ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СИСТЕМЫ ДИСТАНЦИОННОЙ КОММУНИКАЦИИ С МЕДИЦИНСКОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ ДЛЯ ОТДЕЛЕНИЯ ЛУЧЕВОЙ ДИАГНОСТИКИ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СИСТЕМЫ ДИСТАНЦИОННОЙ КОММУНИКАЦИИ С МЕДИЦИНСКОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ ДЛЯ ОТДЕЛЕНИЯ ЛУЧЕВОЙ ДИАГНОСТИКИ

Федоренко Игорь Владимирович

студент, Санкт-Петербургский политехнический университет Петра Великого,

РФ, г. Санкт-Петербург

Чемерис Ольга Сергеевна

канд. экон. наук, доц., Санкт-Петербургский политехнический университет Петра Великого,

РФ, г. Санкт-Петербург

INFORMATION SECURITY OF THE REMOTE COMMUNICATION SYSTEM WITH THE MEDICAL INFORMATION SYSTEM FOR THE DEPARTMENT OF RADIATION DIAGNOSTICS

Igor Fedorenko

Student, Peter the Great St.Petersburg Polytechnic University,

Russia, Saint-Petersburg

Olga Chemeris

candidate of economical sciences, associate Professor, Peter the Great St.Petersburg Polytechnic University,

Russia, Saint-Petersburg

АННОТАЦИЯ

Цель данного исследования состоит в разработке специального технического решения, способного обеспечить защиту данных медицинской информационной системы

Методология данного исследования основана на использовании методов системного анализа, парных сравнений, принципах иерархического представления проблемы и алгебры конечных предикатов, экспертных оценок и пр. Обоснование теоретических положений исследования осуществлялись на основе собранных и обобщенных автором в ходе проведения собственных исследований аргументированных выводов с использованием общенаучного, общеэкономического, статистического и эмпирического методов.

Результат исследования определяется защитой данных медицинского учреждения, в соответствии с требованиями законодательства, а также актуальной защитой от потенциальных угроз

Вывод данного исследования заключается в успешной разработке схемы контроля и защиты данных объекта критической информационной инфраструктуры – медицинского учреждения, отвечающей требованиям законодательства Российской Федерации.

Ключевые слова: медицинская информационная система, информационно-технологический комплекс, критическая информационная инфраструктура, медицинское учреждение.

Keywords: medical information system, information technology complex, critical information infrastructure, medical institution.

Обеспечение информационной безопасности - актуальный вопрос, направленный на решение таких проблем, как защита данных в информационной сфере и определяется возрастающей динамикой выявления онкологических патологий у пациентов, в связи с чем необходима объемная информационно-техническая база для диагностики онкологических заболеваний в медицинском учреждении, которая включает в себя такие виды исследований, как компьютерная томография, позитронная эмиссионная томография, магнитно-резонансная томография, компьютерная томография, однофотонная эмиссионная компьютерная томография и т.д., а также защита информации. 

Объемная информационно-техническая база является сложным, специфическим решением, включающее в себя большое количество оборудования как медицинского – томографы, рабочие станции, реконструкторы изображений, так и сетевого – компьютеры и периферийные устройства, серверы, сети и т.д. Также отмечу, что немаловажную роль в информационно-технической базе медицинского учреждения играет специфическое программное обеспечение, которое не только отвечает за хранение и передачу данных, работу с данными, но и является интерфейсом между пользователем и медицинской информационной системой.

Учитывая все техническое оснащение современного медицинского учреждения, а также опыт технического и медицинского персонала, можно сделать вывод о том, что актуальная информационно-техническая база современного медицинского учреждения в Российской Федерации имеет ряд недостатков в технической и программной части, такие как:

- отсутствие оперативного доступа к исследованиям пациентов в хранилище PACS;

- низкая скорость передачи данных;

- относительно небольшой объем хранения данных на сервере;

- ошибки и недочеты в программном обеспечении, которые периодически блокируют работу томографа, в связи с чем невозможно провести исследование пациента;

Стоит отметить, что медицинское учреждение является объектом критической информационной инфраструктуры [1, c.19], в связи с чем, необходима современнейшая система информационной защиты данных, что является основной концепцией данного отчета.

Учитывая описанные недостатки современного информационно-технического оснащения медицинского учреждения Российской Федерации, а также учитывая возможности, основанные на достижениях отечественных и зарубежных компаний в области создания программного обеспечения, сетевого оборудования, компьютеров, медицинской техники и информационной защиты, можно предложить усовершенствованную, подходящую под все современные требования модель архитектуры системы дистанционной коммуникации с медицинской информационной системой для отделения лучевой диагностики современного медицинского учреждения Российской Федерации, включающую в себя систему информационной безопасности.

Значительное число научных исследований посвящено описанным выше проблемам. Наиболее существенный вклад в развитие технической части диагностики в ядерной медицине внесли такие компании, как Siemens Healthcare, General Electric, Philips и т.д. Учитывая свой опыт, они совершенствуют технические и цифровые продукты, выпускают обновления и предоставляют новые возможности для лучевой диагностики и терапии.

В то же время, стоит учитывать специфику каждого медицинского учреждения, его финансовые возможности, местное законодательство, политическую ситуацию, расположение и т.д. То есть, каждое учреждение уникально и сложность заключается в том, чтобы разработать универсальное техническое решение, которое поможет медицинскому учреждению Российской Федерации обладать современными техническими возможностями в условиях высокой стоимости иностранных комплектующих, экономического кризиса и санкций.

Концепцией данного отчета является информационная безопасность, что является актуальным вопросом, направленным на решение таких проблем, как защита данных в информационной сфере.        

Цель данного отчета – показать разработанную компонентную и функциональную архитектуру системы информационной безопасности медицинского учреждения.

Ключевыми нормативными документами являются:

- Приказ ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

- Приказ ФСБ России №378 «Об утверждении Состава и содержания мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

- Приказ ФАПСИ №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [2, с.36].

Рассмотрим цели информационной безопасности:

- Защита национальных интересов;

- Обеспечение защиты и сохранности информации объектов критической информационной инфраструктуры, а также иных объектов, содержащих информацию для пользования ограниченным кругом лиц, в рамках законодательства РФ;

- Обеспечение конфиденциальности, в рамках законодательства РФ;

- Недопущение утечки информации;

- Обеспечение человека и общества достоверной информацией.

Под угрозой информационной безопасности понимается совокупность условий и факторов, реализация которых приводит к ситуации, в которой информационная безопасность учреждения оказывается в зоне риска [3, с.42].

В процессе анализа угроз информации необходимо оценить:

- Источник риска;

- Зону риска;

- Гипотетическую фигуру злоумышленника;

- Вероятность реализации риска;

- Степень ущерба от её реализации;

- Соотношение расходов, необходимых для минимизации риска, и убытка, причиняемого в случае его реализации.

Источниками угроз являются антропогенные, техногенные и стихийные факторы [4, с.39].

Рассмотрим подробнее, какие операционные процессы происходят в объектах здравоохранения:

- связь с региональным министерством (представление статистических данных руководству), управление медицинскими учреждениями и ресурсами;

- Web-единая регистратура (удаленная запись на прием и обследование);

- Работа с гражданами;

- Фонд ОМС и страховые компании;

- Отпуск рецептов дополнительного лекарственного обеспечения в аптеках по штрих-коду, электронный рецепт;

- Ведение электронных медицинских карт пациентов, защита персональных данных;

- Цифровые флюорографические кабинеты, аппараты ИВЛ, кардиомониторы, инфузоматы, серия приборов по биорезонансному тестированию, диагностике и биорезонансной терапии;

- Телемедицина, удаленная консультация, удаленное наблюдение кардиобольных;

- УЗИ аппараты;

- Контрольные браслеты со штрих-кодом, пластиковые карты;

- Профессиональное образование, наука, инновации, проведение дистанционных семинаров, конференций.

Основные данные объекта здравоохранения:

1. Медицинские данные

- Изображения (КТ, МРТ, видео-операции, и др.)

- Текст (ЭМК, клинические протоколы и рекомендации и др.)

- Звук (запись голоса пациентов, хрипов, кашля и др.)

- Сигналы (ЭЭГ, ЭКГ, данных с прикроватных мониторов и носимых устройств и др.)

- Генетические (NGS, ДНК-чип, и др.) [5, с.16].

2. Фармакологические данные:

- Данные клинических исследований;

- Данные о препаратах;

- Данные о продажах;

- Данные фармконадзора.

3. Финансовые данные:

- Данные о движении денежных средств ФОМС, МО;

- Данные о движении денежных средств страховых компаний

4. Административные данные:

- Данные о работе МО (загрузка кабинетов, оборудование, расписание приемов и др.);

- Реестры ФРМО, ФРМР, НСИ;

- Данные о жалобах и отзывах на МО;

- Данные о распространении заболеваний, эпидемиях и др.

5. Страховые данные:

- Страховые отчеты;

- Отчеты по скорингу клиентов;

- Данные о претензиях [6, с.71].

6. Внешние данные:

- Демографические данные;

- Статистические данные;

- Биомедицинская литература;

- Медицинские данные из интернет-источников;

- База медицинских онкологий

Предметные методы информационной безопасности Медучреждения

1. Обеспечение информационной безопасности

1.1. Администрирование

- Исключение несанкционированного доступа

1.2. Закрытое от постороннего доступа помещение серверной

- Защита от проникновения посторонних в серверное помещение

1.3. Система бесперебойного питания

- защита оборудования от сбоев в электросети

1.4. Использование межсетевых экранов

- Безопасной подключения к внешним сетям

1.5. Антивирусная защита

- Предотвращение специальных программно-технических воздействий

1.6. Контролируемая зона, Использование кабеля UTP, SFTP 5-й категории

- Предотвращение перехвата информации

Функциональная схема.

В данном разделе рассмотрим принцип работы системы защиты информации в учреждении здравоохранения. Из представленной ниже схемы мы видим, что единственный внешний источник данных защищен VPN соединением и периметральной защитой. Внутренние ресурсы изолированы сегментированными сетями. Происходит полный контроль трафика и защита информационных ресурсов от внешних атак.

Рисунок 1. Функциональная схема

В данной работе мы разобрали данные, которые содержат информационные ресурсы медицинского учреждения и разработали схему контроля и защиты данных объекта критической информационной инфраструктуры. Предложено техническое решение, в соответствии с требованиями современного медицинского учреждения, основанное на успешно используемых технологиях учитывая новые знания, опыт, рекомендации, технические разработки и исследования.  

Список литературы:

1. Петренко С. А., Курбатов В. А. Политики информационной безопасности. -- М.: Компания АйТи, 2006, с. 400.
2. Саак А.Э. Информационные технологии управления. М.: издательство «Экзамен», с2007г., с. 294
3. Трофимов В.К. Защита информации в автоматизированных ИС. М.: издательство «Экзамен», 2007г.
4. Трофимов В.К. Защита информации в автоматизированных ИС. М.: издательство. «Экзамен», 2007г., с. 284-293
5. ФЗ от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации».
6. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. -- М.: Книжный мир, 2009.