Целью работы является исследование организационно-правовой базы построения защищенных медицинских информационных систем (МИС). Информатизация системы здравоохранения в России в последние годы привела к созданию большого числа прикладных МИС в рамках нацпроекта «Здоровье» и реализации региональных пилотных проектов. Ежегодно подводятся итоги конкурса «Лучшая медицинская информационная система» [1]. Анализ ряда российских МИС показывает, разработчики в основном решают прикладные задачи диагностики, отчетности, ведения регистров и справочников, мало уделяя внимание вопросам защиты информации. Информация, хранимая в МИС, входит в перечень сведений конфиденциального характера [2], и поэтому требует применения мер по ее защите, что весьма актуально при интеграции МИС федерального и регионального уровней, развития телемедицины [3] и внедрения электронных карточек здоровья, как носителей персональных данных (ПД) субъектов [4]. Специфика медицинской информации и общие требования к построению систем хранения обработки и передачи медицинских данных отражены в международных [4-6] и российских стандартах [7]. При создании МИС необходимо руководствоваться федеральными законами [8-11] и стандартами в сфере информационных технологий [12-15]. Реализация требований по защите информации целиком возлагается на разработчиков МИС и средств защиты информации.
Архитектура безопасности МИС представляет собой комплекс средств защиты информации на аппаратном, программном и организационном уровнях с учетом моделей угроз безопасности [12]. Организационный уровень предполагает наличие в учреждении: утвержденной руководителем политики безопасности; должностного лица или структурного подразделения, ответственных за обеспечение безопасности ПД; перечня защищаемых информационных ресурсов и режима безопасности; утвержденного списка лиц, имеющих доступ на обработку ПД согласно должностным обязанностям. Здесь должно быть обеспечено: оперативное обнаружение фактов несанкционированного доступа; охрана технических средств обработки информации; восстановление данных при их утере; аудит безопасности; заключение о вводе в эксплуатацию системы защиты информации; обучение персонала [11]. Аппаратный уровень определяет комплекс технических средств защиты от воздействий внешней среды, перебоев в подаче электроэнергии, несанкционированных подключений к сети, резервирования дисковых массивов с важной информацией, защищенной сегментации сети, контроля внешнего доступа через межсетевые экраны [13]. Программный уровень включает антивирусные средства, firewalls, аутентификацию пользователей, защиту документов электронной цифровой подписью [9], шифрование данных [15] и авторизацию доступа к сетевым ресурсам и базам данных.
Литература