CC BY
111Решетневские чтения. 2017
УДК 004.056
СОЗДАНИЕ И ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЦЕНТРА ОБРАБОТКИ ДАННЫХ О СОСТОЯНИИ ЗДОРОВЬЯ ПАЦИЕНТОВ
Н. Б. Беклемищева1, В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
1E-mail: beklya@yandex.ru
Рассматривается необходимость создания и обеспечения информационной безопасности центра обработки данных, осуществляющего сбор, хранение и обработку информации о состоянии здоровья пациентов медицинских учреждений.
Ключевые слова: медицинские информационные системы, информационная безопасность, персональные данные.
DEVELOPING AND ENSURING INFORMATION SECURITY OF PATIENT HEALTH
CONDITIONS DATA PROCESSING CENTER
N. B. Beklemisheva1, V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
1E-mail: beklya@yandex.ru
This article presents the necessity to develop and ensure information security of data processing center, which performs the collection, storage, and processing of medical institutions patients' health conditions data.
Keywords: medical information systems, information security, personal information.
В настоящее время современные российские медицинские учреждения подвергаются повсеместной информатизации: введение электронных регистратур, электронных медицинских карт, медицинских информационных систем и т. д. Одной из задач является осуществление организации и управления сбором и обработкой медицинских данных. Это необходимо для формирования различных статистических сборников по заболеваемости, понимания демографической картины и состоянию системы здравоохранения в целом.
В процессе сбора данных для формирования статистики необходимо использовать большие объемы персональных данных, содержащих сведения о состоянии здоровья пациентов. Полученная информация, сгруппированная и представленная в определенном виде, является исходным материалом для статистического анализа. Более того, для получения статистической информации, которая используется при создании аналитических отчетов, справочного пособия и других статистических материалов, необходимых для принятия оперативных решений нетипичных задач статистические данные должны быть актуальны, т. е. для своевременного решения задач необходимо оперативно обрабатывать информацию о состоянии здоровья пациентов. Вследствие чего необходимо произвести автоматизацию рутинных процессов, которая также повысит эффективность работы медицинских сотрудников.
Так, например, существует необходимость в обобщении и анализе информации о видах хирургической помощи, оказываемой при врождённых пороках сердца (ВПС) на территории Российской Федерации, и её результатах. Возможность анализа собранных мате-
риалов в области детской кардиохирургии может стать мощным толчком для последующих клинических мультицентровых исследований.
В первую очередь это приведет к повышению качества предоставляемых медицинских услуг. Сообществом детских кардиохирургов принято решение о создании Единого национального регистра пациентов с ВПС РФ, где будут агрегироваться медицинские персональные данные из поликлиник страны для дальнейшей обработки и получения актуальной статистики, помимо этого будет осуществляться доступ к истории болезней пациентов с подробностями лечения, хода операций и достигнутых результатов. Национальный регистр также будет содержать справочную информацию о терминологии, анатомии ВПС и об особенностях, выполняемых хирургических вмешательств.
С технической точки зрения это будет центр обработки данных, куда посредством сетевого соединения, построенного на основе технологии виртуальных частных сетей, будут подключаться поликлиники, участвующие в проекте. Так как в основе статистических данных будут лежать реальные истории болезней, имеющие привязку к реальным людям, то с точки зрения информационной безопасности речь идет об обработке персональных данных, отнесенных в соответствии с ФЗ [1] к специальным категориям - сведения о состоянии здоровья. Соответственно организацию обработки и хранения персональных данных и обеспечение работы с персональными данными необходимо производить согласно требованиям действующего российского законодательства, существующего в отношении специальных категорий персональных данных.
Методы и средства защиты информации
Помимо требований законодательства существуют сложности в создании надежной отказоустойчивой ИТ-инфраструктуры центра обработки данных [2], исходя из технических требований: объема передаваемых данных, пропускной способности, возможности горизонтального и вертикального масштабирования, резервирования. Также необходимо продумать процесс интеграции существующей ИТ-инфраструктуры организации [3], на базе которой создается регистр, с создаваемой в рамках проекта центром обработки данных.
Для достижения поставленной цели необходимо произвести проектирование и моделирование инфраструктуры центра, разработать решения по информационной безопасности и выбрать экономически выгодное, которое будет отвечать всем требованиям действующего законодательства.
В целях обеспечения должного уровня защиты информации о пациентах, необходимо руководствоваться приказом [4]: при использовании в информационных системах, сертифицированных по требованиям безопасности информации средств защиты информации для обеспечения 1 и 2 уровней защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
Также согласно приказу [5] для обеспечения всех уровней защищенности персональных данных при их обработке в информационных системах необходимо использовать средства криптографической защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Таким образом, обеспечение информационной безопасности является неотъемлемым и обязательным направлением деятельности специалистов при построении центра обработки данных Единого национального регистра пациентов с ВПС РФ. Выбор мер по защите информации должен быть обоснован требованиями действующего законодательства, техническими особенностями компонентов ИТ-инфраструктуры центра обработки данных, опираться на мировой опыт экспертов в области информационной безопасности и при всем разнообразии средств защиты информации экономически обоснован.
Библиографические ссылки
1. О персональных данных [Электронный ресурс] : федер. закон РФ от 27 июля 2006 г. № 152 ФЗ. URL:
http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 12.09.2017).
2. Telecommunications Infrastructure Standard for Data Centers [Электронный ресурс]. URL: https:// manuais.iessanclemente.net/images/9/9f/Tia942.pdf (дата обращения: 15.09.2017)
3. Макрушин Д. «Подключенная» медицина и ее диагноз [Электронный ресурс]. URL: https://securelist. ru/connected-medicine-and-its-diagnosis/80267/ (дата обращения: 15.09.2017).
4. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс] : Приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 23.03.2017). URL: http://www. consultant.ru/document/cons_doc_LAW_146520/ (дата обращения: 14.09.2017).
5. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности [Электронный ресурс] : Приказ ФСБ России от 10.07.2014 № 378. URL: http://www.consultant.ru/document/cons_doc_LAW_167862/ (дата обращения: 12.09.2017).
References
1. RF Federal Law «About personal data» of July 27, 2006 № 152 Available at: http://www.consultant.ru/ document/cons_doc_LAW_61801/ (accessed 12.09.2017). (In Russ.)
2. Telecommunications Infrastructure Standard for Data Centers. Available at: https://manuais.iessancle-mente.net/images/9/9f/Tia942.pdf (accessed 15.09.2017).
3. Makrushin D. "Podklyuchennaya" meditsina i ee diagnoz [«Connected» medicine and its diagnosis]. Available at: https://securelist.ru/connected-medicine-and-its-diagnosis/80267/ (accessed: 15.09.2017). (In Russ.)
4. FSTEK of Russia order "On approval of compound and content of organizational and technical measures for provision of personal data information security while processing thereof at personal data information systems" of 18 February 2013 (as amended on 23 March 2017) № 21. Available at http://www.consultant.ru/document/ cons_doc_LAW _146520/ (accessed 14.09.2017). (In Russ.)
5. FSB of Russia order "On approval of compounds and content of technical measures for provision of personal data information security while processing thereof at personal data information systems with use of cryptographic information protection measures necessary to fulfill the requirements for protection of personal data for each of protection levels set out by the Government of the Russian Federation" of 10 April 2014 № 378. Available at: http://www.consultant.ru/document/cons_doc_LAW_ 167862/ (accessed 12.09.2017). (In Russ.)
© Беклемищева Н. Б., Жуков В. Г., 2017
