text

Как обезопасить медицинскую базу данных частной клиники

  • 8 июня 2018
  • 170
Технический писатель группы компаний "ИТ-ГРАД"

Как известно, современные технологии улучшают не только качество жизни, но и влияют на различные сферы бизнеса. Медицинская отрасль и здравоохранение как вид деятельности в целом не могут существовать в отрыве от ИТ. Новые решения, используемые сегодня в медицинских клиниках, в корне меняют подход к способам оказания медицинских услуг. Но далеко не каждый знает, как такие учреждения решают правовые вопросы и обеспечивают безопасность информационных систем, в том числе баз данных, ведь юридические, технические и законодательные инициативы никто не отменял.

Ключевые методы защиты медицинских баз данных

Начнем с того, что большинство современных клиник давно перешли на использование комплексных медицинских информационных систем разного назначения, функциональных возможностей и вида, позволяющих хранить и обрабатывать огромные объемы информации. Каждая такая система имеет собственную архитектуру, в основе которой зачастую лежат базы данных. Однако такие базы являются камнем преткновения, поскольку хранят пользовательские данные, объем которых непрерывно растет, а вместе с тем увеличиваются риски утечки или кражи информации. По этой причине медучреждения должны заботиться о безопасности инфраструктуры и принимать соответствующие меры.  

При это важно понимать, что механизмы и методы защиты, используемые в медицинских компаниях, могут отличаться друг от друга. К сожалению, нет единого решения, которое бы подошло для всех одновременно. Но вместе с тем существуют лучшие практики и наборы инструментов, используя которые, можно добиться наилучших результатов. Некоторыми из них поделимся ниже:

Используйте многоуровневую систему защиты информации в медицинской базе данных, поскольку чем больше уровней, тем меньше шансов ее обойти.

Не пренебрегайте политикой паролей. Каким бы тривиальным ни казался этот совет, пренебрежение им на практике приводит к печальным для медицинской клиники последствиям. Нередки случаи, когда в крупных организациях учетные записи с административными полномочиями имеют слабые пароли, которые довольно легко подбираются, и нарушитель получает доступ к важным ресурсам, в том числе и базе данных. По этой причине необходимо использовать надежные пароли, состоящие из комбинации строчных и прописных букв, цифр и специальных символов длиной не менее 8 знаков, которые необходимо менять на регулярной основе.

Используйте методы разграничения прав доступа для медицинского персонала, поскольку этот принцип лежит в основе любой многопользовательской СУБД. Учетным записям пользователей базы данных в клинике следует предоставлять только тот набор разрешений, который необходим для выполнения прямых должностных обязанностей отдельно взятого пользователя. Не стоит забывать о принципах минимальных полномочий.

Используйте шифрование, поскольку доверять защиту данных исключительно самой системе управления базами данных – дело неблагодарное. Используя криптографические средства защиты, информация в базе окажется нечитабельной для третьих лиц, в случае, если злоумышленник гипотетически получит доступ к инфраструктуре. На сегодняшний день существует немало решений, способных обеспечить прозрачное шифрование. Причем на пользователях это никак не отразится, они смогут работать с базой в обычном для себя режиме.

Не пренебрегайте резервным копированием, поскольку бэкап позволяет восстановить данные в случае аппаратных или программных сбоев. Регулярное создание резервных копий и дублирование их на альтернативных источниках хранения позволят максимально быстро воссоздать актуальную информацию в случае ее недоступности на основном ресурсе.

Позаботьтесь о физической безопасности медицинской базы данных клиники. В традиционном смысле это означает, что сервер баз данных должен находиться в безопасном, защищенном окружении и без допуска несанкционированных лиц. Кроме того, базу данных лучше располагать на отдельном узле, где присутствие дополнительного софта сведено к минимуму либо полностью исключено.

Используйте дополнительные средства защиты в виде программно-определяемого/ аппаратного файервола. Поскольку сервер баз данных должен быть защищен от атак и лишних обращений, необходимость в установке брандмауэра очевидна. Разрешив только необходимый трафик, сервер базы данных клиники будет огражден от нежелательных попыток доступа.

Устанавливайте рекомендуемые патчи и обновления безопасности, используйте актуальную версию программного обеспечения со всеми исправлениями, закрывающими известные уязвимости. Дополнительно следует удалить или отключить сервисы, необходимость в использовании которых полностью отсутствует.

Ведите аудит и мониторинг активности базы данных. Отслеживайте попытки доступа к ОС и БД, проводите регулярный анализ журналов на предмет обнаружения аномальной активности. Эффективное ведение мониторинга позволит выявить, когда была скомпрометирована учетная запись, когда выполнялись подозрительные действия, когда БД находилась под атакой и многое другое.

Проблему защиты медицинской базы данных решают облака

Сегодня облака решают целый ряд задач, за счет чего их популярность с каждым годом только увеличивается. Так, любая клиника может сделать выбор в сторону облачной площадки, отказавшись от on-premise подхода. И в этом есть здравый смысл, поскольку, используя облако, можно существенным образом экономить, получая взамен более гибкую, надежную и масштабируемую инфраструктуру. Это касается и баз данных, которые могут быть перенесены на сторону провайдера.

Например, разместив базу данных в облаке, медицинская клиника снимает с себя задачи по администрированию и управлению базой данных, включая соблюдение части норм и регламентов обеспечения безопасности, возлагая озвученный перечень задач на поставщика услуг IaaS. Используя услугу облачной базы данных, медклиника получает готовое к работе решение, стабильно функционирующее и доступное в любой момент. При этом провайдер обеспечивает защиту медицинской базы данных, соблюдает политику безопасности, использует актуальный и проверенный набор необходимых инструментов. В зависимости от установленных договоренностей, провайдер отвечает за:

  • Администрирование ОС и баз данных.
  • Мониторинг баз данных.
  • Резервное копирование данных.
  • Управление доступом к базам данных.
  • Решение инцидентов в работе базы данных.
  • Обновление программного обеспечения.
  • Мониторинг состояния баз данных и резервных копий.
  • Восстановление баз данных из резервных копий в случае необходимости.

Таким образом, вынося базу данных в облако, копания получает доступный и отказоустойчивый сервис, гарантированно высокую производительность, что немаловажно для медицинских клиник, каждый день обрабатывающих и работающих с личными данными пациентов.

Юридические аспекты безопасности медицинской базы

А как обстоит дело с точки зрения закона в отношении хранения персональных данных в базах медицинских клиник? Прежде чем ответить на этот вопрос, необходимо понять, что для защиты информации в системах здравоохранения, вне зависимости от того использует ли медклиника облако или управляет инфраструктурой в собственной серверной, применяются технические и административные меры, за невыполнение которых компания несет ответственность. И чтобы не переступать закон, необходимо соблюдать требования регулятора, беря во внимание тот факт, что обрабатываемые данные пациентов (сведения о состоянии здоровья) – одна из самых личных категорий информации, разглашение, кража или потеря которой может послужить для компании не самым благоприятным образом.

С позиции Федерального закона «О защите персональных данных», любая организация, в том числе медицинская клиника, осуществляющая сбор и хранение пользовательских данных, выступает оператором ПДн, а значит, несет за это полную ответственность. И мало того, что необходимо обеспечивать безопасность инфраструктуры, включая БД, любая частная клиника должна следовать требованиям законодательства и быть полностью готовой к любой проверке. Справиться с этим бывает непросто. По этой причине легче и проще использовать услугу «Облако ФЗ-152», предлагаемую провайдером облачных услуг, в рамках которой клиент получает инфраструктуру с полным набором необходимых сертифицированных средств, технических и административных мер защиты информации, задействованных для выполнения требований ФЗ-152. В таком случае ПДн размещаются в отдельном защищенном сертифицированными средствами защиты информации облаке, спроектированном и построенном специально по заказу клиента. Все законно, безопасно и совершенно прозрачно.

Заключение

Защита любой базы данных, в том числе медицинской, должна начинаться с принятия базовых мер безопасности, которые лучше всего реализовывать поэтапно. Такой подход позволит добиться целостности и конфиденциальности данных. Но чтобы гарантировать полную безопасность БД, необходимо использовать комплексный подход, в основе которого лежат специализированные средства защиты, интегрируемые с системами управления баз данных. Где лучше реализовать такой подход – в облаке или в собственной on-premise инфраструктуре? Право выбора всегда остается за отдельно взятой компанией.

Мы в соцсетях
Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Не забудьте подтвердить регистрацию на почте
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.