text

Как медицинская организация может сберечь свою базу данных

  • 2 июля 2018
  • 178
http://novosti33.ru/2016/02/kazhdomu-vrachu-8212-kompyuter/
http://novosti33.ru/2016/02/kazhdomu-vrachu-8212-kompyuter/

Вопрос безопасности базы данных частной клиники актуален для любого предприятия, тем более – для клиники, которая работает в системе автоматизации и оперирует информацией о данных своих пациентов.

На какие моменты необходимо обратить внимание и как выстроить грамотную систему, которая сохранит безопасность данных, рассказывают наши эксперты.

Защита персональных данных в рамках специализированных информационных систем

Арсен Нахапетян, руководитель региональных проектов центра компетенций "Здравоохранение" группы компаний Softline

КАК МЕДИЦИНСКАЯ ОРГАНИЗАЦИЯ МОЖЕТ СБЕРЕЧЬ СВОЮ БАЗУ ДАННЫХ

О компании. Softline – поставщик ИТ-решений и сервисов, работающий в 30 странами мира. В числе клиентов Softline – 80 городов из Европы, Америки и Азии. Цель компании – создание облачных и технологических решений различных типов и поставка аппаратного обеспечения.

За персональными данными пациентов идет планомерная охота злоумышленников. Они действуют через уязвимые места инфраструктуры предприятий и организаций. Значительная часть такой информации утекает через корпоративные почтовые ресурсы. Персональные данные пациента в определенных кругах представляют очень высокую ценность, поскольку могут содержать в себе всю историю его болезни и личные данные, вплоть до информации, указанной в паспорте. В чужих руках такая информация способна оказаться как базой потенциальных покупателей с конкретными потребностями, так и средством их шантажа. Учитывая скорость информатизации здравоохранения, можно предположить, что именно персональные данные окажутся одной из первичных целей кибератак в медицине. Поэтому необходимо позаботиться о надежных средствах защиты всей информации, хранящейся в медицинской организации.

Определенный интерес вызывает защита персональных данных в рамках специализированных информационных систем для медицинской отрасли, а также в рамках решений для телемедицины. Наиболее часто используемыми приемами повышения безопасности в таких случаях являются обезличивание персональных данных пациента с присвоением MPI (medical patient index) и использование, например, таких средств безопасности, как ViPNet, защищенные каналы, соответствующая архитектура информационных систем и дата-центров, где хранятся данные о пациентах, а также неукоснительного соблюдения 152ФЗ «О персональных данных». С технической точки зрения все меры защиты персональных данных – это специальные средства, ПО и мероприятия, ПО, требования к которым четко прописаны в постановлении Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Наиболее значимыми из них я бы назвал идентификацию и аутентификацию субъектов и объектов доступа, управление доступом субъектов доступа к объектам доступа, установку и запуск только разрешенного ПО, исключение несанкционированного доступа к машинным носителям данных, фиксацию всех событий безопасности в информационной системе организации, использование надежного антивирусного ПО, соблюдение мер по обнаружению и предотвращению вторжений, систематический контроль и анализ защищенности персональных данных, соблюдение мер по защите технических средств и защите информационной системы предприятия.

Разграничивайте доступ, изолируйте данные

Алексей Парфентьев, ведущий аналитик компании «СёрчИнформ»

КАК МЕДИЦИНСКАЯ ОРГАНИЗАЦИЯ МОЖЕТ СБЕРЕЧЬ СВОЮ БАЗУ ДАННЫХ

О компании. Российская компания, производитель программного обеспечения для защиты от утечек информации, контроля продуктивности сотрудников за ПК и управления событиями информационной безопасности.

Техническая защита медицинской базы – вопрос первостепенный. При этом неважно, насколько клиника большая и на чем специализируется. По закону, если вы обрабатываете персональные данные, в особенности – биометрические (отпечатки пальцев, код ДНК и т.д.), защищайте их с особой тщательностью. В противном случае вам грозит уголовная ответственность.

Для того, чтобы избежать утечки информации и выполнить требования регуляторов, критически важно жестко разграничивать доступ и изолировать данные. То есть у клиники должно быть специальное программное обеспечение, которое предоставляет доступ только определенным сотрудникам. При этом за действиями оператора, который обрабатывает персональные данные, тоже необходимо наблюдение.    

Кроме того, среду обработки нужно изолировать от других IT-систем. Другими словами, если сотрудник сканирует паспорт, компьютер автоматически через нужное приложение должен складывать копию в определенное место – без возможности сделать что-либо в обход. Этот пункт важен, так как во многих, особенно небольших компаниях, нет автоматизированных мест для обработки персональных данных. Только общий компьютер, где установлены как обычные, так и специальные программы. То есть сотрудники работают с конфиденциальными данными и ходят по незащищенным интернет-ресурсам с одного рабочего места.  

Второй момент – защита от инсайдеров, которые могут украсть базу. При особом желании обойти разграничение доступа можно: зайти под учетной записью коллеги, сфотографировать экран, скинуть данные на флешку или в облако. В этом случае помогут системы защиты от утечек – DLP. Эти решения контролируют всю информацию, которая передается на корпоративных компьютерах и по рабочей сети, поэтому смогут вовремя отреагировать на попытку сотрудника вынести важную информацию.  

Например, DLP нашей компании используют в разных медицинских учреждениях. У нее есть стандартные политики безопасности, которые помогают защищать информацию от распространенных угроз: от передачи конфиденциальных документов или сканов паспорта, попытки переслать номер телефона или паспорта, вырезку из истории болезни, часть медкарты.  

Естественно, перечисленные технические средства нужно использовать вместе. На первом месте – разграничение доступа и изоляция среды обработки персональных данных от всех других систем. Во вторую очередь – остальные средства ИБ-защиты.

Основные моменты, регулирование, организация безопасности медицинской базы

Максим Андреев, заместитель генерального директора КРОК по перспективным направлениям бизнеса 

КАК МЕДИЦИНСКАЯ ОРГАНИЗАЦИЯ МОЖЕТ СБЕРЕЧЬ СВОЮ БАЗУ ДАННЫХ

О компании. Российский системный интегратор, одна из десяти крупнейших ИТ-компаний России 


С развитием современных цифровых технологий медицина переходит на новый формат работы с информацией – онлайн-запись вместо многочасового ожидания в очереди, удаленные консультации вместо походов к врачу, электронные медицинские карты вместо традиционных бумажных. С переводом данных в цифровой вид медицинские учреждения становятся все более уязвимы к киберугрозам – утечке или кражи персональных данных пациентов. Эти обстоятельства диктуют самые высокие требования к средствам защиты медицинских баз данных. 

Обеспечение надежности таких баз сегодня регулируется федеральным законом №152 «О персональных данных», где персональные данные, содержащие информацию о здоровье, выделятся в наиболее важную категорию – «специальная категория ПДн». Минимальный уровень защищенности, который может быть присвоен данной категории – третий (из четырех возможных). В случае если количество субъектов в базе данных превысит сто тысяч, то минимально возможным уровнем защищенности станет второй.

Говоря о технических аспектах, то набор мер безопасности при построении системы защиты персональных данных (СЗПДн), обрабатываемых в медицинских базах, приведены в Приказе ФСТЭК России №21 г. Они определяются по результатам проведения комплексного аудита – анализа угроз безопасности информации и определения уровня защищенности ПДн в отношении базы данных конкретного медицинского учреждения. Далее, в рамках технических мер информационной безопасности, выполняется разработка и внедрение систем защиты персональных данных. Подобные проекты по обеспечению защиты систем персональных данных медицинских организаций в соответствие с требованиями российского законодательства мы уже не первый год успешно реализуем для своих заказчиков.

5 рекомендаций для обеспечения безопасности медицинской базы

Андрей Цой, директор по медицине АО «Технология здоровья»

КАК МЕДИЦИНСКАЯ ОРГАНИЗАЦИЯ МОЖЕТ СБЕРЕЧЬ СВОЮ БАЗУ ДАННЫХ

О компании. "Технология Здоровья" разрабатывает и сопровождает современные IT-решения и сервисы в области здравоохранения

Деятельность любых медицинских учреждений в настоящее время связана с использованием большого объема персональных данных о пациенте и их автоматизированной обработкой на компьютерах. Поэтому актуальными являются вопросы правового регулирования такой обработки и обеспечение их безопасности. Основными нормативными правовыми актами, которые регламентируют автоматизированную обработку и защиту персональных данных, являются:

  • Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
  • Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”.
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке информационных системах персональных данных».
  • Приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Приказ Федеральной службы по надзору в сфере связи, ИТ и массовых коммуникаций от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  • Приказ ФСБ от 10.07.2014 № 378 « Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средства криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности».

Основных рекомендаций в части обеспечения требований законодательства для руководителей медицинских учреждений всего несколько.

  1. для обработки и хранения персональных и медицинских данных необходимо использовать услуги защищенных ЦОДов (Центр обработки данных), что должно подтверждаться аттестатом соответствия 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан, соответственно. Размещение информационных систем персональных данных (ИСПДН) в инфраструктуре аттестованных ЦОД позволит избежать необходимости проектировать и создавать эти ИСПДН самостоятельно.

Такой подход:

  • существенно снижает капитальные затраты на создание ИСПДН (в том числе, приобретение клиникой дорогостоящих сертифицированных средств защиты)
  • обеспечивает упрощенную процедуру аттестации ИСПДН в уже аттестованном сегменте ЦОД
  • снижает операционные затраты на поддержку ИСПДН (не потребуется организация собственной квалифицированной технической поддержки ИСПДН и средств защиты, подбор и обучение персонала и т.п.).

  1. Необходимы сертифицированные средства защиты на автоматизированных рабочих местах медработников, которые работают с ИСПДН
  2. Необходимо наличие локальных регламентов, определяющих как законность обработки персональных данных в медучреждении, так и их защиту.
  3. В ЦОД, в отличии от серверных комнат медучреждений, защита от потерь обеспечивается не только применением высоконадежных технических средств обработки информации, но и их многократным резервированием как в границах самого ЦОДа, так и между ЦОДами (в резервном ЦОДе).

Вопрос проверок со стороны «регуляторов» выполнения правил обработки и защиты персональных данных. Передача в эксплуатацию ИСПДН медучреждения оператору персональных данных (в ЦОД) позволяет частично делегировать ему и ответственность за обеспечение защищенности.

Мы в соцсетях
Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Не забудьте подтвердить регистрацию на почте
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.