text

Технологии в медицине: ключевые стандарты, автоматизация и СМИБ

  • 22 декабря 2017
  • 175
https://ru.freepik.com
https://ru.freepik.com

В процессе применения информационных технологий в медицине необходимо учитывать недопустимость разглашения врачебной тайны. Данный факт диктует строгие правила по защите информации. Ниже мы рассмотрим несколько систем и стандартов, которые призваны помочь сотрудникам клиники в защите данных.

Новые технологии в медицине: терминология и правовая база

Автоматизация бизнес-процессов в частных медицинских клиниках пока происходит достаточно медленно. Программа для управления создают по сути общее информационное пространство, необходимо для функционирования и сохранения информации. Все компьютерное оборудование, которое используется в работе клиники на сегодняшний день, имеет единую сеть. Эта сеть создает общее информационное пространство. Можно сказать, что для клиники такие сервисы являются чем-то вроде нервной системы – она гарантирует связь между подразделениями и сотрудниками и обеспечивает соответствующий моменту ответ на действия, которые связаны с работой сотрудников.

Одной из важных параметров таких сервисов считается степень защиты содержащейся в ней информации. Создать для этого все необходимые условия помогает система менеджмента информационной безопасности (или СМИБ).
При использовании СМИБ в работе медицинской организации необходимо следовать стандарту ГОСТ Р ИСО МЭК 27001-2006. Он отвечает требованиям международного стандарта ISO 27001, который, в свою очередь, является более известным стандартом информационной безопасности при внедрении новых технологий в медицину.
На схеме, представленной в документе, размещен вариант построения системы менеджмента информационной безопасности. Схему можно скачать в конце статьи.

Современные технологии в медицине: строение СМИБ

1. Управление. Сюда входят: анализ системы руководителем учреждения; управление документооборотом и ресурсами. Кроме того, к этому блоку относятся внутренний аудит системы и действия – такие современные технологии в медицине направлены на оптимизацию работы системы.

Перед тем как применять на практике этот блок, необходимо учесть все условия, которые указаны в стандарте. А также нужно определить, каким образом в клинике будет применяться этот стандарт. Установив основные задачи использования программы для управления клиникой, вы сможете разделить в СМИБ права и обязанности, установить конкретную структуру.

2. Определение направлений защиты. Здесь в СМИБ включаются наиболее значимые цели. Список целей и их характерные черты обусловлены тем, какой политики придерживается клиника  в отношении информационной безопасности.
При создании этого блока системы следует предоставить оценку разным способам управления активами, а кроме того, сформировать их полный список. В то же время проводится анализ вероятности потери конфиденциальных данных из-за возможных ошибок, либо по причине умышленных манипуляций работников. Исходя из результатов данного анализа, строится система допуска к базам данных. Так, современные технологии в медицине позволяют формировать разные  системы допуска к информации в зависимости от должности сотрудника.
На случай каких-либо происшествий должен быть заранее обдуман план действий. Главная задача этого плана – обеспечить в постоянном режиме работоспособность сервиса и медучреждения.

3. Реализация мер защиты. Здесь указаны такие разделы, как аппаратные, программные и организационные меры и учебные мероприятия.
Суть каждого раздела отображена на схеме. В качестве дополнения отметим, что проведение учебных мероприятий следует поручать тем работникам, которые уже прошли обучение менеджменту в сфере инцидентов информационной безопасности и обладают необходимыми навыками в области современных технологий в медицине.
Аббревиатура PDCA на схеме образована из первых букв от «Plan», «Do», «Check» и «Act». В данном случае эти слова означают составление плана, выполнение, проверку и корректировку. Отметим также, что выполнение в этом контексте означает, в том числе, и обучение сотрудников медучреждения.

Возможно, вам будет интересно

Компьютерные технологии в медицине: аудит системы менеджмента информационной безопасности

Компьютерные технологии в медицине также требуют аудит СМИБ – это опросный лист, который составляется исходя из требований стандарта ISO 27001. В процессе заполнения опросного листа необходимо документально заверять информацию.
Как приблизительно выглядит список вопросов, указанных в опросном листе, узнаем ниже.
1. Описаны ли ценные для клиники активы, определено ли, у кого они находятся во владении?
2. Было ли произведено распознавание угроз по отношению к активам?
3. Было ли произведено распознавание уязвимостей по отношению к активам?
4. Произведен ли конкретный анализ последствий в случае нарушения допуска к активам, нарушения их целостности или возникновения вероятности неутвержденного доступа к ним?

Первые четыре вопроса можно отнести в категорию «Распознавание рисков».

В случае нарушения допуска к активам и их целостности клинике будет нанесен ущерб. Определенные последствия повлечет за собой и сбой в системе безопасности.

5. Произведена ли количественная оценка этого вреда?
6. Проанализирована ли возможность сбоев в системе безопасности? Во время ответа необходимо принимать во внимание самые вероятные угрозы и самые уязвимые места, а кроме того, учитывать возможность наступления последствий.
7. Произведена ли оценка степени рисков?
8. Произведен ли анализ установленных рисков по мере их приемлемости и неприемлемости?
9. Каждый риск обрабатывается. К примеру, это может быть избежание риска, принятие его или передача. Кроме того, по отношению к рискам могут быть приняты и другие административные меры. Имеется ли список данных мер? Произведен ли анализ для каждого случая?
10.  В процессе обработки рисков при использовании компьютерных технологий в медицине необходимо подбирать меры и цель управления. Производятся ли эти действия?
11.  В случае наличия остаточных рисков, приняты ли они руководителем медучреждения?
12.  Работа СМИБ и меры АО по введению системы производятся с позволения руководителя учреждения?
13.  Закреплены ли мероприятия по обработке рисков в «Положении о применимости»?
14.  В процессе управления рисками следует расставить приоритеты, разделить обязанности и средства, обдумать ряд действий руководителя медучреждения. Есть ли план, оформленный в виде документа?
15.  Приняты ли меры по осуществлению проекта обработки рисков, гарантировано ли финансирование, разделены ли обязанности и функции?
16.  Защита данных гарантируется соблюдением определенных правил. Определены ли эти правила, зафиксированы ли и выполняются ли они на практике?

Вопросы с 14 по 16 можно отнести в категорию «Введение и действие СМИБ».

17. В случае возникновения ошибок в процессе обработки данных, важно обнаружить их вовремя. Для этого производятся специальные аналитические мероприятия и наблюдение. Осуществляются ли подобные действия?
18. Происшествия в области информационной безопасности (например, состоявшиеся или несостоявшиеся нарушения правил допуска к информации) необходимо систематизировать согласно их видам; оценивать стоимость и размер нарушения; осуществлять регистрацию аналогичных моментов. Для этих целей нужны определенные механизмы. Внедрены ли они?
19. Функционируют ли механизмы прогноза, регистрации и анализа нарушений информационной безопасности, и насколько эффективно они работают?
20. Позволяют ли компьютерные технологии в медицинской клинике анализировать остаточные риски и степень приемлемости рисков? Производится ли систематическая переоценка рисков? Анализ и переоценка основываются на результатах уже реализованного управления рисками, введении новых технологий в медицине и изменении структуры СМИБ.
21. Регистрируются ли действия, имеющие возможность повлиять на деятельность СМИБ?

Вопросы с 15 по 21 можно отнести в категорию «Анализ и мониторинг СМИБ».

22. Руководитель формирует и утверждает политику информационной безопасности, а также ставит задачи, имеющие важное значение для области информационной безопасности. Сформированы ли и утверждены ли надлежащие документы?
23. Имеется ли описание определенного способа, с помощью которого проводится анализ рисков в области информационной безопасности?
24. Имеется ли отчет, в котором необходимо указывать анализ рисков?
25. Чтобы получить допуск к данным, необходима авторизация, которая должна производиться согласно установленным формам. Имеются ли подобные заполненные формы?
26. Регулирование действий СМИБ, введение этих действий, анализ результатов способов регулирования и составление планов необходимо реализовывать согласно установленному порядку. Сформирован ли и зафиксирован ли этот порядок в документах?
27. Представлена ли формулировка приемлемых степеней риска, которые допускаются при использовании компьютерных технологий в медицине, есть ли условия, при которых риск возможно принять?

Вопросы с 22 по 27 можно отнести в категорию «Требования к документации СМИБ».

28. В процессе осуществления дополнительных услуг есть вероятность появления неполадок, которые могут повлиять на технику. Помимо этого, к примеру, на технику также может оказывать негативное влияние отключение электричества. Существуют ли способы защиты от этих влияний?
29. Повредить техническое оснащение учреждения или его помещения могут и внешние условия, возникающие в результате действий, как человека, так и природы – никакие компьютерные технологии, используемые в медицине, от этого не защищены. К примеру, это могут быть стихийные бедствия. Сформулированы ли условия поведения для данных ситуаций и выполняются ли они?
30. Данные могут передаваться с помощью кабельных сетей или радиоканалов. Есть ли защита средств коммуникации на случай попытки перехвата этих данных?
31. Производятся ли процедуры по профилактике неисправности технического оснащения клиники?
32. Имеется ли доступ для прошедших авторизацию пользователей к операционным процедурам, которые применяются в процессе обработки данных? Производится ли документирование этих процессов?
33. В том случае, когда данные передаются в режиме онлайн, есть вероятность появления определенных сбоев – повтор сообщений, различные изменения данных, нарушения доступа к данным. Имеются ли способы защиты в этой сфере?
34. В процессе проведения контроля, аудита и проверки происшествий в области информационной безопасности должна быть регистрация операций, которые производятся пользователями. Кроме того, нужно фиксировать внештатные обстоятельства. Заполняются ли для этого специальные журналы? Производится ли их хранение?
35. Фиксируются ли операции, которые производят системный оператор или администратор в регистрационном журнале?
36. Производится ли регистрация и анализ нарушений?
37. Сформулирована ли общая политика, контролирующая допуск?
38. Любые действия, осуществляемые пользователем в системе, производятся только после регистрации. В том случае, когда учетная запись пользователя удалена, доступ невозможен. Формализованы ли регистрационные действия?
39. Пользователи клиники, использующей современные технологии в медицине, также получают пароли в определенном порядке.
40. Формализован ли этот порядок и действия по преобразованию степени допуска и прав пользователей сервиса?
41. В случае удаленного доступа производится ли процедура проверки подлинности?
42. Если произошла аварийная остановка критических процессов обработки данных, то допуск к данным и работоспособность системы должны быть возобновлены как можно быстрее. Спланированы ли необходимые для этого действия?

Вопросы с 28 по 43 можно отнести в категорию «Способы управления информационной безопасностью».

После заполнения опросного листа можно будет получить конкретные ответы и прояснить ряд моментов в системе менеджмента информационной безопасности. К примеру – чего в системе недостаточно, что необходимо дополнить, а что – улучшить. Кроме того, аудит современных технологий, используемых в медицинском бизнесе, окажет помощь в предотвращении возможных угроз. При этом необходимо руководствоваться требованиями стандарта.
Полученную информацию анализирует руководство медучреждения. После этого сведения об итогах проверки доводятся до тех работников, которые отвечают за информационную безопасность и при необходимости производится устранение обнаруженных недочетов.

Вложенные файлы

Доступно только авторизованным пользователям
  • Технологии в медицине. Системы менеджмента информационной безопасности.docx
Мы в соцсетях
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.