порушених кримінальних справ по злочинах у сфері комп'ютерної інформації. Як випливає з поданих даних, кількість злочинів, що зареєстровані у сфері комп'ютерної інформації являє собою стабільно зростаючу криву, динаміка росту якої складає порядку 400% щорічно. (Джерело: Центр дослідження проблем комп'ютерної злочинності).

Єврокомісія наполягає на виділенні 50 млн. євро на боротьбу зі спамом – непотрібним користувачу розсиланням повідомлень по електронній пошті в Інтернеті. Ці засоби необхідно виділити в рамках спеціальної чотирирічної програми, яку планується розпочати вже в 2005 році. 18.03.04 Європейський Парламент проголосував за введення закону про Інтелектуальну Власність в Інтернеті. У даний момент відповідна директива спрямована всім країнам-учасницям, що повинні будуть у найближчі два роки змінити відповідним чином місцеве законодавство.

Австралію визнали п'ятою у світі по кількості кіберзлочинів. Австралія стала місцем здійснення більшості злочинів у сфері інформаційної безпеки в азіатсько-тихоокеанському регіоні.( дані від 18.03.04.).

Проблема інформаційної безпеки не може бути вирішена без впровадження нових ідей, нових знань, нової політики у сфері інформатизації. Концептуальними є пропозиції щодо широкого залучення саме вітчизняних вчених та виробників до вирішення цієї проблеми, як складової національної безпеки. Вітчизняні фахівці мають гарантувати високу якість інформаційних послуг, безпеку інформаційних технологій, сучасну систему сертифікації програмних та технічних засобів, впровадження стандартизації, створення національних баз даних, систем телекомунікації, безпеку роботи в світовому інформаційному просторі.

Ігнорування проблем інформаційної безпеки може призвести до труднощів в прийнятті найважливіших політичних, економічних, соціальних, військових рішень тощо.

Базові терміни та визначення

Інформаційний простір — середовище, де здійснюється формування, збір, зберігання та розповсюдження інформації.

Інформаційний простір України — це інформаційний простір, на який розповсюджується юрисдикція України.

Інформаційний ресурс—це складова інформаційного простору, що поєднує в собі дані, їх місцезнаходження, взаємозв’язок між інформаційними елементами, відомості (про процеси надходження, зберігання, обробки тощо).

Інформаційна інфраструктура— це складова інформаційного простору, яка являє собою сукупність даних (структурованих чи неструктурованих); засобів збору, накопичення, обробки, збереження та розповсюдження інформації; системи виробництва інформаційних продуктів; інформаційних ресурсів зовнішнього інформаційного простору; інструктивних матеріалів та документації; людини як активного фактору вплину на інформаційний простір.

Інформаційна безпека—стан захищеності інформаційного простору, який забезпечує формування та розвиток цього простору в інтересах особистості,: суспільства та держави.

Загрози інформаційній безпеці — фактор або їх сукупність, що створюють небезпеку функціонуванню та розвитку інформаційного простору, інтересам особистості, суспільства, держави.

Захист інформації—сукупність засобів, методів, організаційних заходів щодо попередження можливих випадкових або навмисних впливів природного чи штучного характеру, наслідком яких може бути нанесення збитків чи шкоди власникам інформації або її користувачам, інформаційному простору. Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності.

Інформаційна безпека відіграє суттєву роль в забезпеченні життєво важливих інтересів будь-якої країни. Метою забезпечення інформаційної безпеки в Україні є створення розгалуженого та захищеного інформаційного простору, захист національних інтересів України в умовах формування світових інформаційних мереж, захист економічного потенціалу держави від незаконного використання інформаційних ресурсів, реалізація прав громадян, установ та держави на отримання, поширення та використання інформації.

До основних задач забезпечення інформаційної безпеки належать:

• виявлення, оцінка та прогнозування джерел загроз інформаційній безпеці;

• розробка державної політики забезпечення інформаційної безпеки та комплексу заходів і механізмів її реалізації;

• створення нормативно-правових засад забезпечення інформаційної безпеки, координація діяльності органів державної влади та управління, установ та підприємств по реалізації політики інформаційної безпеки;

• розвиток системи забезпечення інформаційної безпеки, вдосконалення її організації, форм, методів і засобів запобігання загрозам інформаційній безпеці та ліквідації наслідків її порушення;

• забезпечення участі України в процесах створення і використання глобальних інформаційних мереж та систем.

Стан інформаційного простору України характеризується наявністю протиріччя між потребами суспільства в розширенні вільного обміну інформацією і необхідністю окремих обмежень на її поширення.

Необхідно відзначити, що порушенню інформаційної безпеки сприяє безсистемність захисту інформації і слабка координація дій по захисту інформації в загальнодержавному масштабі.

Безсистемність процесів формування інформаційної інфраструктури обумовлює складність вирішення проблеми інформаційної безпеки, захисту інформаційних ресурсів. Специфіка цих проблем полягає в тому, що об’єктивно достатній рівень захищеності інформаційної інфраструктури та інформаційних ресурсів може бути досягнутий тільки у результаті чіткого визначення об’єктів інформаційної безпеки, забезпечення надійного функціонування державних та суспільних інститутів для реалізації практичних заходів забезпечення інформаційної безпеки.

Засоби впливу загроз на інформаційну безпеку поділяються на інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові.

До інформаційних засобів належать:

• порушення своєчасності інформаційного обміну, протизаконні збір і використання інформації;

• несанкціонований доступ до інформаційних ресурсів;

• маніпулювання інформацією (дезінформація, укриття та викривлення інформації);

• незаконне копіювання інформації в інформаційних системах;

• використання засобів масової інформації з позицій, які суперечать інтересам громадян, організацій чи держави;

• викрадення інформації з бібліотек, архівів, банків і баз даних;

• порушення технології обробки інформації.

До програмно-математичних засобів належать: запуск програм-вірусів; установка програмних і апаратних закладних пристроїв; знищення і модифікація даних в інформаційних системах.

Фізичні засоби включають: знищення або руйнування засобів обробки інформації і зв’язку; знищення, руйнування чи викрадення оригінальних носіїв інформації; викрадення програмних чи апаратних ключів і засобів криптографічного захисту інформації; вплив на персонал; поставка «інфікованих» компонентів інформаційних систем.

До радіоелектронних засобів належать:

• перехоплення інформації в технічних каналах її витоку;

• будова електронних пристроїв перехоплення інформації в технічних засобах і приміщеннях;

• перехоплення, дешифрування та подання хибної інформації в мережах передачі даних і мережах зв’язку;

• вплив на парольно-ключові системи;

• радіоелектронне придушення мереж зв’язку і систем керування.

До організаційно-правових засобів слід віднести купівлю недосконалих або застарілих інформаційних технологій та засобів інформатизації; невиконання вимог законодавства та затримку прийняття необхідних нормативно-правових положень в інформаційній сфері; неправомірне обмеження доступу, до документів, в яких знаходиться важлива для громадян та організацій інформація.

Методи запобігання та ліквідації загроз інформаційній безпеці

Для запобігання та ліквідації загроз інформаційній безпеці використовують правові, програмно-технічні і організаційно-економічні методи.

Правові методи - передбачають розробку комплексу нормативно-правових актів і положень, регламентуючих інформаційні відносини в суспільстві, керівних і нормативно-методичних документів щодо забезпечення інформаційної безпеки.

Програмно-технічні методи — це сукупність засобів:

• запобігання витоку інформації,

• виключення можливості несанкціонованого доступу до інформації,

• запобігання впливам, які призводять до знищення, руйнування, спотворення інформації, або збоям чи відмовам у функціонуванні засобів інформатизації,

• виявлення закладних пристроїв,

• виключення перехоплення інформації технічними засобами,

• використання криптографічних засобів захисту інформації при передачі по каналах зв’язку.

Організаційно-економічні методи передбачають формування і забезпечення функціонування систем захисту секретної і конфіденційної інформації, сертифікацію цих систем згідно вимогам інформаційної безпеки, ліцензування діяльності в сфері інформаційної безпеки, стандартизацію способів і засобів захисту інформації, контроль за діями персоналу в захищених інформаційних системах.

Важливе значення для запобігання інформаційним загрозам має мотивація, економічне стимулювання і психологічна підтримка діяльності персоналу, який забезпечує інформаційну безпеку.

Інформаційна безпека (ІБ) значною мірою визначає, з одного боку, рівень захищеності і, як наслідок, стійкості основних сфер життєдіяльності суспільства (країни) по відношенню до небезпечного (дестабілізуючого, деструктивного, уразливого тощо) інформаційного впливу, а з іншого боку – інтенсивність розвитку суспільства в тій чи іншій сфері за рахунок ефективного використання накопичених людством знань. З точки зору інформатизації під ІБ розуміється ступінь захищеності інформаційних ресурсів від негативного впливу різного роду зовнішніх і внутрішніх інформаційних загроз, яка забезпечує їх ефективне використання в інтересах громадян, суспільства і країни. Отже системний підхід до автоматизації вирішення задач ІБ при створенні національних інформаційних систем з їх інтеграцією у глобальні міжнародні інформаційні системи вимагає дослідження і вияву всіх можливих механізмів впливу на національний інформаційний простір, особливо на зміст інформаційних потоків.

Сутність механізмів інформаційного впливу пов‘язують з таким об‘єктивно існуючим феноменом, як інформаційна боротьба. Сьогодні абревіатура IW (Information War) набуває все більшого розповсюдження. Інформаційна боротьба передбачає вирішення наступних взаємопов‘язаних комплексів і завдань:

1. Цілеспрямоване добування вірогідної інформації про стан та діяльність своїх об‘єктів і об‘єктів протидійної сторони з жорсткими вимогами до її якості і оцінка на її основі політичної, воєнної тощо обстановки.

2. Цілеспрямований і комплексний вплив на інформаційні ресурси протидійної сторони на всіх фазах їх виробництва, розповсюдження і використання. При цьому особливої важливості набуває вплив, націлений на зміну саме змісту інформації.

3. Захист своїх інформаційних ресурсів від впливу на них протидійною стороною на всіх фазах процесу їх відтворення.

Таке визначення завдань інформаційної боротьби обумовлює об‘єкти впливу, а саме: інформаційні ресурси, інформаційні технології і фахівці з аналітичного опрацювання інформаційних потоків, які безпосередньо вирішують завдання інформаційно-аналітичного забезпечення органів державного управління.

Вплив на інформаційні ресурси можна організувати як за якісними так і за кількісними показниками. Інформаційна ізоляція (інформаційний голод), або, навпаки, перевантаження, завчасно розроблені та передані тези та аргументи, дезінформація можуть суттєво впливати на процес прийняття рішень.

Вплив на кількісні показники інформаційних ресурсів в сучасних комп‘ютерних мережах активно здійснюється шляхом “засмічування”. Сутність механізму полягає у використанні ключових понять, які за допомогою технології гіпертекстових структур виходять на семантичне поле пов‘язаних понять і нарощуються великою кількістю інформації. Інформація тримає, доки не буде вичерпаною. Як наслідок, корисної інформації дуже мало, а час, витрачений на її вивчення, знижує, а інколи і зводить нанівець ефективність праці.

Вплив на якісні характеристики (зміст та структуру) інформаційних ресурсів здійснюється за рахунок втілення підготовленої дезінформації, тенденційно поданої інформації, викривлення змісту інформації (наприклад, в процесі її передачі або обробки).