CC BY
48
Защита персональных данных www.idmz.ru .S3!
2018, № 4 ^
С.М. БУРКОВ,
д.т.н., профессор, Тихоокеанский государственный университет, г. Хабаровск, Россия, e-mail: c_burkov@mail.ru Н.Э. КОСЫХ,
д.м.н., профессор, Дальневосточный государственный медицинский университет,
г. Хабаровск, Россия, e-mail: kosyh.n@bk.ru Е.А. ЛЕВКОВА,
д.м.н., профессор, Российский университет дружбы народов, г. Москва, Россия, e-mail: elenaalevkova@gmail.com
С.З. САВИН,
к.т.н., Тихоокеанский государственный университет, г. Хабаровск, Россия, e-mail: savin.sergei@mail.ru Н.М. СВИРИДОВ,
Тихоокеанский государственный университет, г. Хабаровск, Россия, e-mail: pm51nik@yandex.ru
ОБ ОДНОМ МЕТОДЕ ДЕКОМПОЗИЦИИ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
УДК 004.724
Бурков С.М, Косых Н.Э., Левкова Е.А., Савин С.З., Свиридов Н.М. Об одном методе декомпозиции для защиты персональных данных в медицинских информационных системах (Тихоокеанский государственный университет, г. Хабаровск, Россия; Дальневосточный государственный медицинский университет, г. Хабаровск, Россия; Российский университет дружбы народов, г. Москва, Россия)
Аннотация. Обеспечение безопасности информации в медицинских информационных системах имеет важное значение для защиты пациентов и медицинского персонала от противоправного вредоносного воздействия на них при несанкционированном доступе к информации. Предлагается метод обезличивания на основе анонимизации и псевдонимизации персональных данных в МИС. Исследуется метод декомпозиции, основанный на разделении персональных данных на части и хранении этих частей в различных хранилищах При этом безопасность данных достигается за счет усложнения процесса сопоставления данных из разных хранилищ, поскольку размещение персональных данных в различных хранилищах производится различными способами. Помимо обезличивания исходных персональных данных, имеется возможность проведения деобезличивания обезличенных данных, что требует дополнительной обработки информации. Для повышения объективности выводов по результатам обследования предлагается хранить в архиве информационной системы результаты обработки полученных данных на всех этапах обработки. Это позволит восстанавливать результаты при злонамеренном проникновении в МИС, проводить дополнительную обработку с применением различных методов, проводить сравнение результатов различных пациентов на разных этапах обработки.
Ключевые слова: медицинская информационная система (МИС), безопасность информации, обезличивание персональных данных, защита информации, анонимизация, псевдонимизация.
UDC 004.724
Burkov S.M., Kosykh N.E., Levkova E.A., Savin S.Z., Sviridov N.M. One method decomposition for securing personal data in medical information systems (Pacific national University, Khabarovsk, Russia; Far Eastern state medical University, Khabarovsk, Russia; Peoples' Friendship University of Russia, Moscow, Russia)
Abstract. Ensuring the security of information in medical information systems is essential to protect patients and medical personnel from unlawful harmful effects on them when unauthorized access to information. We propose a method of de-identification on the basis of anonymization of personal data pseudonymisation in IIAs. The method of decomposition based on the division of personal data into parts and the storage of these parts in different repositories is studied.this
© С.М. Бурков, Н.Э. Косых, Е.А. Левкова, С.З. Савин, Н.М. Свиридов, 2018 г.
и информационные
технологии
data security is achieved due to the complexity of the process of matching data from different repositories, since the placement of personal data in different repositories is carried out in different ways. In addition to the initial anonymisation of personal data, has the possibility of geometrician anonymized data that requires additional processing. To improve the objectivity of the findings of the survey it is proposed to store in the archive of the information system the results of processing the data at all stages. It will allow to restore results at malicious penetration into MIS, to carry out additional processing with application of different methods, to compare results of different patients at different stages of processing. Keywords: medical information system (MIS), information security, personal data depersonalization, data protection, anonymization, pseudonymization, decomposition.
□ беспечение безопасности информации и непосредственно процесса обмена медицинскими данными и электронными документами в медицинских информационных системах (МИС) имеют важное значение для защиты граждан (пациентов, медспециалистов) от вредоносного (противоправного) воздействия на них при несанкционированном доступе к информации [1—6]. Поэтому защите информации в МИС уделяется все большее внимание [7-9]. Так, в [9-11] рассмотрены методы обезличивания персональных данных (анонимизация и псев-донимизация) МИС. В [12-15] перечислены основные нормативные документы и стандарты, определяющие требования к защите персональных данных и их обезличиванию в здравоохранении. Описаны варианты и примеры использования технологий и сформулированы предложения по внедрению методов псевдонимизации в охране здоровья населения [4, 6, 8].
С лавинообразным повышением скорости обработки компьютерных данных и пропускной способности линий связи телемедицинские и локальные МИС становятся все более уязвимыми для внешних атак со стороны различных злоумышленников. Отметим также, что медицинские изображения, как правило, содержат наиболее значимые скрытые сведения о патологии пациента.
Поскольку требования к безопасности, хранимой в медицинских системах информации, инвариантны для систем любого типа (назначения), исследуем возможное решение задачи обеспечения безопасности в МИС.
Большинство МИС ориентировано на пациентов, следовательно, информация в системах относится к конкретным физическим лицам и является персональными данными. В соответствии с Федеральным законом № 323-ф3 от 29.11.2011 в редакции закона № 242-ФЗ от 29.07.2017 [13], персональные данные о здоровье физических лиц в единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ) должны храниться в обезличенном виде, что не позволяет определить их явную принадлежность к конкретным физическим лицам. Обезличивание производится различными способами [16,17]. Обезличивание персональных данных может проводиться в соответствии с приказом Роскомнадзора № 996 от 05.09.2013 «Об утверждении требований и методов по обезличиванию персональных данных» [14]. В [15,16,18] указаны возможные методы обезличивания.
ОПИСАНИЕ МЕТОДА
Нами был разработан и исследован метод декомпозиции, который основан на разделении персональных данных пациентов на части и хранении этих частей в различных хранилищах.
Безопасность данных достигается в этом случае за счет сложности сопоставления данных из разных хранилищ, поскольку размещение информации (персональных данных) в различных хранилищах производится различными способами, например, данные, относящиеся к одному физическому лицу, в различных хранилищах имеют различные координаты (номера записей).
В данном случае, помимо обезличивания исходных персональных данных, гарантированных форматом DICOM (по [10]), необходимо иметь возможность проведения деобез-личивания обезличенных данных, что требует обработки дополнительной информации.
Каждому физическому лицу соответствует исходная (полная) запись с его персональными данными (результаты обследования), хранимая в информационной системе. Для повышения объективности выводов по результатам обследования целесообразно хранить в архиве информационной системы результаты обработки полученных данных на всех этапах обработки. Это позволит восстанавливать результаты, проводить дополнительную обработку с применением различных методов, проводить сравнение результатов различных пациентов на разных этапах обработки.
Все исходные записи пронумерованы, и каждая запись имеет уникальный номер. Количество записей N. Каждая запись разделена на М частей (частичные записи), как правило, соответствующих этапам обработки данных обследования.
Все части каждой исходной записи имеют идентификаторы, содержащие префикс с номером исходной записи.
Далее считаем, что частичная запись с номером 1 содержит идентификационные данные физического лица (ФИО, год и место рождения и т.д.), используемые в конкретном
2018, № 4
лечебно-профилактическом учреждении, для всех г = 1, 2,..., N.
Все части с одинаковыми номерами всех записей хранятся в отдельном (одном) хранилище. Структура записи данных номер / о физическом лице (пациенте) приведена на рис. 1.
Части всех записей, имеющие номера к, хранятся в хранилище номер п. Взаимно однозначное соответствие между значениями к и п устанавливаются с помощью функции Я(к)=п, которая имеет обратную функцию Я1(п)=к, (к, п = 1, 2, ...,М).
Функция Я(к) имеет свойства: 1) Я(к) ФR(И), если k Ф h, для всех к, И = 1, 2,., М; 2) 1 <R(к) <Мдля всех к = 1, 2,., М.
Часть исходной записи г, имеющая номер к, помещается в хранилище номер п(п= Я(к)) под номером т.(к). Номер т.(к) вычисляется с помощью функции Е (г) = ЕК(к)(г), так что
т к = = Рт(Ъ "
Функция ЕК(к)(г) устанавливает взаимно однозначное соответствие между к и т(к), поэтому функция Е() = ЕК(к)(г) обладает следующим свойством: Еп(г) Ф Ёп(]), если i Ф] для всех г,] = 1, 2,., N и для всех п = 1, 2,., М.
Каждая функция Еп(г) имеет обратную функцию - Еп\т.(к)), так что Еп\т.(к)) = г. Здесь т(к) изменяется в диапазоне 1, 2, ..., N для любого к = 1, 2,., М и для любого г = 1, 2,., N.
На рис. 2 показан пример размещения записей в хранилищах при обезличивании данных.
Промежуточный Промежуточный Промежуточный Промежуточный Промежуточный
результат результат результат результат результат
Номер Идентификационные обследования обследования обследования обследования обследования
записи данные физ. лица (данные от (результат (результат (результат (результат
г (пациента) медицинского оборудования) фильтрации) сегментации) классификации) диагностики)
Часть записи -1 Часть записи - 2 Часть записи - 3 Часть записи - 4 Часть записи - 5 Часть записи - 6
Рис. 1. Обобщенная структура записи результатов обследования (на примере изображений номер /, для которой М = 6)
и информационные
технологии
Рис. 2. Пример размещения записей при обезличивании
В этом примере имеем:
ад = 1, ад = м - 1, Я(м - 1) = 2, Я(м=м).
Функции Еп(.) = ^^(г) заданы в виде таблиц, в частности,
^(1) = 2, ^(2) = N ^(3) = N - 1,..., ^-1) = 3, ^ = 1, ^(1) = 3, ^(2) = N-1, ^(3) = 1,...,
Рм-1(М - 1) = N, Рм-1(М = 2.
Множества функций Я(к), Я 1(п), Еи(/), Епч(т.(к)) образуют, в соответствии с определением обезличивания, множество необходимой дополнительной информации (ключей) для обезличивания и деобезличивания данных. Эта информация должна быть недоступна никому из пользователей системы. Доступ к ней может иметь только администратор системы.
Администратор должен определять множества ключей, назначая функции Я(к), Яч(п), Р (Г), Еп_1(т.(к)), осуществлять их периодическую замену в соответствии с установленным регламентом.
ОБЕЗЛИЧИВАНИЕ
Процедура обезличивания исходных записей происходит следующим образом. Пусть обезличивается запись номер ., которая содержит м частей. Для обезличивания выбираются функции Я(к), ЕЯ(к)(/). Часть записи, имеющая номер к (к = 1, 2,..., м), направляется в хранилище номер п = Я(к), где получает номер т (к) = Е (.) и помещается под этим номером в хранилище. Эта процедура проводится для всех исходных записей и для всех частей каждой записи (рис. 2). В результате получается м хранилищ, заполненных обезличенными персональными данными.
ДЕОБЕЗЛИЧИВАНИЕ
Деобезличивание состоит в привязке хранимых персональных данных к конкретному физическому лицу. Возможны два варианта деобезличивания: формирование исходной записи по заданному идентификатору физического лица (по любой заданной части исходной записи, когда известен номер части);
2018, № 4
формирование записи по заданной части при неизвестной принадлежности и номере.
ОЦЕНКА БЕЗОПАСНОСТИ МЕТОДА ОБЕЗЛИЧИВАНИЯ
Определим безопасность предложенного метода обезличивания при угрозе, связанной с подбором частей исходной записи, если известны т частей этой записи.
Мерой безопасности в данном случае будет величина вероятности определения исходной записи при известной ее части (нескольких частей) без знания ключей обезличивания.
Сначала определим число вариантов размещения исходной записи в хранилищах, при общем числе исходных записей - N, числе хранилищ - м и числе мест в каждом хранилище N. В этом случае число вариантов вычисляется по формуле:
И^м) = м^!^. (1)
Справедливость формулы следует из следующего. Одну запись из м частей можно разместить в м хранилищах м! способами. Все исходные записи размещаются в хранилищах одинаково. В каждом хранилище N частей из N исходных записей можно разместить N способами.
Учитывая, что в каждом хранилище записи размещаются по своему алгоритму, число вариантов размещения частей исходных записей в м хранилищах вычисляется по формуле (1).
Следует отметить, что в данном случае в каждом хранилище одна и та же часть исходной записи может появляться в каждом месте ровно N раз. Если число мест в каждом хранилище фиксировано и равно N, то число вариантов размещения одной записи равно
И^м) =
Если известно размещение по хранилищам т частей одной исходной записи (1 < т < м), то число вариантов размещения этой исходной записи (остальных частей) равно:
Я(тЛм) = (м-т)!^^-^. (2)
>
и информационные
технологии
Теперь можно определить вероятности формирования исходных записей при различной априорной информации о размещении частей в хранилищах.
Пусть априорная информация о размещении записей в хранилищах отсутствует. Тогда для получения исходной записи необходимо выбрать ее части из каждого хранилища и расположить их в нужном порядке.
Если все варианты размещения в хранилищах равновероятны, то вероятность выбрать запись с первой попытки (попытка - это выбор из М хранилищ в нужном порядке) вычисляется по формуле:
N м
p(l, N, M) =
M!
(3)
Здесь вероятность верно выбрать одну запись из хранилища - 1/Ж
Соответственно, вероятность выбрать запись с попытки номер I вычисляется по формуле:
p(l, N, M) =
- M
(4)
Если имеется априорная информация о размещении г исходных записей, то вероятность выбрать исходную запись с определенной попытки вычисляется по формуле:
q(r, l, N, M) = (N - r -1 +1)
-M
(5)
Формула (5) выведена при условии, что априорная информация о размещении исходных записей однозначно определяет порядок
размещения частей исходных записеи в хранилищах.
В таблице 1 приводятся значения вероятностей получения исходных записей при различной априорной информации.
Из данных, приведенных в таблице 1, видно, что вероятность успешной атаки методом подбора быстро убывает с увеличением числа хранилищ информации и количества записей. Метод декомпозиции сохраняет в записях каждого хранилища связи между атрибутами обезличиваемых данных (ОДН), соответствующие связям между атрибутами персональных данных (ПДН). Стойкость к внутренним и внешним хакерским атакам обеспечивается сложностью установления соответствия между таблицами. Целесообразно применять метод декомпозиции при больших массивах ПДН.
Проведенные расчеты показали, что метод декомпозиции целесообразно применять в МИС, где объемы информации (число записей) более 100, а число хранилищ - более 4.
Были проведены параллельные испытания методов защиты персональных данных на базе Хабаровского краевого центра клинической онкологии и ООО «Иммунореабилитацион-ный Центр». Оборудование Toshiba Aquilion CXL 128, Gemini TF 16w/TOFPerfo/PhilipsGE Infinia Hawkeye, Elekta Axesse используется в ХКЦКО для проведения SPECT/CT, PET/CT для получения, хранения и обработки медицинских изображений формата DICOM с собственной системой защиты персональных данных методом обезличивания.
Таблица 1
Вероятности получения исходных записей при различной априорной информации
N = 20 N = 40 N = 60
1 = 1 1 = 10 1 = 1 1 = 10 1 = 1 1 = 10
M = 2 0,00125 0,00413 0,0003125 5,20*10-4 1,39*' I0-4 1,92*10-4
M = 4 1,04*10-4 3,44*10-4 2,60*10-5 3,36*10-5 1,16*' I0-5 1,60*10-5
M = 6 3,47*10-6 1,15*10-5 8,68*10-7 1,45*10-6 3,86*1 I0-7 5,34*10-7
В «Иммунореабилитационном Центре» был применен авторский метод декомпозиции при хранении и обработке данных пациентов, прошедших анализы крови на сеансах лазерной модуляционной интерференционной микроскопии на аппарате МИМ-340, формат изображений *.Нк. Количество пациентов, для которых производились процедуры обезличивания и деобезличивания, в обоих испытаниях было примерно одинаковым - более 200 чел.
Оба метода обезличивания использовали незначительный объем дополнительной информации, необходимой для проведения операций обезличивания/деобезличивания, слабо зависящий от количества обезличиваемых данных (ПДН). Тот и другой метод обезличивания позволяют провести деобезличивание выбранных по произвольным критериям данных.
Процедура реализации метода обезличи-вания/деобезличивания в случае использования авторского метода декомпозиции была сравнима по вычислительной трудоемкости с аналогичной процедурой, используемой при использовании формата DICOM. Метод обезличивания на основе декомпозиции позволяет проводить некоторые виды обработки без деобезличивания всего массива данных (поиск, внесение изменений, актуализацию, анализ изображений и т.д.). Имитация несанкционированного доступа показала высокую надежность метода декомпозиции при защите от атак по
2018, № 4
деобезличиванию. При этом стойкость к атакам по деобезличиванию не уменьшалась с ростом объема обезличиваемых ПДН. Метод декомпозиции позволяет также контролировать актуальность и сохранение свойств (полнота, целостность, актуальность и пр.) обезличиваемых персональных данных после деобезличивания.
ВЫВОДЫ
Таким образом, разработан метод декомпозиции для обезличивания и деобезли-чивания персональных данных, позволяющий обеспечить защиту данных, хранимых в медицинской информационной системе, полученных на высокотехнологичном оборудовании ядерной медицины, лазерной микроскопии и медицинской физики.
Следует отметить, что полученные результаты дают возможность синтезировать структуру системы обезличивания (определять значения параметров м и N, обеспечивающих заданную величину вероятности успешной атаки при определенных значениях I. Разработанный метод декомпозиции для обезличивания и деобезличивания персональных сведений в МИС позволяет обеспечить эффективную защиту данных, хранимых в системе. Проведенные испытания метода декомпозиции для защиты персональных данных пациентов показали его высокую надежность и стойкость к атакам по деобезличиванию.
ЛИТЕРАТУРА
Горбунов П.А., Фохт И.А. Проблемы информационной безопасности в медицинских информационных системах - теоретические решения и практические разработки // Программные системы: теория и приложения / Под редакцией С.М. Абрамова. В 2-х т. М.: Физматлит. - 2006. - Т. 1. - С. 107-112.
Гулиев Я.И., Фохт И.А., Фохт О.А., Белякин А.Ю. Медицинские информационные системы и информационная безопасность. Проблемы и решения // Программные системы: Теория и приложения: тр. Междунар. конф. Переславль-Залесский. - 2009. - С. 175-206.
3. Гусев А.В. Безопасность в медицинской информационной системе // Комплексные медицинские информационные системы. - [Электронный ресурс]. Режим доступа: http://www. kmis.ru/site.nsf/pages/ publ_2007_security.htm (Дата обращения: 21.04.2018).
>
и информационные
технологии
4. Домарев В.В. Защита информации в медицинских информационных системах: врачебная тайна и современные информационные технологии, клиническая информатика и телемедицина. -2004. - Т. 1. - № 2. - С. 147-154.
5. Керейтова, М.Р., Малыш, В.Н. Информационная безопасность в медицинских информационных системах // Труды Международного симпозиума «Надежность и качество». - 2012. -01-01. - Т. 1. - С. 413.
6. Назаренко Г.И., Михеев А.Е., Горбунов П.А., Гулиев Я.И., Фохт И.А., Фохт О.А. Особенности решения проблем информационной безопасности в медицинских информационных системах. - 4с. http:// www.interin.ru/datas/documents/pib.pdf (Дата обращения: 21.04.2018).
7. Назаренко Г.И., Гулиев Я.И., Ермаков Д.Е. Медицинские информационные системы: теория и практика. - М.: ФИЗМАТЛИТ, 2005. - 320 с.
8. Жаринов Р.Ф., Трифонова Ю.В. Возможности обезличивания персональных данных в системах, использующих реляционные базы данных. // Доклады Томского государственного университета систем управления и радиоэлектроники. - 2014. - Вып. № 2 (32). - С. 188-194.
9. Калачаева А, Морозов А., Абдуманонов А., Хошимов В., Халилов А. Алгоритмы и стандарты компьютерных технологий обеспечения безопасности информации в МИС «ExterNET» // Актуальные проблемы организации экстренной медицинской помощи: тр. VII Республ. науч. -практич. конф. - Ташкент, 2007. - С. 269-273.
10. Гусев А.В. Рынок медицинских информационных систем: обзор, изменения, тренды // Врач и информационные технологии. 2012. - № 3. - С. 4-15.
11. Столбов А.П. Обезличивание персональных данных в здравоохранении // Врач и информационные технологии. - 2017. - № 3. - С. 76-91.
12. Когаленок В.Н., Царева З.Г., Тараканов С.А. Проблемы внедрения медицинских информационных систем автоматизации учреждений здравоохранения. Комплекс программных средств «Система автоматизации медико-страхового обслуживания населения» // Врач и информационные технологии. - 2012. - № 5. - С. 73-77.
13. Федеральный закон № 323-ФЗ от 29.11.2011 в редакции закона № 242-ФЗ от 29.07.2017 «О персональных данных» (с изменениями, вступившими в силу с 10.08.2017). http://kodeks. systecs.ru/zakon/fz-323 (Дата обращения: 21.06.2018).
14. Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013) [Электронный ресурс]. - Режим доступа: http://www. consultant.ru/document/cons_doc_LAW_157082/, свободный (Дата обращения: 21.04.2018).
15. Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013). [Электронный ресурс]. - Режим доступа: http://legalacts. ru/doc/metodicheskie-rekomendatsii-po-primeneniiu-prikaza-roskomnadzora-ot, (Дата обращения: 21.06.2018).
16. Рябко С.Д. Об обезличивании персональных данных // Информационная безопасность. -2009. - № 5. - www.itsec.ru/articles2/bypub/insec-5-2009. (дата обращения: 22.04.2018).
17. Саксонов Е.А., Шередин Р.В. Процедура обезличивания персональных данных // Наука и образование. - 2011. - № 3, март 2011. Электронный журнал. - http://technomag.edu.ru/ doc/173146.html. (Дата обращения: 21.04.2018).
18. HSCIC Data Pseudonymisation Review - I nterim Report, 31-07-2014. http://content.digital.nhs. uk/media/14828/HSCIC-Data-Pseudonymisation-Review InterimReport/pdf/ HSCIC_Data_ Pseudonymisation_Review_Interim_Report.pdf. (Дата обращения: 21.04.2018).
